33C3: Bluetooth-Schlösser: Smart, aber nicht sicher

App statt Schlüssel: Immer mehr Hersteller bieten Schlösser mit Cloud-Anbindung an. Doch Lockpicker können die teuren Geräte ohne große Probleme knacken.

In Pocket speichern vorlesen Druckansicht 56 Kommentare lesen
Bluetooth-Schlösser: Smart, aber nicht sicher

Sehen sicher aus, sind aber leicht zu öffnen: Vorhängeschlösser wie dies von Dog&Bone.

(Bild: Dog&Bone)

Lesezeit: 4 Min.
Von
  • Torsten Kleinz
Inhaltsverzeichnis

Das Hacken von Schlössern auf dem Chaos Communication Congress hat Tradition. Die Sportsfreunde der Sperrtechnik haben ihren festen Platz auf dem Hacker-Congress und zeigen Interessierten, wie man mit Haken, einfachen Werkzeugen, Geduld und etwas Geschick Schlösser einfach öffnen kann. Mit der Verbreitung von 3D-Druckern und elektronischen Schlössern haben die Lockpicker ein neues Feld gefunden.

Auf dem 33C3 widmete sich der Lockpicker Ray den neuen Bluetooth-Schlössern, die von immer mehr Herstellern angeboten werden. Die Schlösser werden per App entsperrt und bieten einige Extra-Funktionen – so können Schlösser per Cloud zu bestimmten Zeiten oder an bestimmte Personen freigegeben werden.

Bereits im August hatten sich die Hacker Anthony Rose und Ben Ramsey auf der Security-Konferenz Defcon 24 in Las Vegas den Produkten gewidmet - mit desaströsem Ergebnis. 12 von 16 getesteten Schlössern öffneten sich ohne großen Widerstand - manche versandten ihr Passwort im Klartext, andere waren mit einem Schraubenzieher zu öffnen.

Lockpicker Ray widmete sich auf dem 33C3 vor allem den neuen Bluetooth-Schlössern.

In Hamburg zeigte Ray die Schwachstellen von drei Schlössern. Das Vorhängeschloss von Dog&Bone erwies sich nach Demontage als besonders verwundbar: Der Sperrbolzen wurde von Federn in der richtigen Position gehalten. Ein dünnes Blech, das zwischen Bügel und Sperrhaken geschoben wird, kann den Sperrbolzen verschieben und so das Schloss öffnen. "Shimming ist ein ziemlich gebräuchlicher Angriff für Vorhängeschlösser, die für fünf Euro verkauft werden", erklärte Ray in Hamburg. Üblicherweise seien Schlösser höherer Preiskategorie so nicht zu öffnen.

Auch das Bluetooth-Schloss von Master Lock erwies sich als keine große Herausforderung. Wie schon bei einem Vorgängermodell reichte es hier, einen starken Magneten an das Schloss zu halten und mehrfach zu drehen, bis der Sperrbügel von selbst aufsprang.

Beim Bluetooth-Schloss des Herstellers Noke fanden die Hacker hingegen keine offensichtliche mechanische Schwäche. Hier widmeten sie sich der Entsperrsequenz, die die App des Herstellers an das Schloss schickt. In nur zwei Tagen schaffte es Ray mit Unterstützung anderer Lockpicker einerseits die Kommunikation zwischen App und Schloss, andererseits zwischen App und Cloud-Service abzuhören und zu entschlüsseln.

In große Unkosten mussten sich die Lockpicker dafür nicht stürzen: Die Bluetooth-Kommunikation konnten sie mit einer Billig-Platine eines chinesischen Herstellers ablauschen, für die Kommunikation mit der Cloud setzten sie einen Proxy ein, der die per TLS verschlüsselte Kommunikation mit Hilfe von Fake-Zertifikaten mitschneiden und sogar manipulieren konnte. Die App des Herstellers konnten sie mit Hilfe eines Web-Services dekompilieren.

Mit Hilfe dieser Analyse zeigte sich schnell, dass die Lock-Sharing-Funktion nicht ordentlich durchdacht war. So kann ein Nutzer, dem temporär Zugang zu einem bestimmten Schloss gegeben wurde, den verwendeten Schlüssel auslesen und sich dauerhaft Zugang verschaffen, bis der Schlossbesitzer die Schlüssel komplett austauscht. Dazu muss der jedoch physischen Zugang zum Schloss haben. Denn die Schlösser selbst haben nur mit Hilfe eines Smartphones Zugang zum Internet.

Kompletten Zugang zu fremden Schlössern zu bekommen erwies sich jedoch als schwerer. So fand sich recht schnell ein AES-Schlüssel in der analysierten App, die genaue Schlüsselsequenz war aber in Binär-Modulen versteckt. Einmal dekompiliert fand sich hier ein entscheidender Fehler, mit dem die Lockpicker das Schloss schließlich öffnen konnten. Obwohl das Problem seit April bekannt ist, will der Hersteller nach Angaben des Hackers erst im Januar ein Software-Update mit neuem Verschlüsselungsprotokoll bereitstellen.

Herstellern empfahl Ray in Hamburg: "Tut nicht nur smart, seid es auch." Damit Schlösser wirklich sicher seien, müssten diese unabhängigen Experten zur Prüfung zur Verfügung gestellt werden, die die Produkte nach mechanischen und digitalen Schachstellen abklopfen könnten. Eine nicht offengelegte Verschlüsselungssequenz sei keine Methode, ein Schloss zu sichern – wer seine Algorithmen nicht offenlegen wolle, sei im Gegenteil wohl nicht davon überzeugt, dass seine Lösung tauge. (akr)