MEDION ist ein in Deutschland führender Hersteller von Consumer Electronics Produkten und Anbieter digitaler Services für alle. Das Sortiment umfasst u.a. eine Reihe an smarten Produkten. Die Steuerung von zwei Kategorien aus dieser innovativen Produktsparte fasst MEDION in den Themenwelten Apps MEDION Air und MEDION Robots zusammen. Hier bietet MEDION jeweils mehrere Produkte (Luftreiniger, Klimaanlagen und Saugroboter) an, die über die genannten mobilen Applikationen eingerichtet, verwaltet und gesteuert werden können. Diese Applikationen, MEDION Air und MEDION Robots, haben sich nun zusammen mit jeweils einem Vertreter der entsprechenden Produktkategorie den umfangreichen Zertifizierungstests von AV-TEST gestellt und dabei in allen relevanten Testbereichen überzeugt.

Die mobilen Applikationen MEDION Air (com.medion.air; Android / iOS v1.0.13 / v1.0.14) und MEDION Robots (com.medion.robots; Android / iOS v1.0.22) standen zusammen mit einem jeweiligen Vertreter ihrer Sparte, dem MD10378 als Luftreiniger (Firmware v3.1.4) und dem S30 SW als Staubsaugerroboter (Firmware v1.1.1), zum Test. Da die sicherheitsrelevanten Bereiche der Apps und anderen kompatiblen Geräte, gerade hinsichtlich Internetkommunikation, allerdings komplett identisch sind, gelten die Ergebnisse auch für alle anderen über die beiden Applikationen steuerbaren Geräte.

Im Bereich der mobilen Applikationen gibt es erfahrungsgemäß immer zumindest kleine Probleme, die zwar in den allermeisten Fällen im Bereich der theoretischen Verwundbarkeit liegen, aber nichtsdestotrotz erwähnt werden sollten. Auch die beiden MEDION Apps sind davon (wie nahezu 100% aller jemals von uns getesteten Applikationen) nicht komplett verschont. So sind eine größere Zahl der eingesetzten Bibliotheken nicht vollständig gegen bestimmte Speicherzugriffsangriffe abgesichert (aufgrund z.B. fehlender ASLR-Aktivierung). Dieses Problem sehen wir häufiger, der App-Entwickler hat hier aber oft keine wirkliche Einflussmöglichkeit, da es sich dabei meist um Drittanbieter-Bibliotheken handelt, die nur eingebunden und nicht selbst erzeugt werden. Auszunutzen ist diese Schwachstelle praktisch allerdings nur schwerlich und mit ohnehin schon weitreichenden Zugriffsmöglichkeiten des Angreifers. Bei den restlichen detektierten Punkten handelt es sich dann um einige möglicherweise nicht vollständig abgesicherte Services und Broadcast Receiver der Android-Applikationen und einige unter Umständen unsichere Funktionsaufrufe bei den iOS-Apps. Insgesamt aber alles ähnlich schwer auszunutzen und von uns eher im Bereich der rein theoretischen Angreifbarkeit aufgeführt.

Die Kommunikation der Applikationen wurde von uns durchgehend als sicher bewertet. Eine direkt lokale Kommunikation zwischen Geräten und Applikationen konnte nicht festgestellt werden und alle Kommunikation über das Internet war zu jeder Zeit nach aktuellem Stand abgesichert und gegen Standardangriffe, wie beispielsweise Man-in-the-Middle-Angriffe, absolut adäquat abgesichert.

Wir haben ebenfalls die Serverseite und Web-API der MEDION Cloud gescannt und analysiert und konnten auch hier keine Indikatoren für schwerwiegende Probleme ausfindig machen: Der Accountzugriff ist adäquat abgesichert und Manipulationsmöglichkeiten oder gar die Übernahme ganzer Accounts kann hier praktisch ausgeschlossen werden. Ein paar kleinere Punkte hinsichtlich der Serverkonfiguration konnten wir an den Hersteller melden, aber auch hier wurde uns versichert, dass die entsprechenden Punkte zeitnah beseitigt werden.

Luftreiniger MD10378

Die beiden Geräte, der Luftreiniger MD10378 und 2in1 Saugroboter S30 SW selbst wurden von uns natürlich auch ausgiebig auf potentielle Schwachstellen gerade hinsichtlich ihrer Kommunikation über das Internet und etwaiger Manipulationsmöglichkeiten hin untersucht. Aber auch hierbei gab es keine bösen Überraschungen mehr: Auch die Geräte kommunizieren ausschließlich abgesichert und alle von uns testweise durchgeführten Angriffe auf die Geräteverbindungen blieben erfolglos.

Saugroboter S30 SW

Im letzten, aber mittlerweile fast wichtigsten Testaspekt, dem Datenschutz, hatten wir dann auch nur wenige Anmerkungen zu machen. Die Datenschutzerklärung informiert detailliert über die Datensammlung, -verarbeitung und -speicherung von Kundendaten und stellt dabei die meisten benötigten Informationen zur Verfügung.  Im Bereich Tracker gab es noch Diskrepanzen zwischen Datenschutzerklärung und unseren Analyseergebnissen. So konnten wir Tracking-Module von Google (Firebase Analytics) und auch Teile vom Facebook- SDK detektieren, die in der Datenschutzerklärung bisher nicht erwähnt waren. MEDION hat nach Erhalt unserer Ergebnisse umgehend eine Analyse des Codes vorgenommen und uns mitgeteilt, dass die potentiellen Trackingtools nicht aktiv eingesetzt werden und nur Teil anderer, eingesetzter 3rd Party Libraries sind und daher nicht in der Datenschutzerklärung erwähnt werden.

Insgesamt bestehen die Applikationen MEDION Air und MEDION Robots zusammen mit den Vertretern der entsprechenden Produktkategorie ohne nennenswerte Probleme im ersten Anlauf alle Testbereiche und hinterließen bei unserem Testteam einen durchweg sehr positiven Gesamteindruck. Dementsprechend vergeben wir mit Freude unser Zertifikat „Geprüftes Smart Home Produkt“.