Ein Smart-Home-Hersteller kommt nicht mehr gegen Hacker an – zum Glück!
Mit mehreren Hunderttausend Geräten zählt Tuya zu den größten Technologie-Lieferanten im Bereich Smart Home. Marken wie Hama oder Pearl vernetzten so ihre Steckdosen oder Leuchtmittel mit der Cloud. Leider fiel Tuya durch Sicherheitslücken und zweifelhafte Datensammlung auf. Hacker nutzten erstere, um letztere zu unterbinden. Das Katz-und-Maus-Spiel zwischen Hackern und Hersteller wirft die Frage auf, worum es solchen Herstellern eigentlich geht.
Was, wenn der Hacker plötzlich jedermanns bester Freund ist? Der maskierte Typ, der nachts mit Sonnenbrille, Kapuze und Handschuhen vor dem Laptop sitzt, ist vielleicht der einzige, der noch für die Privatsphäre in unseren vier Wänden kämpft. Mehr als manche von uns es selbst tun.
Denn jetzt, wo zur Vorweihnachtszeit wieder Millionen vernetzter Elektrospielzeuge gekauft und später unter den Christbäumen landen, ist einmal mehr der Hinweis angebracht: Viele Smart-Home-Geräte sind nicht die Produkte, die sie zu sein scheinen. Oft geht es den Herstellern nicht primär darum, Euch ein Produkt zu verkaufen. Viele dieser Geräte sind nur ein Mittel, mit dem Ihr langfristig noch weitere Produkte kaufen sollt. Oder sie sind eine neue Methode, mehr über Euch herauszufinden.
Technologie-Hersteller Tuya ließ sich dabei erwischen und wurde zum Negativ-Beispiel. Dessen smarte Lampen, Sensoren und Steckdosen werden zwar größtenteils unter anderen Markennamen wie Pearl oder Hama verkauft. Diese kommunizieren jedoch sämtlich mit der Tuya-Cloud. So haben die Lizenznehmer sowie die chinesische Zentrale potenziell Zugriff auf persönliche Daten und Euren Standort.
Das ging einigen Technik-Freunden zu weit. Diese machten sich zunutze, dass Tuya bei der Implementierung der Update-Schnittstelle gepfuscht hatte. Was eigentlich als Sicherheitsrisiko für Smart-Home-Geräte zu werten ist – wir hatten berichtet – haben die lieben Hacker kurzerhand dafür genutzt, den Draht nach China zu kappen. Wer mochte, konnte also endlich volle und private Kontrolle über die smarten Geräte erlangen.
Der Patch, der keiner ist
Tuya verstand den Ernst der Lage und bemühte sich, die Sicherheitslücken zu schließen. Schließlich könnten böse Hacker sie nutzen, um Euer Netzwerk mit gezinkten Lampen auszuspähen. Doch auch der jüngst veröffentlichte Patch beweist, dass der Hersteller selbst ein Jahr nach der Bloßstellung vor dem Hacker-Publikum in Leipzig noch nicht mithalten kann. Lieben Hackern sei dank, ist das in unserem Sinne. Denn dem neuen Heise-Bericht zufolge sei es so weiterhin möglich, Cloud-lose Firmware auf die Tuya-Geräte aufzuspielen.
Diese eigene Firmware wird entwickelt von einer Gruppe von Freiwilligen. Entdeckt wurde die Sicherheitslücke von VTRUST-Sicherheitsexperte Michael Steigerwald. Das GitHub-Repository tuya-convert wird maßgeblich gepflegt von Colin Kuebler. Da die entsprechende Anleitung (Heise) jedoch das Aufsetzen eines eigenen Servers beinhaltet, richtet sich diese Lösung eher an Vollblut-Nerds. Das darunterliegende Problem betrifft jedoch alle.
Wir sollten uns nicht in Freiheit hacken müssen
Das Tuya-Problem wirft vor allem eine Frage auf. Einer der Kommentatoren des Heise-Berichtes wundert sich: Warum ist Tuya so sehr dagegen, dass Nutzer die Cloud umgehen können? Wird das Geld gar nicht mit der Hardware (oder den Lizenzen) sondern vielmehr mit der Datensammlung gemacht?
