Seit Februar bekannt
App-Türöffner Nello: Wieder erreichbar, mit klaffender Sicherheitslücke
Geschlagene neun Tage konnten Besitzer des smarten App-Türöffners Nello ihre Hardware nicht mehr für den komfortablen Einlass in die eigenen vier Wände nutzen.
Der italienische Anbieter SCLAK, der nach der Nello-Insolvenz Anfang des Jahres den Kunden des Türöffners zusicherte, für die weitere Funktion ihrer Systeme zu sorgen, kämpfte über eine Woche mit Server-Problemen, war nicht erreichbar und sorgte so schlicht dafür, dass die im Markt aktiven Systeme über Nacht funktionslos wurden. Auf Rückfragen der Kunden gibt SCLAK, zumindest auf Facebook, nicht ein.
Nun melden mehrere ifun.de-Leser, dass an ihren Nello-Schließanlagen plötzlich wieder die grüne LED blinkt. Eigentlich eine gute Nachricht, zu der sich jedoch eine Sicherheitslücke gesellt.
Klaffende Sicherheitslücke seit Februar
Eine, die es sowohl möglich macht Nello-Module ohne Cloud-Zwang zu betreiben, als auch gestattet, diese zu öffnen, ohne die Passwörter der Benutzer kennen zu müssen.
Aufgefallen ist dies einem deutschen Software-Entwickler, der seine Erkenntnisse unter dem Kürzel „LFE89“ veröffentlicht hat und ifun.de gegenüber erklärt:
[…] Im März habe ich auf GitHub bereits einen „proof of concept“ und ein volles cloud-less Backend veröffentlicht, welches verwendet werden kann, um den Cloudzwang rund um Nello zu entfernen. Dies ist durch eine Sicherheitslücke in der Nello-Firmware möglich. Dazu verwende ich eine sogenannte Security ByPass Sequenz. Damit umgehe ich sämtliche Verschlüsselungen und proprietäre Nachrichten.
Das pikante dabei: auch der neue Vendor SCLAK kann die Sicherheitslücke nutzen, um sämtliche Schlösser zu öffnen – sobald diese den Betrieb wieder aufnehmen – ohne dabei die Passwörter der Benutzer zu haben.
Alles zurückzuführen auf eine inkorrekt abgesicherte Start- und TestMsg-Phase in der Firmware-Implementierung. Das Interessante ist natürlich die Sicherheitslücke, welche eine solche Lösung erst ermöglicht. […]
Ich habe Nello und SCLAK übrigens schon im Februar kontaktiert, jedoch keine Rückmeldung bekommen – daher die Veröffentlichung.
Ich bin sehr froh und zufrieden mit meinem Nuki, weches auch komplett offline funktioniert :)
+1
Bin ich froh, dass ich an der Haustüre ein gutes Schloss habe, meine Lichter einen Schalter etc.
Keep it simple. Und Geld gespart habe ich auch noch.
+1
wenn man tagtäglich liest was bzgl Smarthome so alles nicht funktioniert oder sicherheitstechnisch im Argen liegt dann weiß ich dass ich den Krempel definitiv nicht brauche …
Ja, wie 1953. Einfach Toll.
Damals gabs noch Panzertüren und keine Papierbretter :’D..
Ich habe jetzt zu der einen einzigen Steckdose in meinem Haus noch eine zweite installiert. Erhöht natürlich das Ausfallriskio um 100%. Ich glaube ich schraube sie lieber wieder weg.
Keep it simple. Und Geld gespart habe ich auch noch
Oder wars das schwäbische Simpel?
Es funktioniert halt nicht zuverlässig.
Redet es euch nicht schön. Die Leute kriegen die softwarebasierten Klamotten einfach nicht unter Kontrolle.
Hier nur extrem nervig, bei Fehlverhalten von Bremssssistenten in Autos beispielsweise lebensgefährlich.
Dann lieber mit Schlüsseln und guten Schlössern.
Nicht alles was digital ist, ist zugleich richtig und gut.
Hab Nello letzte Woche bei mir abmontiert – gab immer nur Probleme damit. Nächste Woche kommt mein Nuki Opener. :))
Dann bist du ja vermutlich auf der sicheren Seite…
…vorerst!
