Bei kaum einem Smart Home-Produkt ist der Wunsch nach überprüfter Sicherheit greifbarer als bei einem Türschloss. Mit NUKI Combo erhält nun das erste Smart Lock-System überhaupt das AV-TEST-Zertifikat „Sicheres Smart Home Produkt“.

In Folge unseres Vergleichstests von Smart Locks bat uns die Geschäftsführung des österreichischen Herstellers NUKI, ihr Produkt Nuki Combo  – bestehend aus dem Nuki Smart Lock (FW-Version 1.5.3) und der Nuki Bridge zusammen mit der Nuki App (Version 1.9.1) –  im Rahmen eine Zertifikatstests zu überprüfen. Zusätzlich wurde der dazugehörige Alexa Skill für Amazon Echo mitgetestet.

Sichere lokale Kommunikation

Über die App kann direkt per Bluetooth 4.0 auf das Nuki Smart Lock zugegriffen werden. Der Zugriff erfolgt Ende-zu-Ende verschlüsselt und ist gegen Replay-Angriffe geschützt. Die App kann entweder per Einladungscode oder über fünf Sekunden langes Drücken des Buttons am Smart Lock gekoppelt werden. Die Einladung via Einladungscode ist hinreichend sicher, da zur Einladung ein Administrations-PIN definiert und eingegeben werden muss. Um sich noch mehr abzusichern, kann die Kopplungsmethode via Button in der App deaktiviert werden.

Sichere Online-Kommunikation

Über die Erweiterung Nuki Bridge kann über App und Webportal ein Fernzugriff auf das Nuki Smart Lock erfolgen. Hierbei wird über Server des Herstellers und die Nuki Bridge eine Verbindung zum Smart Lock aufgebaut. Für die Online-Kommunikation kommt dabei eine Ende-zu-Ende Verschlüsselung zum Einsatz, die identische Verschlüsselungskeys benutzt, wie für den lokalen Zugriff, sodass nur Sender und Empfänger Zugriff auf die versendeten Daten haben.

Sichere Kommunikation dank TLS1.2-verschlüsselter App-Kommunikation

Die Verbindungen zwischen App und Server sind TLS 1.2 verschlüsselt, die Verbindungen zwischen Server und Bridge per TLS 1.1. Beide Verbindungen sind gegen Man-in-the-Middle Angriffe gewappnet, da zusätzlich zur TLS-basierten Verschlüsselung auf Certificate Pinning gesetzt wird und somit bei unbekannten Zertifikaten die Kommunikation direkt abgebrochen wird.

TLS1.1-verschlüsselte Bridge-Kommunikation

 

Gut abgesicherte App

Unsere Analyse der NUKI-App  lieferte keinerlei Hinweise auf offensichtliche oder kritische Schwachstellen innerhalb der Implementation bezüglich sicherheitsrelevanter Funktionen, wie Pairing, Authentifizierung und Verschlüsselung.

Die durch die App lokal auf dem Smartphone gespeicherten Daten wurden ebenfalls untersucht. Auch hierbei ergaben sich keine Hinweise auf eine ungeschützte oder anfällige Speicherung von sensiblen Daten, die potentiell durch einen Angreifer zu Zwecken der Manipulation, Steuerung oder Authentifizierung genutzt werden könnten.

Weitere Informationen, die ein Reverse-Engineering unterstützen könnten, beispielsweise durch exzessive Debug-Ausgaben im Android Logcat oder das Anlegen von zu detaillierten Logs konnten ebenfalls nicht festgestellt werden.

Firmware-Updates werden ebenfalls über verschlüsselte Verbindungen heruntergeladen, so dass ein Angriff auch an diester Stelle mit einfachen Mitteln praktisch nicht möglich ist.

Amazon Alexa Skill

Wenn das Nuki Smart Lock über den Alexa Skill angesprochen wird, ist die Kommunikation identisch verschlüsselt, wie beim Web-Zugriff mit der NUKI-App. Zum Öffnen des Schlosses ist die Ansage einer PIN notwendig. Zu erwähnen ist, dass der Zugriff über den Skill nicht in den eingerichteten Smart Lock Benutzern auftaucht, da der Web-Zugriff benutzt wird.

Datenschutz

Die Datenschutzerklärung ist leicht verständlich geschrieben und klärt, welche Daten für welchen Zweck aufgezeichnet und gespeichert werden. Positiv aufgefallen ist, dass keine Daten mit Dritten geteilt werden.
Wünschenswert wäre es, wenn die Speicherdauer von Nutzerdaten, beispielsweise von Standortdaten, in der Datenschutzerklärung angegeben würde. Ein Passus zum Amazon Alexa Skill wäre ebenfalls angebracht. Das Löschen des Nuki Web Accounts ist direkt in Nuki Web möglich, weiterhin können hier auch einzelne Smart Locks aus dem Account entfernt werden.

Die Berechtigungen der Android App beschränken sich auf einen erfreulich minimalen Umfang:

Die NUKI-App verlangt nur geringen Datenzugriff auf dem Nutzer-Smartphone

 

 

Bewertung

Das Schließsystem Nuki Combo der Nuki Home Solutions GmbH besteht die Prüfung gegen den aktuellen Prüfkatalog der AV-Test GmbH und erfüllt die Sicherheitsanforderungen des AV-TEST Zertifizierungsprogrammes. Damit erhält Nuki Combo das Siegel „Geprüftes Smart Home Produkt“. Maik Morgenstern, CTO des AV-TEST Institutes meint: „NUKI beweist, dass durchdachte Sicherheit nicht den Bedienkomforts eines Smart Home-Produktes einschränken muss. Hier zeigt sich, dass Sicherheit in der Produktentwicklung von Beginn an eine entscheidende Rolle spielte. Das ist vorbildlich.“