Der Amazon Dash Button im Test

Willkommen in der „Bequemen neuen Welt“: Auf der IFA in Berlin hat Amazon Anfang September die Verfügbarkeit des Amazon Dash Buttons auf dem deutschen Markt bekanntgegeben. Amazon-Kunden können mit den vorprogrammierten Kauf-Knöpfen Einkäufe auslösen und die Lieferung bestimmter Artikel anfordern. Dazu gehören beispielsweise Kaffeekapseln, Rasierklingen, Zahnpasta oder auch Toilettenpapier, ausgewählt über die Amazon-Plattform und dem jeweiligen Dash Button zugeordnet.

Kaum waren die angesagten neuen Bestell-Buttons verfügbar, teilten sich die Meinungen dazu schnell. Die Verbraucherzentrale Nordrhein-Westfalen beklagt z.B., dass es an Transparenz bei den Preisen und Bestellprozessen mangelt. Kunden bestellen sozusagen im „Blindflug“, da sie beim Kauf per Knopfdruck weder über Preisentwicklungen noch über aktuelle Preise eines Produktes informiert werden. Nach Ansicht von Verbraucherschützern und Rechtsexperten verstößt Amazons Dash Button somit gegen die Informationspflichten im elektronischen Geschäftsverkehr und lässt sich nicht mit deutschen Standards vereinbaren.

Wenn man von der juristischen Debatte absieht, hat Amazon mit seinem gerade einmal mit 5 Euro bepreisten Dash Button eines der günstigsten Smart Home-Produkte entwickelt, welches gegenwärtig auf dem Markt zu finden ist. Sobald der Bestell-Button in das heimische WLAN-Netz des Nutzers integriert ist, ermöglicht er die One-Click-Bestellung vorab festgelegter Waren von Amazon. Den Sicherheitsexperten des AV-TEST Instituts bot der Dash Button damit Grund genug, ihn einem Sicherheitscheck zu unterziehen.

Sicheres Zugangsverfahren

Bestellungen werden über den Dash Button direkt an Amazon weitergeleitet, sobald das Gerät über WLAN verbunden und eine Internetverbindung zu dem beim Onlineshop bestehenden Kunden-Account aufgebaut worden ist. Angreifer werden ihn deshalb mit Interesse ins Visier nehmen, denn eine erfolgreiche Attacke auf den Dash Button könnte ihnen Zugang zum Konto des Amazon-Kunden verschaffen.

Abgesehen von diesem Risiko hat Amazon gute Arbeit geleistet: Die Einrichtung des Dash Buttons erfolgt am über Bluetooth unter Verwendung der Amazon App auf dem Smartphone. Um einen Angriff während des Setups zu starten, müssten sich Hacker in direkter Nähe zum Smartphone-Bediener befinden. Das ist zwar theoretisch möglich, aber doch recht unwahrscheinlich, so dass man nicht von einem ernstzunehmenden Angriffsszenario sprechen kann.

Nach der Einrichtung nimmt der Button Funkkontakt zum WLAN-Netz auf. Ab diesem Zeitpunkt ist die Kommunikation durch SSL-Verschlüsselung mit RSA AES-128 Bit im CBC-Modus gesichert , was als ausreichend solide Form der Verschlüsselung angesehen wird.

Externe Kommunikation

In Hinblick auf die externe Kommunikation haben sich unsere Experten das Update-Verhalten des Smart Home-Geräts genauer angeschaut. Der Fokus lag dabei auf der Prüfung verschlüsselter Kommunikation, dem Sicherheitstest von Update-Quellen hinsichtlich falscher Zertifikate und einem Check, ob das Gerät Verbindungen mit unsicheren Domains Dritter eingeht.

Während der einwöchigen Testperiode wurde von Amazon kein Firmware-Update für den Dash Button angeboten. Aus dem Grunde konnten unsere Labore weder die Signatur-, noch Checksummenvalidierung des Geräts prüfen. Entsprechende Tests wurden verschoben, abhängig von möglicherweise verfügbaren Firmware-Updates. Während der überwachten Bestellprozesse haben unsere Tester keine Verbindungen zu Webseiten von Dritten feststellen können. Im Ergebnis ist die externe Kommunikation des Dash Buttons als sicher eingestuft worden, vorbehaltlich der Durchführung späterer Tests.

Andere Setup-Möglichkeiten potentiell unsicher

Die Amazon App kommt beim Setup und der Einrichten des Dash Buttons zum Einsatz, die Verbindung läuft dabei über Bluetooth. Unter iOS besteht eine weitere Möglichkeit darin, dass das Smartphone Tonsignale vom Dash Button erhält, welche in Befehle für die Konfiguration zurückkonvertiert werden. Außerdem kann sich die Android-App mit dem WLAN-Netzwerk verbinden, welches vom Dash Button unter dem einladenden Namen „Amazon ConfigureMe” angeboten wird. Das geht dann allerdings mit offener, unverschlüsselter Kommunikation einher und heißt, dass jeder sich darüber verbinden kann, ohne sich einloggen zu müssen. Beide Alternativen ermöglichen es Angreifern, das Passwort des heimischen WLAN-Netzwerks von Usern zu stehlen, und deshalb lautet die Empfehlung von AV-TEST, den Dash Button immer unter Verwendung von Bluetooth einzurichten.

