![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Wie steht es mit der Sicherheit bei Smart Home Systemen von eQ-3 Homematic und speziell der Smart Home Zentrale (CCU)? Die Systeme stellen ja so etwas wie einen Standard zur Heimautomatisierung dar. Und es gibt inzwischen mehrere Generationen der Smart Home Zentrale.<\/p>\n
<\/p>\n
Es geht im Kern um das eQ-3 Homematic-System, welches auf dieser Webseite<\/a> beschrieben wir. Es schein ein ausgereiftes System in Modulbauweise zu sein, welches mit verschiedenen Modulen alles, von der Heizungssteuerung, zur Sicherheits\u00fcberwachung, zur Lichtsteuerung, bis zur Klimasteuerung etc.\u00a0 einiges abdeckt. Ein Bussystem vereinfacht die Montage, die Verwaltung kann \u00fcber die Smart Home Zentrale (CCU) im lokalen Netzwerk, aber auch \u00fcber das Internet erfolgen.<\/p>\n H\u00f6rt sich solide an, wird wohl in Deutschland entwickelt und ist schon einige Jahre verf\u00fcgbar. Aber bei den Stichworten Heimvernetzung und Steuerung \u00fcber das Internet taucht bei mir sofort die Frage 'Wie sicher ist das alles?' auf.<\/p>\n \u00dcber diesen Artikel<\/a> hatte ich ja bereits mitbekommen, dass jemand einige Schwachstellen in der Smart Home Zentrale (CCU) der eQ-3 Homematic gefunden und an den Hersteller gemeldet hatte. Dem Artikel zufolge l\u00e4uft die Beseitigung dieser Schwachstellen, die im Januar 2019 dem Hersteller gemeldet wurden, \u00e4u\u00dferst z\u00e4h. Zumindest l\u00e4sst sich dort der Vorwurf nachlesen, dass manche Schwachstellen nie behoben wurden oder das Patches neue Sicherheitsl\u00fccken aufgerissen haben.<\/p>\n Die Tage meldete sich der Urheber dieses Artikels<\/a> mit dem Hinweis, dass die eQ-3 Homematic CCU Smart Home Systeme durch einen Cocktail an verschiedenen RCE Sicherheitsl\u00fccken immer noch angreifbar seien. Ich kann mangels Hardware und Ressourcen nichts \u00fcberpr\u00fcfen. Der Betreffende gab an, dass die Produktl\u00f6sung mit Access Point via Cloud-Anbindung hiervon nicht betroffen sei. Zur Motivation schreibt der Betreffende:<\/p>\n Nach nun sehr langem und z\u00e4hem und teils erfolglosem Ringen um Sicherheitsupdates denke ich, dass die Besitzer von eQ-3 Homematic CCU Der unbedarfte Ottonormalverbraucher wird sich der m\u00f6glichen Der Blog-Leser verweist darauf, dass der Mirai Abk\u00f6mmling Echobot auch Homematic Der Blog-Leser gibt an, dass es verschiedene M\u00f6glichkeiten einer recht simplen RemoteCodeExecution g\u00e4be, die die Homematic Smart Home Zentrale (CCU) und dadurch das eigene lokale Netzwerk gef\u00e4hrden. Er f\u00fchrt die seit 2018 \u00f6ffentlich bekannte Schwachstelle CVE-2018-7297 in der CCU2 an, f\u00fcr die es bisher seitens des Herstellers kein Sicherheitsupdate gibt.<\/p>\n Vom Hersteller, so die Aussage des Lesers, habe es die Begr\u00fcndung gegeben, 'dass die Behebung evtl. nicht wirtschaftlich sinnvoll l\u00f6sbar ist', da sonst 3rd-Party Partnererweiterungen nicht mehr laufen w\u00fcrden. Die HTTP POST Requests auf Port 80 werden somit weiterhin nicht wie bei einer CCU3 geblockt.<\/p>\n Auf einer CCU2 und CCU3 und auch den Community Varianten RaspberryMatic und piVCCU3 kann zus\u00e4tzlich bei falscher (lokaler Firewall) Konfiguration oder fehlender Grundsicherung derselbe Request auf Port 8181 abgesetzt werden. Die CCU2 besitzt hier nicht einmal eine Authentifizierungsm\u00f6glichkeit, w\u00e4hrend diese M\u00f6glichkeit auf den anderen Systemen erst optional eingeschaltet werden muss.