Heißluftfriteusen sind vielerorts im Trend, insbesondere durch die fettärmere Zubereitung, beispielsweise von Pommes Frites in der Mittagspause unserer Testingenieure. Die per App steuerbare Cosori CS158-AF wurde von uns einem umfangreichen Sicherheitstest unterzogen.
Technische Daten
Die smarte Heißluftfriteuse CS158-AF verfügt über einen 5,5 Liter großen Garraum und heizt diesem mit einer angegebenen Leistung von 1700 W ein. Sie kann mit 11 Automatikprogrammen, aber auch manuell angesteuert werden – sowohl über das Bedienpanel als auch via App oder Sprachassistent. Nach der kurzen Einrichtung ist die Friteuse dauerhaft mit dem heimischen WLAN verbunden und kann auch von unterwegs gesteuert werden. Die Steuerung des Geräts findet über die VeSync App (Android, iOS) statt. Hierüber können auch Rezepte eingesehen und gestartet werden – das Rezept zeigt hierbei die notwendigen Einstellungen der Friteuse. Ähnlich wie bei Xiaomi ist die VeSync Applikation aber nicht nur auf Friteusen ausgerichtet, sondern fasst zahlreiche Produkte verschiedener Lebensbereiche zusammen, beispielsweise auch Beleuchtung, Luftreiniger und Fitnessgeräte.
App
Die VeSync App (Version 3.1.32) wurde von uns im Rahmen einer statischen und dynamischen Analyse auf den Prüfstand gestellt. Sie verfügt über sehr umfangreiche Berechtigungen, beispielsweise GPS, Kontakte, Anrufhistorie, laufende Apps und Zugriff auf die Kamera. Diese werden erst angefordert, sofern sie benötigt werden. Die Basiskonfiguration der Applikation erlaubt unverschlüsselte Kommunikation zu jeglichen Servern und hebelt laut statischer Analyse diverse Mechanismen zur Zertifikatsvalidierung aus. Weiterhin wird der Zugriff auf zahlreiche Activities und Services von ihr mit anderen Apps geteilt, was für Schadsoftware ein mögliches Einfallstor darstellen kann. Ein weiteres, mögliches Einfallstor ist mindestens eine unsichere WebView Implementation, in welcher Remote WebView Debugging aktiviert ist. Diese könnte selbst auf nicht gerooteten Geräten Vollzugriff auf die Daten der Applikation verschaffen. Hierzu müsste allerdings das Smartphone entsperrt, die korrekte Ansicht geöffnet und das Smartphone an einen Computer mit aktiver Android Debug Bridge angeschlossen werden. Demnach ist dieses Szenario eher theoretischer Natur, verstärkt aber den Eindruck einer sicherheitstechnisch optimierungsbedürftigen Applikation.
Ein Blick in die auf ungerooteten Geräten im Regelfall nur durch die Applikation selbst einsehbaren Datenordner zeigt unter anderem Daten der zahlreichen, integrierten Tracker (laut statischer Analyse: Bugsnag, Facebook Login, Facebook Places, Facebook Share, Google CrashLytics, Google Firebase Analytics, Sensors Analytics sowie TalkingData). Auch die Zugangsdaten des zwingend erforderlichen VeSync Kontos sind im Klartext in der user_save_info.xml gespeichert, wobei nicht das Passwort selbst, sondern sein MD5-Hash (#rainbowtable) gespeichert wird. Zusätzlich wird ein Zugangstoken abgelegt, mit Hilfe dessen alle weiteren Abfragen an die VeSync API authentifiziert werden. Reverse-Engineering war hierzu nicht erforderlich, da die App im öffentlichen Speicher des Smartphones ein Debug-Protokoll jedes App-Starts anlegt und dort sämtliche Abfragen sowie die Antworten aufgelistet werden – inklusive genutzter Zugangsdaten im Klartext.
Online-Kommunikation
Die Steuerung der Cosori Heißluftfriteuse findet über die bereits erwähnte VeSync API statt. Laut Netzwerkanalyse ist ein Chip des Herstellers Espressif für die WLAN-Verbindung verantwortlich, genauer gesagt ein ESP8285 – ein WLAN SoC mit integriertem Flash-Speicher. Das Gerät baut eine verschlüsselte MQTT-Verbindung zu Amazon AWS US auf und hält diese immer aufrecht. Eine lokale Steuerung abseits der VeSync API ist nach aktuellem Stand nicht möglich.
