Nachdem wir uns in einem der letzten Schnelltests mit der Smart Home-Beleuchtung IKEA TRÅDFRI prüfend beschäftigt hatten, wollten wir mit dem intelligenten Philips Hue System nun auch einen der Hauptkonkurrenten in diesem Bereich unter die Lupe nehmen. Verglichen mit dem IKEA System ermöglicht das Hue Konzept einen vollständigen Fernzugriff auf das System und bietet Angreifern damit eine viel größere Bandbreite. Ob dies ebenfalls Einfluss auf das gesamte Sicherheitslevel des Systems hat, ist eine der Fragen, die wir mit diesem Schnelltest zu beantworten versuchen.

Applikation

Auf unsere Tester machte die getestete Android-App (Version 2.11.0) einen sehr guten Eindruck: Die App setzt auf standardmäßige Sicherheitsmechanismen wie z.B. eine hinreichende Nutzung von Obfuskation und zeigt keine Schwachstellen hinsichtlich sicherer lokaler Speicherung, hart programmierter Sicherheitsschlüssel oder allzu offener Bereitstellung von Informationen im Android Logcat. In dieser Hinsicht zeigt sich die Hue App von ihrer besten Seite.

Gerätekopplung

Es gibt zwei Möglichkeiten zum Pairing von neuen Geräten. Um die Hue App mit der Hue Bridge zu koppeln, muss die Verbindungstaste der Bridge gedrückt werden, welche wie eine WPS-Taste funktioniert und durch einfaches Drücken Verbindungen zu Geräten herstellen kann. Die Koppelung neuer Hue-Zusatzgeräte wie Leuchtmittel, Schalter oder Bewegungsmelder läuft direkt über die App selbst.

Was uns gefehlt hat, war ein Überblick über verbundene Apps und Dienste. Das Philips Hue System hat eine umfangreiche API für diverse Dienste und das Pairing neuer Hue Apps ist ein Kinderspiel. Nach dem Pairing ist es dem Nutzer allerdings nicht möglich, festzustellen, wer in der Lage ist, die Beleuchtung zu steuern oder Informationen von den Sensoren zu erhalten etc. (Von diesem Problem sind auch andere Lösungen wie z. B. IKEA TRÅDFRI betroffen.)

Eine Liste gekoppelter Apps und Dienste sowie deren letztes Zugriffsdatum werden an die Hue App übertragen, können jedoch weder eingesehen (noch gelöscht) werden. Auch können andere Informationen  ausgespäht werden, wie im Abschnitt „Lokale Kommunikation“ dieses Testberichts dargelegt wird.

Status der Bridge und Zugriffshistorie (zum Vergrößern klicken)
Status der Bridge und Zugriffshistorie

Online-Kommunikation

Als wir die Kommunikation zwischen der Hue Bridge und den Philips-Servern beobachtet und analysiert haben, waren wir zunächst ziemlich überrascht, dass besagte Kommunikation über HTTP läuft. Erst beim zweiten Hinsehen wurde uns klar, dass sie trotzdem ausreichend gesichert ist: Philips‘ Vorgehensweise bestand darin, durch separat AES-verschlüsselten Payload eine extra Kommunikationsschicht einzubauen; die Übertragung verläuft dann via HTTP. Warum diese Vorgehensweise gewählt wurde, können wir nur spekulativ beantworten. Nach unserer Annahme könnte es damit zusammenhängen, dass man die zusätzlichen Mühen gescheut hat, die mit der erforderlichen Infrastruktur und Implementierung einer geschützten SSL-Kommunikation einhergehen, und auch die klassischen Probleme vermeiden wollte, die mit sicheren Zertifizierungen, dem Austausch von Schlüsseln und Authentifizierung verbunden sein können. Letztlich ist ein solches Vorgehen aber problemlos möglich, solange die AES-Schlüssel geheim gehalten werden können. Wir haben jedoch den Verdacht, dass gar kein Austausch von Schlüsseln zwischen der Bridge und den Servern stattfindet (sonst gäbe es keinen Grund dafür, dass Philips Lighting nicht ganz einfach eine standardmäßige SSL-Verschlüsselung einsetzen würde), und die Schlüssel somit fest in die Firmware der Bridge eingebunden sein müssen. Allerdings befinden wir uns hier im Reich der Spekulationen, denn wir haben im Rahmen dieses Schnelltests nicht die Möglichkeiten gehabt, die Firmware der Bridge auszulesen oder deren verschlüsselte Übertragung auszuspähen.

