2020 hatten wir das erste Mal die Gelegenheit, im Rahmen unserer IoT-Zertifizierung einen ausführlichen Blick auf die smarte Lock- und Bridge-Combo des polnischen Herstellers tedee zu werfen. Damals überzeugte das schicke Schloss unsere Tester auf Anhieb mit einem absolut soliden Sicherheitskonzept und einer sauberen Implementation. Dieses Jahr wurde zum zweiten Mal eine Rezertifizierung durchgeführt, um wiederholt das ausgezeichnete Sicherheitsniveau zu bestätigen.

Zu diesem Anlass schickt tedee in diesem Jahr außerdem das neueste Schlossmodell tedee GO ins Rennen, um auch für dieses smarte Türschloss unser Zertifikat „Geprüftes IoT Produkt“ zu erlangen.

Das tedee GO ist, wie der Name bereits vermuten lässt, eine mobilere Version des ursprünglichen Modells. Die Installation ist nun nicht mehr an die Verwendung eines speziellen Schließzylinders oder Adapters gebunden, tedee GO lässt sich prinzipiell (und ähnlich zu anderen Modellen in diesem Produktsegment) an jeden beliebigen Zylinder montieren und öffnet und schließt über die motorische Drehung des im Zylinder steckenden Schlüssel. Abgesehen von diesem Unterschied funktioniert das tedee GO digital-technisch aber vollkommen identisch zum ursprünglichen Modell. Alle im Folgenden kurz zusammengefassten Ergebnisse gelten also ausnahmslos für beide Modelle.

Wie gewohnt haben wir uns bei der Analyse zuerst einmal die mobile Applikation ganz genau angesehen und dabei Ausschau nach bekannten und offensichtlichen Schwachstellen gehalten sowie die solide Implementation essenzieller Sicherheitsmechanismen geprüft. Hier konnten wir in den vergangenen Jahren keinerlei Indizien für mögliche Probleme ausfindig machen und auch in diesem Jahr gab es nicht viel zu berichten. Um die verschlüsselte Kommunikation der Applikation zu brechen und so an sensible Daten zu gelangen, hätte ein Angreifer nur die Möglichkeit, die Applikation selbst so abzuwandeln, dass das Sicherheitskonzept geschwächt wird. D.h. er müsste beispielsweise die originale .apk-Datei hernehmen, die sicherheitsrelevanten Bereiche (wie z.B. die für Zertifikat-Pinning) abändern und die eigene Version auf das Nutzertelefon zurückspielen, um dann die spätere Kommunikation abhören zu können. Klingt nicht nur aufwändig, ist es auch. Bei der tedee-App sogar besonders aufwändig, da die App zusätzlich auch noch durch Signatur-Checks geschützt ist, die für eine erfolgreiche Abänderung des Quellcodes ebenfalls noch umgangen werden müssten. Selbst wer das auf sich nimmt (und das haben wir natürlich), stellt dann fest, dass die eigentlich zu umgehenden Sicherheitsvorkehrungen in einer mitgelieferten .so-Library ausgelagert sind. Für diese eine (einigermaßen) menschenlesbare Repräsentation zu erhalten, ist optimistisch formuliert ebenfalls „recht aufwändig“. Um es kurz zu fassen, die Applikationen sind absolut adäquat abgesichert.

Eine der zu umgehenden Signatur-Checks, die eine Abänderung des originalen Quellcodes verhindern sollen

Das gleiche Feedback können wir auch zu den Geräten an sich verkünden. Wir haben die Kommunikation der Bridge über das Internet analysiert sowie die lokale Bluetooth-Kommunikation der Bridge und der Smart Locks selbst. Es wurden Replay-, Sniffing- und Hijacking-Angriffe aufgefahren und dennoch konnten wir keinerlei Indizien für Probleme feststellen, die im Betrieb eine reale Bedrohung der Sicherheit darstellen könnten.

Im Bereich Datenschutz hatten wir in diesem Jahr ein paar kleinere Punkte die Datenschutzerklärung betreffend. Dabei handelt es sich aber lediglich um kleinere Inkonsistenzen und Formalitäten, die in keiner Weise die Rezertifizierung gefährdet hätten, aber nichtsdestotrotz erwähnt werden mussten. Wir machen uns hier aber keine Sorgen, dass der Hersteller hier nicht vorbildlich wie gewohnt, schnell reagiert.

Insgesamt ist die tedee-Kombination aus Bridge und Smart Locks, wie auch in den vergangenen Jahren schon, souverän durch alle Tests gekommen und bewies dabei ein nach wie vor hohes Sicherheitsniveau, das praktisch keinerlei Grund für ernsthafte Kritik liefert. Dementsprechend vergeben wir, wie auch in den letzten zwei Jahren, überzeugt unser Zertifikat „Geprüftes IoT Produkt“ für das tedee set und das bald erhältliche neue tedee GO.