Mit dem einfachen und preiswerten System IKEA TRÅDFRI bekommen die etablierten smarten Beleuchtungssysteme Philips Hue und Osram Lightify jetzt echte Konkurrenz. Unsere Sicherheitsexperten haben sich die smarten Leuchtmittel und das Gateway des IKEA Systems im Test genauer angeschaut und sind dabei der Frage nachgegangen, ob die preiswerte Hardware des schwedischen Möbelgiganten auch sicher ist.

Cloud-Kommunikation

Zum Testzeitpunkt bot das IKEA TRÅDFRI Ökosystem noch keine Möglichkeit des Fernzugriffs an, aber eine solche Remote Access-Funktion könnte durch Firmware-Updates zu einem späteren Zeitpunkt durchaus bereitgestellt werden. Das TRÅDFRI Gateway prüft bei jedem Start und in regelmäßigen Abständen auf Firmware-Updates, dazu wird eine ungesicherte JSON-Datei angefragt, welche eine Liste aller verfügbaren Updates für jegliche Geräte des TRÅDFRI Systems enthält.

Unverschlüsselte Anfrage nach Firmware-Updates
Unverschlüsselte Anfrage nach Firmware-Updates

Durch die unverschlüsselte Übertragung dieser Datei über HTTP besteht die Möglichkeit, den Dateiinhalt zu verändern und an das Gateway zu senden. Allerdings besteht für die entsprechende URL ein sicherer HTTPS-Endpunkt, es besteht also Grund zur Hoffnung, dass IKEA bei einer späteren Firmware-Version auch ein Upgrade für eine gesicherte Abfrage spendiert. Die Namen der verfügbaren Firmware-Binärdateien deuten darauf hin, dass sie signiert sind, im Rahmen dieses Schnelltests haben wir das allerdings nicht überprüft. Die Dateien selbst scheinen jedoch nicht verschlüsselt zu sein.

Einer von derzeit elf Firmware-Einträgen in der
Einer von derzeit elf Firmware-Einträgen in der „version_info.json“

Zum jetzigen Zeitpunkt werden für die verschiedenen Geräte, dazu gehören z.B. die Leuchtmittel, Fernbedienung als auch das Gateway, elf verschiedene Firmware-Updates angeboten.

Liste der aktuell verfügbaren Firmware-Updates für das IKEA TRÅDFRI-System
Liste der aktuell verfügbaren Firmware-Updates für das IKEA TRÅDFRI-System

Lokale Kommunikation

IKEA bietet für die Steuerung des Beleuchtungssystems eine App für Android und iOS an. Nutzer müssen den QR-Code auf der Unterseite des Gateways scannen, um die App mit dem Gerät zu koppeln. Der Code enthält sowohl die „Seriennummer“ (MAC-Adresse) als auch den „Sicherheitscode“ des Gerätes, der wiederum dazu dient, eine sichere Verbindung zwischen dem Gateway und dem Smartphone aufzubauen. Die Kommunikation läuft über UDP und zur Verschlüsselung wird DTLS (SSL für UDP) eingesetzt. Dank des DTLS-Protokolls ist sie gegen eine ganze Reihe von Bedrohungen geschützt, dazu gehören beispielsweise auch Replay-Angriffe. Der Pre-Shared Key (PSK) für den Verbindungsaufbau mit Handshake ist der „Sicherheitscode“ auf der Unterseite des Geräts.

DTLS-Handshake und verschlüsselte Nachrichtenübertragung mit Wireshark.
DTLS-Handshake und verschlüsselte Nachrichtenübertragung mit Wireshark.

Eine weitere Prüfung hat ergeben, dass das IKEA TRÅDFRI System CoAP (Constrained Application Protocol) einsetzt und damit eine REST-ähnliche Schnittstelle bietet (wie eine klassische API). Es gibt bereits eine Reihe von Open Source-Projekten (z.B. auf github: https://github.com/stenehall/homebridge-ikea, https://github.com/hardillb/TRADFRI2MQTT), die auf CoAP Protokollebene zur Schaffung eigener Clients ansetzen und damit das Beleuchtungssystem ansteuern. Der gemeinsame Nenner all dieser Tools besteht darin, dass sie den Pre-Shared Key für die Kommunikation benötigen.

Android-App

Bei der Entwicklung der Android-Applikation und bei der Implementierung des Kommunikationsprotokolls mit dem Gateway hat IKEA definitiv gute Arbeit geleistet. Zunächst wurden viele Teile des Quellcodes verschleiert, was wohl eher die Ausnahme ist als die Regel, wenn man sich im Vergleich andere getestete Apps anschaut, über die in diesem Blog berichtet wurde. Es ist uns dennoch gelungen, Informationen zu kryptografischem Verhalten zu extrahieren, wir mussten aufgrund der Obfuskation aber deutlich mehr Zeit dafür aufwenden.

Einige der verschleierten Klassen der IKEA TRÅDFRI App.
Einige der verschleierten Klassen der IKEA TRÅDFRI App.

