Es ist wieder Zeit für einen Quick Check! Diesmal haben wir uns die Geräte vorgenommen, die das IT-Sicherheitskennzeichen des BSI hatten. Besonders interessieren uns zwei Kategorien, in denen wir auch Tests durchführen: Smarte Kameras und smarte Reinigungs- sowie Gartenroboter. Innerhalb dieser Kategorien gibt es jedoch nur zwei Geräte, deren Zertifikate am 31. Januar 2024 abgelaufen sind und bisher nicht erneuert oder verlängert wurden. Angesichts unserer jüngsten Erfahrungen mit verschiedenen Kameras im Quick Check haben wir uns dazu entschieden, die Kamera von Xiaomi genauer zu betrachten. Obwohl sie mit 60 Euro etwas teurer ist als die beiden letzten Kameras im Quick Check, bietet sie eine spannende Vergleichsbasis.
Merkmale
Die Mi 360° Home Security Camera 2K Pro, hergestellt für Xiaomi Communications Co., Ltd., bietet eine Reihe beeindruckender Merkmale und Funktionen für die Überwachung von Innenräumen.
Mit einer Auflösung von 3 Megapixeln und einem 360°-Panoramablick ermöglicht diese Kamera detaillierte Bilder und eine umfassende Überwachung des gesamten Überwachungsbereichs. Die Low-Light-Fill-Color-Technologie verbessert die Sichtbarkeit bei schlechten Lichtverhältnissen.
Die Kamera verfügt über eine KI-gestützte Menschenerkennung, die es ermöglicht, zwischen Menschen und anderen beweglichen Objekten zu unterscheiden. Dies trägt dazu bei, Fehlalarme zu reduzieren und eine präzisere Überwachung zu ermöglichen.
Darüber hinaus bietet die Mi 360° Home Security Camera 2K Pro physische Objektivblockierung und Dual-Mikrofon-Rauschunterdrückung für erhöhte Privatsphäre und klare Audioaufnahmen.
Die WLAN- und Bluetooth-Funktionen ermöglichen eine einfache Integration in bestehende Netzwerke, während die leichte Kamera mit einem Gewicht von nur 349 g einfach zu installieren ist.
Die Auflösung von 1296p und der Betrachtungswinkel von 110° bieten eine gute Detailerkennung und Abdeckung des Überwachungsbereichs. Die Aufzeichnungen können auf einer microSD-Karte mit einer Kapazität von bis zu 32 GB gespeichert werden.
Die Mi 360° Home Security Camera 2K Pro ist kompatibel mit Android ab Version 4.4 und iOS ab Version 9.0, was eine breite Einsatzmöglichkeit gewährleistet.
Insgesamt bietet die Mi 360° Home Security Camera 2K Pro eine umfassende Lösung für die Innenraumüberwachung mit verschiedenen nützlichen Funktionen und einer einfachen Integration in vorhandene Systeme.
Mobile Applikationen
Die zugehörige Anwendung ist die Android-App „Xiaomi Home“. Mit dieser App kann der Nutzer seine Geräte verwalten und mit den Geräten kommunizieren. Zusätzlich kann der Anwender eine Verbindung zwischen den Geräten und dem Netzwerk erstellen sowie die Geräten untereinander verbinden.
Wir haben die Anwendung (com.xiaomi.smarthome) in der Version 9.2.702 überprüft und sie den üblichen statischen und dynamischen Tests unterzogen.
Das Aktivieren von Cleartext -Netzwerkkommunikation innerhalb einer Android-Anwendung macht übertragene Daten für potenzielle Interception und Manipulation durch unbefugte Parteien, die den Netzwerkverkehr überwachen, zugänglich. Dies birgt ein erhebliches Sicherheitsrisiko, insbesondere wenn sensible Informationen wie Passwörter, Kreditkartenangaben oder persönliche Daten betroffen sind. Selbst wenn die übertragenen Daten nicht sensibel sind, bleibt die Nutzung von Cleartext-Kommunikation eine Schwachstelle. Cleartext – oder Plaintext-HTTP-Verkehr ist anfällig für Manipulation durch Netzwerkvergiftungstechniken wie ARP- oder DNS-Vergiftung. Dies öffnet die Tür für Angreifer, um möglicherweise das Verhalten der App zu manipulieren und ihre Integrität und das Vertrauen der Benutzer zu beeinträchtigen. Unsere Empfehlung ist, diese Funktion immer zu deaktivieren.