Für ein effektives Maß an Sicherheit ist bei der Kommunikation zwischen Android-App und Server gesorgt worden, indem man die Verwendung des Android Internet-Browsers in die App integriert hat. Die Authentifizierung für den Fernzugriff und der Fernzugriff selbst erfolgen über die api.meethue.com Website, auf welche die App umleitet. Der Vorteil einer solchen Implementierung liegt darin, dass die Überprüfung von Zertifikaten – notwendig zur Vermeidung von Man-in-the-Middle-Angriffen – vom Browser vorgenommen wird und die Verbindung adäquat gesichert ist. Certificate Pinning als solches ist bei dieser Methode logischerweise nicht möglich, aber alle Standard-Prüfungen werden automatisch durchgeführt, z.B. hinsichtlich einer einer vertrauenswürdigen Zertifizierungsstelle (CA) oder des Common Name (CN), ohne dass die App selbst die Validierungen durchführen muss. Man-in-the-Middle-Angriffe auf App-Verbindungen sind daher ziemlich unwahrscheinlich und können in den meisten Szenarien wirksam vermieden werden.

Lokale Kommunikation

Während die Online-Kommunikation zwar unkonventionell aber adäquat abgesichert ist, verfügt die lokale Kommunikation zwischen der Android-App und der Hue Bridge über keinerlei Absicherung. Es gab weder Hinweise auf Verschlüsselung noch echte Authentifizierung. Im Schnelltest haben wir die Möglichkeit von Replay-Angriffen geprüft, also Angriffe durch Wiedereinspielung, indem Pakete von Befehlen nochmals gesendet wurden. Dies funktionierte, wie erwartet.

Unverschlüsselte lokale Kommunikation
Unverschlüsselte lokale Kommunikation

Wie bereits unter dem Punkt „Gerätekopplung” (Abbildung 1) angeführt, werden die für den Zugang zur Hue Bridge notwendigen Daten und weitere Informationen wie der Status der Link-Taste oder die Verbindung zu MeetHue.com ebenfalls unverschlüsselt übertragen. Deswegen versuchten wir auch, via Debug-Webinterface (http://huebridge/debug/clip.html) das Licht anzuschalten.

Lichter über Debug-Web-Interface schalten
Licht über Debug-Web-Interface schalten

Es ist desweiteren möglich, über jegliche registrierte User-ID direkten API-Zugang zu erlangen. Einzelheiten über die Möglichkeiten der Debug-Schnittstelle sind hier zu finden: https://github.com/tigoe/hue-control oder https://www.princesspolymath.com/hacking-a-philips-hue-remote-api-in-node.html.

Bei vielen kürzlich von uns getesteten Produkten wird die Sicherheit bei der lokalen Kommunikation komplett ignoriert; die Hersteller gehen anscheinend davon aus, dass ihre Produkte in ein komplett geschütztes, lokales Netzwerk integriert werden. Und selbst angesichts einer solchen Denkweise sollte man nicht auch noch zusätzlich davon ausgehen, dass alle Clients in einem Netzwerk berechtigt sind, Zugriff auf alles und jedes zu erhalten, was damit verbunden ist. Wir sind der Meinung, dass ausreichend verschlüsselte Authentifizierung hier eine Mindestanforderung sein sollte.

Digitale Assistenten

Dienste von Drittanbietern wie IFTTT und natürlich auch digitale Assistenten wie Siri oder Alexa können mit der Hue Bridge verbunden werden. In unseren Tests zeigte sich, dass die Verbindungen zwischen diesen Diensten und der Bridge immer TLS 1.2-verschlüsselt waren.

Frühere Hacks

Produkte der Hue-Familie sind sehr beliebt, daher waren sie bisher und sind auch weiterhin gleichermaßen ein beliebtes Ziel von Hackern. Es gab einige Vorfälle in Verbindung mit der Hue Bridge, aber Philips Lighting hat sich stets bemüht und die Sicherheitslücken geschlossen. 2016 gelang es Forschern beispielsweise, über eine Entfernung von mehr als 200 Metern durch eine Schwachstelle im ZigBee Funkstandard smarte Hue-Lampen zu knacken. Sie setzten dabei eine Drohne mit einem ZigBee Sendemodul ein und infizierten die Birnen, während die Drohne an dem Gebäude vorbeiflog (Einzelheiten dazu unter: http://iotworm.eyalro.net/iotworm.pdf). Die Forscher fanden eine Sicherheitslücke in dem Funkprotokoll von ZigBee und konnten über eine erste infizierte Glühbirne den Schadcode auf weitere benachbarte Birnen übertragen. Alle infizierten Philips-Lampen ließen sie dann einen SOS-Morsecode blinken.

