Etliche Schwachstellen
LIFX Mini: Schlechte Security-Noten für die HomeKit-Lampe
Die dimmbare, warmweiße E27-Lampe LIFX Mini White gehört mit ihrem aktuellen Verkaufspreis von 19 Euro zu den günstigsten LED-Birnen mit Unterstützung für Amazon Alexa, Apple HomeKit und den Google Assistant.
Um ihre Leuchtmittel zu solch attraktiven Preisen anzubieten, scheinen die LIFX-Verantwortlichen bei der Absicherung von Firmware und WLAN-Modul gespart zu haben.
Dies legt zumindest ein aktueller Bericht des Sicherheits-Blogs „Limited Results“ nahe. Auf diesem wurde das LIFX Mini White-Modell auseinandergenommen, mit einem Rechner verbunden und auf Herz und Nieren abgeklopft.
Das Ergebnis: Die WLAN-Zugangsdaten werden vom Anbieter im Klartext in der Firmare gesichert. Root-Zertifikat und der private RSA-Schlüssel des Anbieters ließen sich extrahieren. Und: Keine der möglichen Hardware-Sicherheitseinstellungen ist gesetzt (der Bootvorgang ist unsicher, der Flash nicht verschlüsselt, die JTAG-Schnittstelle nicht deaktiviert).
Nicht dass eine intelligente Lampe so ungemein viel Angriffsfläche bieten würde – ein Hersteller der die „best practice“-Empfehlungen der Branche jedoch schon bei vergleichsweise einfachen Produkten vernachlässigt, empfiehlt sich nicht unbedingt als Hardware-Ausrüster für die eigenen vier Wände.
Keine Produkte gefunden.
ifun, ihr verbreitet halbwissen!
es gab längst ein update der app und firmware, der fehler behoben hat, u.a. den wlan bug. (siehe reddit aussage der entwickler)
Für andere Leser, die wissen wollen worum es geht, hier erst mal der Reddit-Link, den du angesprochen hast: https://old.reddit.com/r/homeautomation/comments/al88ti/interesting_lack_of_security_find_on_lifx_bulbs/
Was die Verbreitung von Halbwissen angeht, stelle ich mich mal schützend vor den Text: Die Tatsache, dass Lifx ein Update ausgegeben hat, ändert nichts an den initial getroffenen Architektur-Entscheidungen. Das Update, dies muss in diesem Zusammenhang deutlich betont werden, war zudem keine direkte Reaktion auf die Kontaktaufnahme des Security-Forschers, vielmehr hat sich Lifx vier Monate überhaupt nicht gemeldet oder die angefragten PGP-Schlüssel ausgegeben. Die Timeline lässt sich in dem von uns verlinkten Artikel nachlesen:
24/05/2018: E-mail to LIFX. Want to discuss with their engineering team, asking for PGP keys.
03/10/2018: No PGP keys, no feedback from LIFX during 4 months. Report finally sent via e-mail.
04/10/2018: Acknowledgement from LIFX.
17/10/2018: LIFX team confirms the vulnerabilities, asks for a call and a 150 days disclosure.
23/10/2018: Call with LIFX team. 90 days disclosure agreement.
23/01/2019: Posted.
sachlich korrekt, allerdings hättet ihr dies direkt im eingangsartikel erwähnen können. ihr unterstellt, dass das problem nach wie vor existiert, wovon aktuell nicht auszugehen ist.
betreffend architektur, angemerkt: hier wird sich jeder anbieter mit eingebautem wlan chip nicht sehr unterscheiden unterstelle ich mal, vielmehr betrifft es wohl eher firmware als hardware…
Es existiert nach wie vor. Die werden nicht alle bereits produzierten Produkte nochmals aus ihren Verpackungen nehmen und updaten. Das muss der Endkunde tun.
was selbst auf dem iphone/ mac usw. der gängige update weg ist – normal also.
Gut das ich auf Bluetooth setze. Meine einzigen WLAN-Leuchten sind die Auroras von Nanoleaf und die sind wohl in Ordnung.
Klar kann man in ner 1/2 Zimmerwohnung machen, für nen komplettes Haus inkl Garten aber nicht machbar-bzw. nur mit mindestens 3 Apple TV oder Homepods. Somit nicht rentable! Da ist WLAN deutlich besser!
Gut dass meine Lampen kein WLAN und kein Update brauchen. Für mich noch unsinniger als ein Sprachassistent. „Fortschritt“ ist echt was anderes
@iGon
++1
Man kann’s auch einfach sein lassen und nichts Halbgares wie Homekit als Zentrale verwenden. Als Steuereinheit genial, alles andere ist für grössere Installationen nicht machbar.