WLAN gut geschützt

Sobald der Dash Button eingerichtet ist, verbindet er sich über WLAN. Im Labor wurde die Verbindung unter Einsatz verschiedener Analyse-Tools getestet. In diesen Tests zeigte sich, dass der Button auf Angriffsversuche reagierte, indem er die Verbindung beendete, z. B. bei einer Manipulation des SSL-Handshakes. Das Gleiche geschah, als wir versuchten, die Verbindung zwischen der App und der Internetverbindung zum Amazon-Shop zu unterbrechen. Falsche Zertifikate können zwar nicht auf dem Dash Button, dafür aber auf dem Smartphone installiert werden, und sobald dies gelungen ist, können einige SSL-Verbindungen ausgespäht werden. Verbindungen über die iOS-App schienen dafür anfälliger zu sein als solche über die Android-App. Verbindungen zu externen Dritten konnten wir hingegen im Test nicht beobachten und somit auch keine Schwachstellen aufdecken.

Versuche, die Protokolldaten der App mit Tools wie „Logcat“ aufzuzeichnen, brachten einige potentiell problematische Daten ans Licht, kritische Daten wie z. B. Credentials gehörten nicht dazu. Unser Test zeigte auch, dass Code Obfuscation nicht eingesetzt wird, weswegen der Code der Amazon-App leicht nachvollzogen werden kann.

Datenschutzprüfung bestanden

Im Google Play Store ist die Android-App für Smartphones nicht erhältlich. Nutzer müssen zur Installation und Verwendung der App zunächst den Sicherheitsmechanismus ihres Android-Betriebssystems deaktivieren. Informationen zu einer späteren Reaktivierung des Mechanismus sind in dem Amazon-Leitfaden nicht zu finden. Die App ist äußerst umfangreich und beinhaltet weit mehr als die Funktionalität des Dash Buttons, daher ist sie auch als Amazons „All-in-one App“ bekannt und bietet letztlich alle Funktionen des Amazon Appstores für Android. Dafür sind natürlich eine ganze Menge an Berechtigungen notwendig und nicht nur solche, die für den Einsatz des Dash Buttons erforderlich sind. Unter Android 6 werden diese Berechtigungen nur bei Bedarf vom Nutzer eingefordert, so dass wir im Test nur zwei dieser Anfragen gesehen haben. Angesichts der deaktivierten Sicherheitsfunktionen scheint es jedenfalls ratsamer zu sein, die Appstore-Funktionen in ihrer eigenen App zu belassen und die Funktionen des Dash Buttons über eine andere App laufen zu lassen.

In punkto Datenschutz gibt es sowohl bei der Android- als auch bei der iOS-App noch Luft nach oben. Angefangen bei der Verwaltung von Passwörtern: Beim Öffnen der App, werden ihre Passwörter standardmäßig immer gespeichert. Weiterhin schlägt die App vor, auch das WLAN-Passwort ebenfalls auf Amazon-Servern zu speichern. In unserem Test haben wir die Passwörter gespeichert, so wie es empfohlen wird. Die App erhielt die Passwörter dann über die URL „credential-locker-service.amazon.eu”. Die entsprechende IP-Adresse wird vermutlich in Dublin, Irland, gehostet und unterliegt somit irischen Datenschutzbestimmungen, welche als nicht sehr streng erachtet werden. Möchten Nutzer ihre Passwörter löschen lassen, müssen sie den Support kontaktieren, so steht es zumindest auf den Support-Seiten von Amazon. Die Sicherheitsexperten von AV-TEST haben dazu eine klare Meinung: Nutzer sollten bei der Speicherung ihrer Passwörter mehr auf Sicherheit setzen!

Fazit

Amazon hat mit seinem Dash Button das wahrscheinlich preiswerteste Smart Home-Gerät auf den deutschen Markt gebracht, welches womöglich bald in vielen Haushalten zu finden sein wird. Eine solide Basis-Sicherheit ist beim Dash Button schon deswegen von essentieller Bedeutung, weil über den Kauf-Knopf direkte Kommunikation mit dem Amazon-Konto des Kunden stattfindet und durch Drücken des Buttons rechtsverbindliche Käufe ausgelöst werden können. Vorkehrungen für eine solche Basis-Sicherheit hat Amazon auf angemessene Weise getroffen, und der Dash Button erhält somit in unserem technischen Sicherheitscheck drei von drei möglichen Sternen.

Kritik muss aufgrund des schwachen Datenschutz-Konzepts gegenüber Kunden geäußert werden, z. B. wenn man sich das Verfahren der Speicherung von WLAN-Passwörtern auf Amazon-Servern vor Augen führt.