Ich erwarte nicht, auf diese Frage eine abschließende geschweige denn eine ehrliche Antwort zu bekommen. Stattdessen schwingt sie noch eine Weile nach: Wie kann ich (wieder) Herr über meine Daten bleiben (werden)? Ist beim Kauf von Smart-Home-, oder generell bei Technik-Produkten noch ein Kompromiss aus Bequemlichkeit und Datenschutz möglich?
Denn über Kurz oder Lang werden alle Geräte vernetzt sein: TV-Geräte sind schon längst alle smart. Die nächste Generation Fahrzeuge geht auch online. Und spätestens wenn ein nennenswertes 5G-Netz existiert, ließe sich jeder öffentliche Mülleimer ebenso vernetzen.
Spätestens dann verlange ich mehr Schutz und öffentliche, wenn nicht sogar nachvollziehbare Kontrolle. Ich will mich nicht auf Hacker verlassen müssen oder selbst zu einem werden, nur weil niemand geprüft hat, wer mir alles durch meinen Radiowecker hindurch beim Schlafen zugehört hat.
Ich wünsche mir zu Weihnachten ein Smart Home System, das die Nutzerfreundlichkeit von Amazon Echo und Philips Hue mit der Kontrolle von openHAB und Mycroft verbindet. Falls Ihr über so ein Produkt stolpert, dann stellt es uns gerne in einem Kommentar vor.
Quelle: Heise
Wovon redet Ihr Faulpelze eigentlich? Von Zeit- und Geldverschwendung, um noch trotteliger & durchsichtiger zu werden?
Eins der besten smart-home Systeme ist für mich loxone. Und auch den Server kann man ohne Cloud betreiben, wenn man will.
Ich glaube nicht, dass das Geld hauptsächlich durch Datensammlung verdient wird. Aber gerade ein solche Anbieter wie Tuya macht es den 3rd Party Billiganbietern wie Hama, Pearl usw. einfach, um nicht zu sagen "dead simple". Mit Tuya kann jeder seine eigene "smarte" Lösung in Nullkommanix zusammenklicken. Und da die Schaltvorgänge sowieso schon über Rechner in der public Cloud abgewickelt werden, kann man die Sprachsteuerung a la Siri, Alexa oder Google auch ohne Probleme bereitstellen, man tauscht halt gegenseitig die API's aus. Für Otto-Normalbenutzer ist das toll, und wenn man zig verschiedene Apps dafür braucht, was soll's.
Meinereiner will aber seine Haussteuerung nicht in der Cloud wiederfinden, wo ich keine Kontrolle darüber habe. Deshalb finde ich es gut , dass es Tasmota und Tuyaconvert gibt, mit denen man die entsprechenden Geräte von der Cloud befreien kann. Dann muss man vielleicht mehr Arbeit reinstecken und Google Home geht dann vielleicht nicht (sofort), aber damit kann ich leben. Welches Smarthome System besser ist, muss jeder für sich selbst herausfinden, jedes hat eigene Stärken und Schwächen. Mir ist OpenHAB zu mächtig und wegen Java zu kompliziert, und Mycroft ist eigentlich eine schöne Idee, macht aber kaum Fortschritte.
ioBroker darf nicht vergessen werden! Wie ich finde das beste System für die Smart Home Steuerung. Da es eine intuitive Oberfläche hat und für Einsteiger entsprechend einfach einzurichten ist.
Mit ioBroker lässt sich wirklich alles verbinden und das ohne Programmierkentnisse.
Skripte lassen sich nach einem Baustein System anlegen, so dass jeder hier einen Einstieg finden sollte.
Einfach nur Chris auf Youtube macht super Anfänger Tutorials und macht ioBroker zu einem Kinderspiel.
Natürlich muss ein gewisser Zeit Aufwand eingeplant werden und man muss sich etwas ein die Materie einfühlen und es ist eher was für Hobby IT-ler. Dennoch finde ich es ist die beste Alternative.
homee ist noch so ein System das ohne jeden cloudzwang ganz für sich alleine sehr gut funktioniert!
Immer diese rhetorischen Fragen wie "Wird das Geld gar nicht mit der Hardware (oder den Lizenzen) sondern vielmehr mit der Datensammlung gemacht?"
Solche Geschäftsmodelle, Hardware zum Dumpingpreis und Monetarisierung über die Nutzung, gibt es doch schon ewig. Was früher die Tinte war, sind jetzt die anfallenden Daten.