<\/p>\n Eine CCU Zentraleinheit kann mit zus\u00e4tzlicher AddOn-Software erweitert werden, was f\u00fcr Funktionserweiterungen ganz nett ist. Diese Erweiterungen liefern durch fehlende Authentifizierung weitere Schwachstellen mit RCE M\u00f6glichkeiten. Hier ist nicht eQ-3 als Hersteller in der Pflicht, sondern die Privatentwickler der AddOns. Hier eine \u00dcbersicht der AddOns mit Problemen.<\/p>\n Der Leser schreibt, dass auch diese AddOns bisher nicht gefixt wurden. Zudem merkt der Leser an, dass eQ-3 bei Vorhandensein eines AddOn automatisch jeglichen Support verweigere. Da stellt sich aber die Frage: Warum bietet der Hersteller die Installation weiterer Pakete an, um dann den Support f\u00fcr die eigene Software zu verweigern?<\/p>\n Da die Benutzer die n\u00f6tigen Firmware-Updates zum Schlie\u00dfen von Schwachstellen nicht installieren, er\u00f6ffnet dies weitere Sicherheitsl\u00fccken, so der Blog-Leser. Zudem gibt er an, dass es gen\u00fcgend Beispiele g\u00e4be, wo durch ein neues Update auch neue Fehler eingebaut wurden und viele Benutzer bewusst den Leitsatz \u201enever change a running system\" verfolgen.<\/p>\n Sollten Benutzer bei der CCU2 Firmware \u00e4lter als 2.47.18 oder bei der CCU3 \u00e4lter als\u00a0 3.47.18 einsetzen, gibt es die Sicherheitsl\u00fccke CVE-2019-16199.<\/p>\n Weitere potentielle Schwachstelle: Die CCU bietet bis heute in der Grundkonfiguration ein AutoLogin an, welches der Benutzer erst aktiv ausschalten muss. Die Frage ist, ob sich ein lokales Netzwerk so abschotten l\u00e4sst, dass Angriffe per Internet nicht m\u00f6glich sind. Der Blog-Leser schreibt: Leider Nein, aber ich kann und will gar nicht alle M\u00f6glichkeiten aufzeigen<\/em>, und erg\u00e4nzt: Wer sein Netzwerk semiprofessionell abschottet, VLANs nutzt, die CCU Einstellungen restriktiv einstellt, niemanden ins eigene WLAN l\u00e4sst, auch die eigenen Kinder das nicht machen und kein Port Forwarding nutzt, Aber selbst wenn eQ-3 und die AddOn Entwickler alle L\u00fccken schlie\u00dfen w\u00fcrden, w\u00e4ren am Ende nat\u00fcrlich die CCU-Besitzer auch in der Verantwortung Updates einzuspielen. Die Zahl aller installierten CCU-Systeme ist unbekannt, die der im Internet sichtbaren Installationen aber schon. Man kann diese \u00fcber Suchmaschinen wie Shodan und Censys abfragen und kommt auf eine vierstellige Trefferzahl. Der Blog-Leser hatte entsprechende Hinweise an CERT-Bund geschickt, die dann letztes Jahr zweimal dar\u00fcber berichtet haben.<\/p>\n Potentiell gef\u00e4hrdet sind auch Installationen, die \"nur\" in unsicheren (W)LAN-Umgebungen (ohne Internetanbindung) betrieben werden. Deren Anzahl d\u00fcrfte ebenfalls eine beachtliche Gr\u00f6\u00dfe erreichen.<\/p>\n W\u00fcrde man auf die Systeme gehen, w\u00e4re sicher eine gr\u00f6\u00dfere Anzahl davon mit alten Firmware Versionen und\/oder dem aktivierten AutoLogin konfiguriert. Aber das darf man ja aus rechtlichen Gr\u00fcnden nicht \u00fcberpr\u00fcfen. Weitere Details lassen sich in diesem Blog-Beitrag<\/a> nachlesen.<\/p>\n In Summe ist das ein sehr gef\u00e4hrlicher Cocktail, und mich beschleicht ein recht mulmiges Gef\u00fchl. Von daher bin ich froh, keine solche Komponenten in meiner Umgebung einzusetzen. Keine Ahnung, wie das die Betreiber der Smart Home Systeme von eQ-3 Homematic so sehen. Jemand unter den Blog-Lesern mit Erfahrungen auf diesem Gebiet?