Neben Autos, Kaffemaschinen und Glühbirnen hat das Internet of Things auch in Schlösser Einzug gehalten. Schlösser mit Bluetooth Smart (auch Bluetooth LE genannt) ermöglichen bequemes Schließen per Smartphone-App. Aber nicht nur das – über einen vom Hersteller angebotenen Internetdienst kann ein Schloss mit Freunden kurz- oder langfristig “geteilt” werden – sehr praktisch z.B. für das Verleihen von Fahrrädern oder temporären Zugang zum Gartenhäuschen oder gar zur Wohnung.

In seinem Vortrag “Lockpicking in the Internet of Things” auf dem 33. Chaos Communication Congress (33c3) berichtete Ray vom Chaos Computer Club München über verschiedene Sicherheitsprobleme in Schlössern von drei unterschiedlichen Herstellern.

Hierbei betrachtete er sowohl die eingesetzte Hardware, als auch die Software im Schloss und die auf dem Smartphone verwendete Schließ-App, und stellte die unterschiedlichen Angriffsvektoren dar.

Mechanische Schwachstellen

Zwei der vorgestellten Modelle fielen bereits auf der Hardware-Ebene durch. Ein Schließmechanismus war anfällig für sogenanntes “Shimming”, bei dem das Schloss durch Einführen eines dünnen Blechstreifens in den Schließmechanismus aufgeschlossen werden kann. Das zweite verwundbare Schloß ließ sich durch mehrmaliges Bewegen eines starken Magneten an der Außenseite des Schlosses öffnen.

Schwache Verschlüsselung

Das dritte untersuchte Modell hatte keine mechanischen Schwachstellen, weshalb die Kommunikation zwischen Schloss und Smartphone, sowie zwischen Smartphone und Internetservice des Herstellers untersucht wurde. Dabei stellte sich heraus, dass durch Abhören und Manipulieren des Datenverkehrs zwischen App und Hersteller-Server ein für einen gewissen Zeitraum “geteiltes” Schloss beliebig lange aufgeschlossen werden konnte – der übermittelte Sharing-Key blieb gültig, die Zeitbeschränkung ließ sich umgehen.

Die Untersuchung der Bluetooth-LE-Kommunikation zwischen Smartphone und Schloss zeigte, dass Authentifizierung gegenüber dem Schloss und das übermitteln von Befehlen (z.B. Aufschließen) verschlüsselt stattfindet. Laut Hersteller wird die symmetrische AES128-Verschlüsselung eingesetzt. Diese erfordert, dass beide Seiten vor der eigentlichen Kommunikation einen gemeinsamen Schlüssel vereinbaren. Das vom Hersteller für den Schlüsselaustausch verwendete Verfahren konnte durch Reverse Engineering der Schloß-Firmware ermittelt werden. Es existiert bereits ein Programm, das aus abgehörten Schließvorgängen den “Schlüssel” des Schlosses errechnet, mit dem es sich öffnen lässt.

Konsequenzen

Vor dem Hintergrund dieser Schwachstellen forderte Ray von Herstellern, in Zukunft ihre Software-Quellcodes zu veröffentlichen, damit diese von Sicherheitsexperten untersucht werden können. Damit sprach er sich gegen sog. “Security by Obscurity” aus, also vermeintliche Sicherheit durch Verheimlichen. Die Hersteller der untersuchten Schlösser haben bereits Updates und Verbesserungen angekündigt.

Mitschnitte der Kongress-Vorträge werden zeitnah auf https://media.ccc.de/c/33c3 zur Verfügung gestellt.