Alle Verbindungen zur VeSync API waren TLS1.2-verschlüsselt, allerdings lässt die API auch ältere, unsichere TLS-Versionen wie TLS1.0 zu. Ein Schutz vor Downgrade-Attacken besteht daher nicht. Open-Source-Projekte haben die API bereits ausführlich dokumentiert, in einem Test der wichtigen Funktionen, unter anderem der Prüfung auf ein bestehendes Konto unter einer E-Mail-Adresse sowie des Logins, fiel auf, dass die API auch keinerlei Rate Limiting Mechanismen einzusetzen scheint und Angriffen, beispielsweise unter Nutzung von Rainbowtables, Tür und Tor öffnet. In unserem Test war es immerhin nicht möglich, die Friteuse über ihre maximal vorgesehene Temperatur von 205°C anzusteuern, aber ein erfolgreicher Angriff kann dennoch brandgefährlich werden.
Die Friteuse selbst validiert Zertifikate korrekt, auch die App hat entgegen widersprüchlicher Angaben der statischen Analyse für sämtliche VeSync-API-Abfragen zusätzlich Certificate Pinning implementiert.
Bisherige Hacks
Die Cisco Talos Intelligence Group hat im April 2020 zwei Schwachstellen im Registrierungsprozess des Geräts entdeckt. (CVE-2020-28592, CVE-2020-28593, Firmware-Version 1.1.0) Es wurde der offene WLAN-Hotspot ausgenutzt, der zu Beginn der Einrichtung geöffnet ist und ein verfälschtes Konfigurationspaket an das Gerät gesendet, mit welchem ein Debug-Port geöffnet und beliebiger Code ausgeführt werden konnte. Für die Ausnutzung der Lücke war demnach physischer Zugriff und das Zurücksetzen des Geräts erforderlich. Im April 2021 veröffentlichte Cosori laut Angaben von Talos ein Firmware Update, mit dem diese Lücken geschlossen wurden. Interessant ist, dass die von uns getestete Friteuse einen älteren Firmwarestand aufzuweisen scheint und dennoch behauptet, aktuell zu sein.
Datenschutz
Um sich über den Datenschutz der VeSync App und der Cosori Heißluftfriteuse zu informieren, muss erst einmal die richtige Datenschutzerklärung gefunden werden. Die in den Stores verlinkte Version der Datenschutzerklärung (Stand 03.12.2020) ist beispielsweise nicht auf europäische Nutzer ausgerichtet, enthält aber bereits Informationen zur VeSync App. Dies ist zumindest ungewohnt, da die meisten uns bekannten Unternehmen die Richtlinien der DSGVO global umsetzen. Für europäische Nutzer ist eine separate Datenschutzerklärung (Stand: 25.11.2020) verfügbar, welche allerdings keine Informationen zur App enthält, sondern in diesem Punkt auf eine separate, dritte Datenschutzerklärung (ebenfalls Stand 25.11.2020) verweist. In der App selbst ist auch eine Datenschutzerklärung in der eingestellten Sprache des Smartphones verfügbar, diese weicht inhaltlich aber, zumindest in der deutschen Version, von der englischsprachigen Version ab. Inhaltlich orientieren wir uns daher an der englischsprachigen App-Datenschutzerklärung mit Stand 25.11.2020 – Es bleibt aber generell nur anzuraten, die Datenschutzerklärungen zu konsolidieren.
Die Datenschutzerklärung ist nicht an die DSGVO angepasst, weiterhin wird in dem knapp 6000 Worte langen Text nur wenig auf aufgezeichnete Daten eingegangen. Die zahlreichen in der App integrierten Tracker und die von ihnen aufgezeichneten Daten werden beispielsweise nicht erwähnt. Weiterhin werden die umfassenden App-Berechtigungen nicht erwähnt. Diese sollten inklusive ihres Zwecks unbedingt näher beschrieben werden.
Fazit
Das Internet of Things dringt mittlerweile in viele Bereiche vor. Auch in der Küche sind smarte Geräte stark im Vormarsch, beispielsweise der ebenfalls von uns getestete Monsieur Cuisine Connect. Die von uns auf Herz und Nieren geprüfte Heißluftfriteuse Cosori CS158-AF lässt uns allerdings mit gemischten Gefühlen zurück. Natürlich kann man über Sinn und Unsinn einer via Internet steuerbaren Friteuse streiten – was aber nicht streitbar ist: Der Zugriff muss abgesichert sein und die Datenerfassung nur insoweit es der Zweck erfordert. Beide Punkte sind bei dem Gerät des US-amerikanischen Herstellers eher fraglich. Die an sich stets verschlüsselte Übertragung täuscht nicht über die hohe Datenerfassung durch viele Analysetools und Tracker hinweg. Weiterhin sind sowohl die VeSync App als auch die dazugehörige API stark verbesserungsbedürftig.
Aus diesem Grund vergeben wir für die Cosori CS158-AF einen von drei möglichen Sternen.
Previous article 