Auf die Vorgehensweise zur Registrierung des Gateways über die IKEA TRÅDFRI App ist schon eingegangen worden. Der gescannte QR-Code auf der Gateway-Unterseite enthält wichtige Informationen zur Ermöglichung einer sicheren Kommunikation zwischen den beiden Geräten. Deswegen werden diese Informationen auch an einem sicheren Speicherort auf dem Android Smartphone hinterlegt und darüber hinaus noch verschlüsselt. Bei der Verschlüsselung handelt es sich um ein zusätzliches Sicherheits-Feature, welches sich als besonders hilfreich erweist, wenn das Smartphone gerootet wird (durch den Nutzer oder durch Malware) und andere Apps in der Lage sein könnten, die durch die Applikation gespeicherten Informationen einzusehen. Die eingesetzten Verschlüsselungsarten sind aktuell und verwenden die neuesten Sicherheitsfunktionen von Android (nach Verfügbarkeit). Die Verwendung eines Smartphones mit Android 4.3 (nach https://developer.android.com/about/dashboards/index.html hatten im April 2017 89,6% aller aktiven Smartphones diese Version) und höher gewährleistet auch das höchste Sicherheitslevel. Die App generiert ein sicheres Schlüsselpaar und speichert dieses im von Android bereitgestellten KeyStore. Danach werden alle sensiblen Informationen mit dem öffentlichen Schlüssel in verschlüsselter Form gespeichert.

Rekonstruierter Code für die Schlüsselgenerierung
Rekonstruierter Code für die Schlüsselgenerierung

Für Nutzer, die noch Smartphones mit einer älteren Version als Android 4.3 haben (wobei selbst diese Version mittlerweile als veraltet gilt und viele Sicherheitslücken hat), sind KeyStore samt dessen API nicht verfügbar. Bei der Ausweichlösung von IKEA wird der sichere AES-Algorithmus eingesetzt, um sensible Informationen zu verschlüsseln. Der Schlüssel für die Verschlüsselung stammt aus einer in die APK gepackten Datei, mit der sich die Programmierer hier allerdings einen der wenigen Fehler erlaubt haben: Aufgrund der Tatsache, dass der Dateiname „key_file.txt“ lautet und der gewählte Schlüssel die sehr einfache Buchstaben- und Zahlenfolge „Bar12345Bar12345“ hat, ist es relativ leicht, die sensiblen Daten zu entschlüsseln, sobald das Smartphone gerootet wird.

Gefundener AES-Schlüssel
Gefundener AES-Schlüssel

Datenschutz

Abgesehen vom Firmware-Update oder NTP-Anfragen konnten wir im Schnelltest keinen Internetverkehr feststellen. Wir nehmen an, dass die Datenschutzerklärung bereits so formuliert ist, dass sie auch auf künftige Funktionen wie Fernzugriff auf das Gateway angewendet werden kann, da sie bereits die Erfassung personenbezogener Daten beinhaltet. Nach Auswertung der Lesbarkeit mithilfe der Flesch-Kincaid Reading Ease Metrik ist die auf das TRÅDFRI System zugeschnittene Datenschutzerklärung ab 16- bis 17 Jahren leicht verständlich. Die erfassten personenbezogenen Daten werden nur dazu eingesetzt, dass die App so funktioniert, wie sie sollte. Leider wird in der Datenschutzerklärung nicht definiert, welche Daten gesammelt und welche als personenbezogene Daten klassifiziert werden. Die Speicherzeit der erfassten Daten wird zwar erwähnt, jedoch nur unpräzise.

Einmal jährlich können Informationen zu den gespeicherten Daten kostenlos abgefragt werden, während die Änderung, Blockierung und Löschung dieser Daten jederzeit möglich ist. Eine wünschenswerte Verbesserung würde darin bestehen, das letzte Datum der Aktualisierung in jeder Version der Datenschutzerklärung aufzuführen. Bei der Kontaktadresse für datenschutzrechtliche Bedenken handelt es sich nur um eine allgemeine internationale E-Mail-Adresse für den „HomeSmart“-Bereich des Herstellers. Telefonische oder postalische Anfragen sind nicht möglich.

Die Berechtigungen der Android-App bewegen sich im Bereich des Notwendigen:

  • Kamera (Erfassung von QR-Codes zur erstmaligen Einrichtung des Produkts)
  • Netzwerkzugriff (Kommunikation mit dem Gateway)
Erforderliche App-Berechtigung
Erforderliche App-Berechtigung

Fazit

Die aggressive Preispolitik in Verbindung mit dem TRÅDFRI System und die allgemeine Beliebtheit von IKEA und IKEA-Produkten können weltweit zu einer deutlichen Steigerung des Einsatzes von Smart Home-Beleuchtungssystemen führen. Aus einem sicherheitsbasierten Blickwinkel heraus betrachtet hat IKEA ein solides Ökosystem gebaut, bei dem technisch gesehen keine wirklichen Sicherheitsprobleme bestehen. Nutzer sollten jedoch die umfassende Datenschutzerklärung bedenken, die es IKEA erlaubt, statistische Daten zu ihrem alltäglichen Nutzungsverhalten zu sammeln. In der Datenschutzerklärung wird nicht angegeben, welche Daten erfasst werden, was wiederum bedeutet, dass Nutzer sich nicht sicher sein können, ob die statistischen Daten nur den Einsatz ihrer smarten Glühbirnen betreffen oder sogar so weit gehen, Daten von Bewegungsmeldern oder sonstigen zukünftigen Produkten zu speichern.

Nach dem jetzigen Stand der Dinge haben wir dem TRÅDFRI Gateway und der App von IKEA drei von insgesamt drei möglichen Sternen verliehen. Ein erneuter Schnelltest und eine neue Bewertung werden vorgenommen, sobald IKEA ein Update auf den Markt bring, welches Fernzugriff ermöglicht.