GEIL! GEILGEIL! GEILGEILGEILGEILGEIL!!!!! – sagt: der Einbrecher. … … …
In einen Innenhof zu gelangen ist wohl noch etwas anderes als ein Wohnungseinbruch…
„Auf Rückfragen der Kunden gibt SCLAK, zumindest auf Facebook, nicht ein.“???
Du hast in der Schule die Lehrer sicher auch an die Hausaufgaben erinnert…
Mensch stimmt, verständlich schreiben ist total uncool.
Schwups….und schon gehts wieder kopfüber in die Tonne.
Es ist ein Jammer, was aus dem serviceorientierten Nello geworden ist. Ich tippe darauf, am Service haben sie sich letztlich verhoben. Und wegen der nicht umgesetzten Zusammenarbeit mit Nuki.
Das früher so zuverlässige Produkt wird gerade verheizt und ist Wasser auf die Mühlen derjenigen, die den herkömmlichen Schlüssel benutzen. Schade.
Ich bin vor einiger Zeit auf den Nuki Opener umgestiegen und der funktioniert wunderbar.
„Wasser auf die Mühlen derjenigen, die den herkömmlichen Schlüssel benutzen“
Und was ist daran falsch, dass es unbedingt geändert werden muss?
Beides kann ja parallel dazu genutz werden.
Klar, man kann beides benutzen. Aber darum gehts mir nicht.
Es geht darum, dass trotz des zuerst tollen Produktes nun wieder behauptet wird: alles Mist, nur der Schlüssel ist das Wahre. Siehe erster Kommentar.
Ist ja aber leider auch so – solange Hersteller ein Interesse daran haben, sich irgendwelche Schnittstellen für Updates, Fernzugriffe oder sonstige Schnüffelei offen zu halten, ist der seit Jahrhunderten bewährte Schlüssel die bessere Variante!
Genau so ist es.
Gibt es offizielle Stellungnahmen, wie eine Hausratversicherung im Falle eines Einbruchs verfährt?
Akzeptieren die Versicherer solche Schlösser?
Bitte nicht nur Behauptungen, sondern auch Quellen nennen – Dankeschön!
Habe leider keine Antwort auf deine Frage. Nello ist allerdings für das Öffnen von Haustüren von Mehrfamilienhäusern, nicht für Einfamilienhäuser konzipiert worden. Man kann ihn natürlich auch zweckentfremdet nutzen.
Egal welches Schloss – ohne Einbruchsspuren bist du in der Beweislast, dass die Tür abgeschlossen war. Viel Spaß dabei!
iDau, wenn es egal ist, welches Schloss, dann betrifft es ja praktisch jeden. Also haben gänzlich alle ihren Spaß, du auch. Insofern: Viel Spaß dabei!
Da hast du sogar Recht, allerdings steht dem noch die Wahrscheinlichkeit gegenüber, mit der mein manuelles Oldschool-Schloss, oder irgendein im Internet hängendes Hypersmarttech-Schloss gehackt wird.
Also die LED hat bei mir immer grün geblinkt – ganz gleich ob Nello funktionierte oder nicht. Aber gut, das ist jetzt auch nicht weiter relevant. Die Sicherheitslücke ist natürlich ganz und gar nicht schön. Da Nello für Mehrfamilienhäuser gedacht ist, kommen Einbrecher so leichter ins Haus, nicht aber in die Wohnung – was es nicht viel, viel besser macht, ich weiß… ;)
Sehr schade das ganze, aber Probleme hat der Nello schon seit einer ganzen Weile gemacht. Entweder es funktioniert gar nicht, oder es wurde einfach jedem der geklingelt hat die Tür geöffnet und so weiter. Habe vor zwei Wochen das Teil gegen den Nuki Opener getauscht und kann nur jedem empfehlen das selbe zu tun.
Wollte das Teil schon in den Müll schmeißen, schaue mir mal die Security ByPass Sequenz an, Danke für den Tipp!
Die Leute von Nello haben von Beginn betrogen. Die backer wurden nicht beliefert, die Zusagen ware Lügen, die techn. Spezifikationen erfunden. Wann wird die Bande endlich Stillgelegt ?