Des Weiteren ist die Signatur der Applikation nicht optimal geschützt, da alle drei Varianten der Signatur (V1, V2 und V3) signiert sind. Dadurch ist es möglich, die v1 Signatur anzugreifen, beispielsweise durch eine Janus-Schwachstelle in Android 5.0-8.0. Hierbei kommt auch der nächste Punkt zum Tragen: Die Applikation lässt sich auf Versionen von Android 6.0-6.0.1, [API=23] und neuer installieren. Wir empfehlen jedoch nur die Installation von Android Version 10, [API=29], da Android-Geräte, die mit dieser Version betrieben werden, noch Sicherheitsupdates erhalten. (Google unterstützt nur noch Versionen von Android 12, [API=31]).
Ein weiteres Problem ist, dass die Firmwareupdate nicht automatisch installiert wird. Positiv ist jedoch, dass man sie manuell über die App installieren kann und auch benachrichtigt wird.
Weitere Probleme wurden bei der Code-Analyse aufgedeckt.
Die gefundenen Probleme mit SharedPreferences sind Fehlalarme, da sie korrekt konfiguriert sind und den Wert MODE_PRIVATE verwenden, was bedeutet, dass sie nur von der eigenen App gelesen und beschrieben werden können. Ab Android Version 17 sind die anderen Modi, die eine weltweite Lesbarkeit und Schreibbarkeit ermöglichen, veraltet und werden nicht mehr empfohlen. Die Stellen, an denen Debugging aktiviert ist, sollten deaktiviert werden.
Ein weiteres Problem betrifft die Verschlüsselungsalgorithmen. Die verwendeten Ciphers sind veraltet und weisen öffentlich bekannte Schwachstellen auf, die es Angreifern ermöglichen könnten, sie zu umgehen. Dadurch sind die verschlüsselten Daten nicht mehr sicher, und es wird empfohlen, auf sicherere und aktuellere Algorithmen umzusteigen.
Bei unserer Analyse haben wir auch die Tracker berücksichtigt, und im Vergleich zu den zuvor getesteten Kameras (A9 Battery IP Kamera, WI-FI Panorama Camera) haben wir festgestellt, dass es diesmal mehr Tracker gibt. Diese Tracker decken verschiedene Bereiche ab. Es gibt drei verschiedene Tracker, die die Nutzung der Applikation analysieren, und einer ist für die App-Monetarisierung zuständig. Der Facebook-Login-Tracker ist für das Einloggen in Facebook verantwortlich, und AutoNavi/Amap ist ein chinesischer Anbieter von Web-Mapping, Navigation und standortbezogenen Diensten. Bugly ist ein Softwarehersteller, der sich auf die Erkennung und Verfolgung von Fehlern spezialisiert hat.
Lokale und Online-Kommunikation
Bevor der Nutzer loslegen kann, verlangt die Applikation das Erstellen eines Accounts. Dafür werden eine E-Mail und ein Passwort benötigt. Die Anforderungen an das Passwort sind jedoch bedenklich, da lediglich 8 Zeichen und 2 Zeichenarten erforderlich sind. Es wäre ratsam, zumindest den Empfehlungen des BSI zu folgen, indem entweder ein längeres Passwort verwendet wird oder eine Kombination aus mindestens vier Zeichenarten (Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen). Positiv anzumerken ist jedoch die Zwei-Faktor-Authentisierung mittels einer per E-Mail gesendeten PIN, die als zusätzliche Sicherheitsmaßnahme sehr zu begrüßen ist.
Als nächstes steht die Initialisierung der Kamera an. Hierzu drückt man den Knopf, um ein neues Gerät hinzuzufügen und erlaubt Bluetooth. Danach scannt man den QR-Code auf der Unterseite der Kamera. Daraufhin wird nach dem Wi-Fi-Netzwerk gefragt und man verbindet sich damit, indem das Smartphone sich zunächst mit einem temporären Wi-Fi der Kamera und dann mit dem angegebenen Netzwerk verbindet. Damit ist die Einrichtung der Kamera abgeschlossen. Natürlich kann man der Kamera noch einen Namen geben und sie einem Raum oder einer Gruppe zuordnen. Beim Betreiben der Kamera wird man nun darauf hingewiesen, eine PIN zu vergeben, dies ist jedoch rein optional. Wir würden es begrüßen, wenn dies bereits während der Einrichtung erwähnt werden würde.
