Smart-Home-Hack: Tuya veröffentlicht Sicherheits-Update

Der Smart-Home-Hardware-Hersteller Tuya veröffentlicht ein Update, das die auf dem 35C3 veröffentlichten Sicherheitslücken schließen soll.

In Pocket speichern vorlesen Druckansicht 19 Kommentare lesen
Smart-Home-Hack: Tuya plant Sicherheitsupdate

In Zukunft vielleicht sicherer: IoT-Geräte von Tuya.

(Bild: Screenshot: heise online)

Lesezeit: 3 Min.
Von
  • Jan Mahn
  • Merlin Schumacher
Inhaltsverzeichnis

Der Hersteller Tuya, dessen Smart-Home-Geräte vor allem unter anderen Markennamen im Handel zu finden sind, will die bekannt gewordenen Sicherheitslücken in der hauseigenen IoT-Plattform Smart-Life schließen. Eigenen Angaben zufolge hat der Hersteller dafür am Montag ein Firmware-Update veröffentlicht. Wann die Anbieter, die Tuyas Geräte unter ihrer eigenen Marke an Endkunden verkaufen, die neue Firmware in ihre Geräte einspielen, bleibe ihnen überlassen, erklärte ein Tuya-Sprecher gegenüber heise online.

Tuya ist ein chinesischer Hersteller von Smart-Home und IoT-Hardware, der seine Produkte als "White Label"-Ware an andere Unternehmen verkauft, die die Hardware dann unter eigenem Namen anbieten. Tuya liefert dafür die komplette Plattform: Eine App, das Cloud-Backend und die Geräte-Firmware. In dieser Firmware hatte das IT-Startup VTRUST schwere Sicherheitslücken entdeckt und diese auf dem 35C3 vorgestellt.

Mit einem Update vom 28. Januar sollen viele dieser Sicherheitsprobleme behoben sein, teilt der Hersteller mit. So werde die neue Firmware Daten in Zukunft nur noch mit TLS verschlüsselt übertragen. Darüber hinaus sollen mit der Firmware auch Daten im Flash-Speicher verschlüsselt werden können. Der von Tuya häufig verwendete ESP8266-Microcontroller kann seinen Flash-Speicher aber selbst nicht vor dem Auslesen schützen. Um diese Daten zu sichern, müssen die Anbieter einen externen Sicherheitschip einbauen, wie Tuya in der Stellungnahme andeutet.

Eine weitere Lücke gibt es im von Tuya verwendeten Update-Verfahren. Over-the-Air-Updates werden von der bisherigen Firmware ohne jede Überprüfung akzeptiert, sodass die Software beliebige Updates unbesehen einspielt. In Zukunft soll eine Signaturprüfung sicherstellen, dass nur offizielle Tuya-Updates eingespielt werden. Der Mitteilung zufolge will Tuya den Firmware-Code zusätzlich mit Code-Obfuscation schützen. Zudem will man die App aktualisieren, um die enthaltenen Schlüssel mit einem selbst entwickelten Schutz zu sichern.

Nun heißt es: Warten auf die Anbieter. Und das kann möglicherweise dauern: Das Problem der im Klartext übertragenen AES-Schlüssel hat das Unternehmen eigenen Angaben zufolge im August vergangenen Jahres behoben. Bisher ist das Update aber offenbar noch nicht auf den im Handel erhältlichen Geräten angekommen. Die Experimente der c't-Redaktion zeigten, dass die Lücke auch bei neu gekauften Geräten noch bestehen. Auch ist das neue Firmware-Update noch auf keinem der Geräte in der Redaktion eingegangen.

Tuyas Stellungnahme enthält keine Hinweise auf die schwerwiegendste Schwachstelle: Bei der Einrichtung der Geräte überträgt das Mobiltelefon mit der Tuya-App die WLAN-Zugangsdaten, die der Nutzer zuvor eingegeben hat, über Multicast-Pakete. Entscheidend sind aber nicht die Inhalte der Pakete, sondern die Paketlänge – wer das Prinzip verstanden hat, kann die Zugangsdaten abgreifen, ohne selbst im WLAN angemeldet zu sein.

Die von VTRUST für den Hack verwendenten Skripte wurden von in Zusammenarbeit mit c't so überarbeitet, dass man sie dazu nutzen kann, eine Open-Source-Firmware wie Tasmota auf den Geräten zu installieren. Die Skripte sind auf GitHub veröffentlicht, die Beschreibung ist in einem c't-Praxisartikel zusammengefasst. Um die Tuya-Geräte von ihrer Original-Software und der Cloud zu befreien, reicht ein Linux-Computer mit WLAN, etwa ein Raspberry Pi. (mls)