Da geht mir doch glatt ein Licht 💡😃 auf und daher verzichte ich lieber auf sowas.
Das Kapital und damit die Bequemlichkeit hat uns zum Sklaven degradiert ,und somit ist die globale Transparenz nicht mehr aufzuheben .
Versteh sowieso nicht warum das durch ne Cloud muss wenn ich vom Sofa per Handy das Licht an und abschalten will. Warum man sowas überhaupt machen muss. Bewegung schadet ja nicht. Und für Laden und co kann man auch wenn mans wirklich braucht Zeitschaltuhren dranhängen.
Es soll auch Leute mit Bewegungseinschränkungen geben, die dankbar sind für jeden Schritt, den sie nicht machen müssen. Und da helfen auch keine Zeitschaltuhren.
Ja ich weiß und so jemand wohnt sogar in mit in meiner Wohnung.
KNX nennt sich zB so ein Smarthome-System. Ohne Server und ohne Cloud funktioniert es out-of-the-box schon sehr sehr gut. Wer etwas Visu haben möchte, gibt etwas mehr Geld für einen KNX-Server aus oder wer nicht so viel Geld für Visualisierung ausgeben möchte, strickt dann einen FHEM, Nodered, openhab und und und dran.
Mit KNX ist man auch herstellerunabhängig und dank verteilter Intelligenz, fällt das System nicht komplett aus.
Na ja... Man ist von knx abhängig. Und die sind teuer wie Sau, das letzte Mal, als ich geguckt habe.
Loxone!
Loxone bietet alles was man benötigt um SMART im HOME zu sein. Generell ist kaum Bedienung notwendig, real smart, nicht pseudo smart und kombinierbar mit anderen Systemen (falls nötig). Die Kombination mit Alexa bietet zusätzlich eine Sprachbefehlschnittstelle (falls man den Komfort und Alexa mag, Google funktioniert auch) und zur Not kann man mit IObroker, openHAB oder Loxberry eventuelle Brücken bauen.
Definitiv eine der besten Automationen, wenn nicht sogar die Beste. Und der Server läuft stabil!
Für Neubau und Nachrüstung.
Wird permanent erweitert und verbessert. Kostenloses Programmiertool, einfach einzustellen und zu bedienen (falls mal nötig).
Wer Elektroschrott von "Hama" oder "Pearl" kauft, darf sich eben nicht wundern. Ärgern schon gar nicht. Ärgerlich ist allerdings, dass es bei namhaften Produkten oft nicht besser ist.
SmartHome gerne - einfach ohne Cloud. HomeMatic bietet Komfort ohne Zwangsanbindung.
Ja, besonders HomematicIP :-).
Ich setze das klassische Homematic Protokoll ein, weil es die einzige Möglichkeit ist, die Keymatic zu betreiben. Das Protokoll war lange proprietär und wurde mühsam Reengineered. Dann hat eq3 es (wahrscheinlich äußerst wderwillig) als OpenSource offengelegt, dafür aber MAX! und Equida geschaffen. Auf die Dauer werden sie wohl Homematic nicht mehr weiter unterstützen, zumindest nicht mit voller Kraft, denn mit den anderen kann man im geschlossenen System viel mehr Geld machen.
Homematic IP funktioniert genau wie das normale Homematic, wenn man es mit einer CCU oder ähnlichem betreibt.
Nur wenn man den Access Point verwendet, ist man teilweise von der Cloud abhängig .
HmIP selber ist nur ne andere Frequenz.
Was hat das mit Hacken zu tun? Das ist fast immer ein ESP Chip wie der billige ESP8266, die alle samt ein arduino sind... Sowas nennt man also heutzutage hacken 😂 und dann Brauch man natürlich einen Sicherheitsexperten um diese großartige und schwer zu findene "Sicherheitslücke" zu Entdecken...bravoo ich lach mich tod
-
Admin
-
Staff
19.11.2019 Link zum KommentarWie sollte man hacken denn sonst nennen? Das Wort sagt ja nichts über den Schwierigkeitsgrad des Angriffes aus, sondern beschreibt lediglich den Vorgang, ein technisches Gerät unerlaubt zu kapern, um es so zu manipulieren.