Ich habe 2 Apple TV und 2 HomePods. Von daher klappt es hier auch im Haus mit Bluetooth ganz ausgezeichnet. Hinzu spart es Energie und der Router muss nicht zig Geräte verwalten.
Da schreibst du was! Ich habe 27 Geräte an meiner 7590 und irgendwo läuft es nicht mehr rund. Dabei sagt AVM in einer Mail, dass bis zu 50 Geräte locker unterstütz werden. Vielleicht liegt es hier aber auch nur an Alexa, ich habe den Fehler noch nicht gefunden. Ewig fliegt mal eine Lampe oder ein Schalter raus und verbindet sich nicht mehr mit der Fritz. Muss dann immer den Router kurz stromlos machen, dann läuft es wieder 2, 3 Tage. Nervt! Hat hier wer einen Tipp?
@Marvin Hilscher, bis du den Fehler gefunden hast, eine Zeitschaltuhr, die alle 2 Tage mal kurz den Strom unterbricht.
moin,
ich hoffe es ist besser mit den LED-Streifen, die ich auf Grund einer Qualität-Empfehlung in diesem Board hier mal gekauft habe (die nicht gerade billig waren, also teurer als solche Streifen sonst, die aber auch sehr gut funktionieren ohne jegliche Störung / Einschränkung).
Grüße ins Forum vom Lars
die LED-Streifen von LIFX meine ich natürlich :-) … die hier mal sehr empfohlen wurden
Ich hoffe auf mehr Infos zu dem Thema, gibt es Information wie sich Hue und Koogeek diesbezüglich verhalten ?
Muss man nicht diverse Standards einhalten um seine Hardware für HomeKit zertifiziert zu bekommen? Hört sich so an als ob man gemogelt hat.
Kommst’e nach Hause und dann das:
„Das Licht in Ihrer Wohnung kann nicht eingeschaltet werden, da zuvor ein wichtiges Sicherheitsupdate für die Lampen installiert werden muss. Bitte installieren Sie das Update!“ … „Das Update für Ihre Lampen kann nicht installiert werden, weil dafür ein Update Ihres Heimautomatisierungssystems erforderlich ist. Bitte installieren Sie das Update!“ … „Das Update für Ihr Heimautomatisierungssystem kann nicht installiert werden, weil dafür ein Sicherheits-Update Ihres WLAN-Routers erforderlich ist. Bitte installieren Sie das Update!“ … „Das Update für Ihren WLAN-Router kann nicht installiert werden, weil dafür eine Internet-Verbindung ihres Routers erforderlich ist. Die Internet-Verbindung Ihres Routers wurde aus Sicherheitsgründen bis zur Installation des Sicherheits-Update getrennt“ …
So oder ähnlich läuft es dann demnächst bei einigen …
Deswegen benutze ich auch nur Kerzen. Stell dir mal vor, was den ganzen Nerds mit elektrischem Licht passiert, wenn Strom ausfällt ;)
Ein gut durchdachtes Smarthome ist zuverlässiger als ein normales Haus. Wenn mein Internetzugang versagt, kann ich nicht mehr von außerhalb oder per Sprache steuern. Wenn mein Raspberry Pi ausfällt, fällt die Automatisierung weg. Es lässt sich aber noch alles bedienen wie früher.
Und wenn der Strom ausfällt, gehen ein paar Lampen an, um sicher zum Sicherungskasten zu kommen.
Aber bitte nur Kerzen mit Smarthome-Anbindung!!!
Du kommst nur bis zum Haus, aber nicht mehr hinein. Und das bei diesen Temperaturen!
Deshalb setze ich nur auf HomeKit Geräte. Die sind sicher. Apple passieren zwar auch Fehler, aber nicht so gravierende.
Du hast schon verstanden, dass das ein HomeKit-unterstützendes Gerät ist, oder?
er hat doch nur solche, die Apple selber produziert ;)
Du meinst nicht so gravierende wie den aktuellen FaceTime-Bug?
Servus zusammen,
dies stimmt leider nur zum Teil. Bereits kurz nach dem Eingang der Mail hat LIFX geantwortet:
“May 24, 2018 14:20—You can send it through this system, Ill make sure to get the engineering teams eyes on it when you send over details!”
Sie haben sich auf jeden Fall darauf zurückgemeldet und basieren auf den Hinweisen von Limited Results die Lücken geschlossen.
Wie Tim daher schon richtig genannt hatte, wurden durch Firmware- und App-Updates Ende 2018, die Informationen verschlüsselt und die Sicherheit weiter ausgebaut.
Auf das Firmware-Update wird man automatisch hingewiesen, sogar direkt bei der Installation. :)
Falls Ihr noch weiteres Interesse an Informationen habt, meldet euch gerne bei mir.
Ich bin für LIFX hier in DE verantwortlich… :)
Grüße,
Max