Tuya: Neuer Update-Prozess gehackt
Trotz des Hacks im Dezember 2018 beweist der Hersteller Tuya erneut, dass er es mit der Sicherheit nicht so genau nimmt – die Geräte bleiben ein potenzielles Einfallstor ins Heimnetz.
- Andrijan Möcker
Der chinesische Hersteller Tuya bietet Unternehmen gegen eine geringe Gebühr von 1500 US-Dollar an, sich die „eigene“ Smart-Home-Produktpalette auf seiner Webseite zusammenzuklicken. Den Service bewirbt Tuya mit „military grade security“ und als „GDPR compliant“, also DSGVO-konform.
Dieses Angebot hat tausende Unternehmen weltweit angelockt, denn Tuya hat fast alles, was das Smart-Home-Herz begehrt. Wie viele Tuya-Geräte wirklich im Umlauf sind, kann man kaum überblicken – der Hersteller spricht von 93.000 Partnern mit 30.000 Produkten. Wer zu Hause eine günstige Schaltsteckdose aus dem Baumarkt oder von Amazon, Pearl oder Ebay hat, besitzt wahrscheinlich ein verkapptes Tuya-Gerät.
Military Fehlanzeige
Im Dezember 2018 zeigte Michael Steigerwald vom IT-Start-up VTRUST, dass Tuya die proklamierte „military grade security“ alles andere als ernst nimmt. Wie c't berichtete, erklärte der Sicherheitsforscher, dass Tuya seine Geräte nahezu unverschlüsselt provisioniert.
Steigerwald schrieb Skripte, um den Provisionierungsprozess und Tuyas Cloud lokal nachzubilden. Mithilfe einer eigenen Mini-Firmware gelang es ihm, die originale Tuya-Firmware zu sichern und eine eigene einzuspielen. Technisch versierte Kriminelle könnten das ausnutzen, um Geräte in großen Stückzahlen zu manipulieren und als Heimnetz-Einfallstor wieder auf den Markt zu bringen.
Michael Steigerwald und c’t veröffentlichten den Hack im Januar 2019 unter dem Namen Tuya-Convert. Einen Monat nach der Bekanntgabe der Lücke kündigte Tuya ein Update an, das die Probleme lösen sollte. Statt das Update verpflichtend auf die Geräte aller Zwischenhändler zu übertragen, entschied der Hersteller, dass jeder Händler einzeln der Änderung zustimmen müsste. Die Lücke klafft somit immer noch in vielen Geräten.
Neues altes Verfahren
Im September 2019 wurde das neue Verfahren geknackt: Tuya hatte versucht, die Verbindung zur Cloud mit fehlerhaft implementierter symmetrischer TLS-Verschlüsselung zu sichern (PSK-AES128-CBC-SHA256): Beim TCP-Verbindungsaufbau sendet das Gerät einen MD5-Hash seines eigentlich nicht auslesbaren individuellen „auz_keys“ als Klartext an den Server. Server und Smart-Home-Gerät berechnen daraus anschließend den Schlüssel für die TLS-Verbindung – da die Firmware auf Tuyas-Geräten nicht verschlüsselt ist, konnte der Entwickler diesen Prozess anhand der Firmware und der seriellen Ausgabe nachvollziehen.
Unter der Haube blieb fast alles beim Alten: Die Keys für die MQTT-Verschlüsselung akzeptiert die Firmware weiterhin im Klartext, genauso wie die Update-URL. Dadurch bleibt der Weg zum Firmware-Hack offen. Zwar muss die Update-Datei signiert sein, doch auch hier hat Tuya geschludert: Die Signatur berechnet sich aus der SHA256-Prüfsumme der Update-Datei und dem zuvor unverschlüsselt gesendeten „SecKey“.
Wider die Cloud
Fleißige GitHub-Maintainer wie Colin Kuebler haben seither die Tuya-Convert-Skripte um das neue (un)sichere Verfahren erweitert.
Tuyas schlecht umgesetztes neues Verfahren führt dazu, dass auch weiterhin modifizierte Geräte mit bösen Absichten in den Umlauf kommen könnten. Solche mit ESP8266/85 kann man aber in wenigen Schritten zum cloudlosen eigenständigen Smart-Home-Aktor machen. Im GitHub-Repository finden SIe die Skripte und eine Liste von bereits identifizierten Tuya-Geräten. Auf unserer Projektseite erfahren Sie außerdem, wie Sie IoT-Geräte ohne Löten vom Tuya-Cloud-Zwang befreien.
Dieser Artikel stammt aus c't 24/2019.
(amo)