Nachrichten werden zuerst an einen Server geschickt, wobei die Nachrichten so wie im Bild dargestellt aussehen. Danach wird die Kamera benachrichtigt. Die Nachrichten, die zum Server geschickt werden bestehen aus 5 Parametern: data, rc4_hash__, signature, _nonce und ssecurity. Die ssecurity wird aus einem miserviceToken ausgelesen und die __nonce wird aus der Zeitdifferenz zwischen der Erstellung des Tokens und der aktuellen Zeit erstellt. Diese beiden werden nun zusammengeführt und mit dem SHA-256 Algorithmus gehasht. Der Hash wird dann als geheimer Schlüssel für den RC4 verwendet, um die Daten zu verschlüsseln. Abschließend wird die Signatur über die Werte erstellt. Somit sind die Nachrichten gegen Replay-Angriffe durch die Zeitdifferenz und gegen Veränderungen durch die Signatur geschützt. Natürlich werden die Parameter für die Übermittlung in base64 umgewandelt. Es ist jedoch anzumerken, dass RC4 bereits einige bekannte Schwachstellen aufweist, und wir empfehlen, auf einen Algorithmus ohne offene Schwachstellen zu wechseln, beispielsweise durch die Verwendung von Rabbit, wie hier beschrieben.
Die Bluetooth-Verbindung kann nur für die Einrichtung verwendet werden und nicht für die Videoübertragung. Außerdem kann nur ein Account mit der Kamera verbunden sein, und um die Kamera erneut mit einem Account zu verbinden, muss ein physischer Reset an der Kamera durchgeführt werden.
Datenschutz und Privatsphäre
Auch diesmal haben wir uns die Datenschutzerklärung genauer angeschaut.
In der Datenschutzerklärung wurden die Kontaktpersonen für den Ansprechpartner in der EU sowie ein allgemeiner Ansprechpartner für alle Fälle per E-Mail genannt. Des Weiteren wird detailliert angegeben, welche Daten vom Nutzer gesammelt werden und dies ist für jede Funktion des Produkts aufgeschlüsselt. Außerdem haben die Nutzer das Recht, ihre Daten einzusehen, zu ändern, zu löschen und ihre Einwilligung zur Speicherung neuer Daten zu widerrufen.
Es wurde betont, dass keine Daten an Drittparteien verkauft werden. Wenn jedoch Drittanbieterlösungen wie beispielsweise zur Lokalisierung verwendet werden, werden die erhaltenen Daten verschlüsselt.
Ein erheblicher Nachteil besteht darin, dass in der Datenschutzerklärung ein Absatz enthalten ist, der diese Erklärung faktisch aufhebt. Es wird festgelegt, dass die Datenschutzerklärung von Xiaomi der Datenschutzerklärung von Mi Home/Xiaomi Home übergeordnet ist und im Falle von Unstimmigkeiten, die von Xiaomi Vorrang hat. Daraus ergibt sich, dass der Benutzer mindestens zwei Datenschutzerklärungen lesen und verstehen muss. Da die meisten Benutzer die Datenschutzerklärung im Normalfall nicht lesen oder nur überfliegen, kann dieser Umstand leicht übersehen werden.
Des Weiteren wurden in unserer Analyse einige Tracker gefunden. In der Datenschutzerklärung wurden jedoch nur Facebook und AutoNavi erwähnt. Somit werden Bugly, Google Firebase Analytics, Pangle und Tencent Stats nicht ausdrücklich erwähnt. In unserer dynamischen Analyse haben wir jedoch festgestellt, dass nur der Facebook-Tracker und der Google Firebase Analytics-Tracker aktiv sind.
Zu guter Letzt einige grundlegende Daten zur Datenschutzerklärung: Sie besteht aus 3.441 Wörtern mit durchschnittlich 23,9 Wörtern pro Satz. Die Lesezeit beträgt 4,54 Minuten, und die berechnete Lesbarkeit des Textes nach Flesch–Kincaid ist auf Hochschulniveau, was bedeutet, dass für das Verständnis der Datenschutzerklärung ein Sprachverständnis eines abgeschlossenen Hochschulstudiums erforderlich ist.
Fazit
Alles in allem ist die Kamera von Xiaomi ein gutes Produkt. Es gibt hier und da einige kleinere Anliegen, wie in der Codeanalyse und der Datenschutzerklärung angesprochen. Dies reflektiert unsere Erwartungen an das Produkt, das den Zertifizierungstest des BSI erfolgreich bestanden hatte. Jedoch ist auch zu sehen das es Verbesserungspotenzial in Hinsicht auf Security gibt. Daher können wir für unsere Bewertung keine Bestbewertung vergeben. Zusammenfassend ist es ein solides Produkt ohne schwerwiegende Probleme und im Vergleich zu den zuvor getesteten Produkten in Hinsicht auf Security eine überlegene Lösung.
Previous article 