War Flying video (https://www.youtube.com/watch?v=Ed1OjAuRARU)
War Flying video (https://www.youtube.com/watch?v=Ed1OjAuRARU)

Ein anderes Forscherteam ging noch einen Schritt weiter und baute einen Empfänger auf Basis eines Arduino-Boards, der Lichtsignale von infizierten Glühbirnen erhielt. Die Lampen flackerten dabei mit einer Frequenz von 60 Hertz, für das bloße Auge nicht erkennbar. Den Forschern ging es dabei letztlich um das Prinzip der Machbarkeit, lassen sich so doch nur 10 Kilobyte pro Tag an Datenmenge übertragen (Einzelheiten dazu unter: http://www.wisdom.weizmann.ac.il/~eyalro/EyalShamirLed.pdf). Auch wenn der tatsächliche Nutzen eines solchen Hacks zu vernachlässigen ist, wird doch gezeigt, dass selbst unscheinbare IoT-Geräte zu Angriffszwecken missbraucht werden können und dass dem Aspekt der Sicherheit tunlichst eine stärkere Priorität beim Produktdesign eingeräumt werden sollte.

Rooten der Hue Bridge

Das Rooten der Hue Bridge liegt durchaus im Bereich des Möglichen, dazu ist jedoch ein Zugriff auf die Hardware nötig. Dazu kann zunächst ein serielles Kabel an einen internen Testpunkt angeschlossen werden. Nach dem Kurzschließen zweier weiterer Testpunkte bootet die Bridge im Debug-Modus und kann über die serielle Schnittstelle gesteuert werden. Weiter Einzelheiten sind hier zu finden: http://colinoflynn.com/2016/07/getting-root-on-philips-hue-bridge-2-0/.

Datenschutz

In der Datenschutzerklärung von MeetHue.com, aka Philips Lighting, wird im Detail erklärt, welche Daten über die App, die Website und die Geräte des Unternehmens gespeichert werden. Nach Auswertung der Lesbarkeit mithilfe der Flesch-Kincaid Reading Ease Metrik ist die Erklärung ab 14- bis 15 Jahren leicht verständlich.

In Abhängigkeit von den gekauften Produkten und davon, ob Nutzer bei MeetHue.com registriert sind, werden unterschiedliche Daten gesammelt. Der Einsatz von Philips Hue Bewegungsmeldern beispielsweise bedingt die Erfassung von Daten zu Lichtniveaus und Bewegungsdaten, während Informationen zu deren Nutzung bei allen Geräten gesammelt werden. Einzelheiten zur Datenerfassung können hier eingesehen werden: http://www2.meethue.com/en-US/privacy-policy (deren Auflistung würde den Rahmen dieses Artikels sprengen). Bei datenschutzrechtlichen Bedenken steht nur ein Standard-Kontaktformular zur Verfügung.

Nach unserer Auffassung fehlen in der Datenschutzerklärung eine Liste, in der die gespeicherten Daten aufführt werden, die Zeiten, für die sie gespeichert werden, und die Partner, mit denen die Daten geteilt werden. Klare Aussagen dazu sind in der Datenschutzerklärung nicht zu finden, dafür eher unpräzise Angaben.

Die Berechtigungen der Android-App bewegen sich im Bereich des Notwendigen:

  • Standort (Geofencing / Coming Home-Funktion)
  • Speicher (Speicherung oder Import von Fotos und Lichtszenen)
  • Netzwerkzugriff (Kommunikation mit der Hue Bridge)
Erforderliche App-Berechtigungen
Erforderliche App-Berechtigungen

Fazit

Mit der Hue-Familie hat Philips Lighting ein großartiges Beleuchtungssystem mit vielfältigen Funktionen auf den Markt gebracht, dazu gehören beispielsweise Bewegungssensoren, mit denen sich je nach Tages- und Nachtzeit die Beleuchtungsstufen eines Raums verändern lassen, und angebundene Dienste wie Amazon Alexa, Apple HomeKit und Siri oder auch IFTTT. In der Vergangenheit gab es einige Sicherheitslücken bei der Hue Bridge und der App, aber Philips hat diese behoben und das auch innerhalb kürzester Zeit. Dass die lokale Kommunikation innerhalb des Systems allerdings komplett unverschlüsselt abläuft, ist in dieser Preisklasse schlicht und einfach ein No-Go. Philips Lighting wäre daher gut beraten, bei der bestehenden Lösung noch nachzubessern, indem das Unternehmen für eine Verschlüsselung der Kommunikationswege sorgt. Sobald dies geschehen ist, werden wir statt 2 Sternen die Maximalwertung von 3 Sternen vergeben.