<\/p>\n \u00c4hnliche Artikel:<\/strong> Wie steht es mit der Sicherheit bei Smart Home Systemen von eQ-3 Homematic und speziell der Smart Home Zentrale (CCU)? Die Systeme stellen ja so etwas wie einen Standard zur Heimautomatisierung dar. Und es gibt inzwischen mehrere Generationen der Smart … Weiterlesen Hier im Blog habe ich ja gelegentlich \u00fcber Sicherheitsprobleme bei Smart Home-Systemen berichtet. Die letzte Diskussion rankte sich um die eQ-3 Homematic-Systeme \u2013 und ich hatte in diesem Kommentar<\/a> einige Punkte angesprochen, die mir etwas Stirnrunzeln verursachen. Beim solchen Diskussionen mache ich meist einen Kurzcheck im Internet, was es dort zur Sicherheit zu finden gibt. Im Kommentar hatte ich diese Pressemitteilung<\/a> des Herstellers zu geschlossenen Sicherheitsl\u00fccken bei eQ-3-Systemen verlinkt. Und ich hatte auf diesen Artikel<\/a> eines Testers verwiesen, der kein so 'glattes Bild' beschreibt. Aber diese Artikel sind schon etwas \u00e4lter und vielleicht hat sich ja was gebessert?<\/p>\n
Das eQ-3 Homematic-System<\/h2>\n
eQ-3 Homematic CCU mit RCE-Schwachstellen?<\/h2>\n
\nSmart Home Systemen zumindest gewarnt oder sensibilisiert werden sollten.<\/p>\n
\nAuswirkungen gar nicht bewusst sein. Die Homematic User-Foren Mitglieder spielen die Angriffsm\u00f6glichkeiten runter. \u201eWer ist schon interessiert an meinem Smart Home. Lampen Ein\/Aus schalten, wem bringt das was?\" Und \u201emein WLAN ist sicher\" ist auch gerne ein Totschlag Argument.<\/p><\/blockquote>\n
\nCCU Zentralen mit einer anderen zwei Jahre alten Sicherheitsl\u00fccke befallen kann. Von meiner Seite kann ich beisteuern, dass Angriffe auf schlecht abgesicherte Home Automation-Systeme in den USA jetzt ein Problem darstellen (siehe den Artikel Smart Home: Der 'Feind' sitzt nebenan<\/a>).<\/p>\nUngefixte Schwachstelle CVE-2018-7297 seit 2018<\/h3>\n
Fehlende Authentifizierungsm\u00f6glichkeiten?<\/h3>\n
AddOn-Software als Problem<\/h3>\n
\n
Fehlende Firmware-Updates als Risiko<\/h3>\n
\nMit diesem AutoLogin wird eine g\u00fcltige Login-Session erzeugt, welche f\u00fcr weitere Zugriffe auf die WebUI oder die JSON und XML-RCP APIs genutzt werden kann. So ist eine weitere Remote Code Execution \u00fcber die Schwachstelle CVE-2019-15850 m\u00f6glich. Mit diesem AutoLogin wird eine g\u00fcltige Login-Session erzeugt, welche f\u00fcr weitere Zugriffe auf die WebUI oder die JSON und XML-RCP APIs genutzt werden kann. So ist eine weitere Remote Code Execution \u00fcber die Schwachstelle CVE-2019-15850<\/a> m\u00f6glich.<\/p>\nGibt es eine Absicherung?<\/h2>\n
\nder k\u00f6nnte halbwegs sicher sein.<\/em><\/p>\n
\nSmart Home: Der 'Feind' sitzt nebenan<\/a>
\nIoT: Nachholbedarf bei der Sicherung des Smart Homes<\/a>
\nCERT-Bund warnt vor offenen Homematic Smart Home-Systemen<\/a>
\nSmart Home: Verbraucher bleiben skeptisch<\/a>
\nAvast: 15,5 % der Smart Home-Ger\u00e4te mit Sicherheitsl\u00fccken<\/a>
\nBugs im Samsung IoT Hub gef\u00e4hrden Smart Home-Sicherheit<\/a>
\nPhilips Hue-Bridge Version 1.0 bald Elektroschrott<\/a>
\neco Verband warnt vor Smart Home Hacks<\/a>
\nSchwachstellen in beliebter smarter Steckdose<\/a>
\nTelekom Qivicon Server-Ausfall: Smart Homes kaputt<\/a>
\nSmartHome und die Sicherheit<\/a>
\nSmarte Technik: Auf IT-Sicherheit achten<\/a>
\nUpdate auf iOS 11.2.1 fixt HomeKit-Remote-Sicherheitsl\u00fccke<\/a>
\nNest beschlie\u00dft Aus f\u00fcr Revolv Smart Hubs<\/a>
\nHome-Automatisierung: Teuer und sicherheitsanf\u00e4llig \u2026<\/a>
\nOpen Smart Grid-Protokoll enth\u00e4lt Sicherheitsl\u00fccken<\/a>
\nSicherheitsinfos (6.3.2020)<\/p>\n","protected":false},"excerpt":{"rendered":"