Topthemen

Ein Smart-Home-Hersteller kommt nicht mehr gegen Hacker an – zum Glück!

AndroidPIT smart bulbs 4012
© nextpit by Irina Efremova

Mit mehreren Hunderttausend Geräten zählt Tuya zu den größten Technologie-Lieferanten im Bereich Smart Home. Marken wie Hama oder Pearl vernetzten so ihre Steckdosen oder Leuchtmittel mit der Cloud. Leider fiel Tuya durch Sicherheitslücken und zweifelhafte Datensammlung auf. Hacker nutzten erstere, um letztere zu unterbinden. Das Katz-und-Maus-Spiel zwischen Hackern und Hersteller wirft die Frage auf, worum es solchen Herstellern eigentlich geht.

Was, wenn der Hacker plötzlich jedermanns bester Freund ist? Der maskierte Typ, der nachts mit Sonnenbrille, Kapuze und Handschuhen vor dem Laptop sitzt, ist vielleicht der einzige, der noch für die Privatsphäre in unseren vier Wänden kämpft. Mehr als manche von uns es selbst tun.

Denn jetzt, wo zur Vorweihnachtszeit wieder Millionen vernetzter Elektrospielzeuge gekauft und später unter den Christbäumen landen, ist einmal mehr der Hinweis angebracht: Viele Smart-Home-Geräte sind nicht die Produkte, die sie zu sein scheinen. Oft geht es den Herstellern nicht primär darum, Euch ein Produkt zu verkaufen. Viele dieser Geräte sind nur ein Mittel, mit dem Ihr langfristig noch weitere Produkte kaufen sollt. Oder sie sind eine neue Methode, mehr über Euch herauszufinden.

Technologie-Hersteller Tuya ließ sich dabei erwischen und wurde zum Negativ-Beispiel. Dessen smarte Lampen, Sensoren und Steckdosen werden zwar größtenteils unter anderen Markennamen wie Pearl oder Hama verkauft. Diese kommunizieren jedoch sämtlich mit der Tuya-Cloud. So haben die Lizenznehmer sowie die chinesische Zentrale potenziell Zugriff auf persönliche Daten und Euren Standort.

lifx beam 0
Smartes Licht ist toll, aber ihre Hersteller oft zu neugierig. / © NextPit

Das ging einigen Technik-Freunden zu weit. Diese machten sich zunutze, dass Tuya bei der Implementierung der Update-Schnittstelle gepfuscht hatte. Was eigentlich als Sicherheitsrisiko für Smart-Home-Geräte zu werten ist – wir hatten berichtet – haben die lieben Hacker kurzerhand dafür genutzt, den Draht nach China zu kappen. Wer mochte, konnte also endlich volle und private Kontrolle über die smarten Geräte erlangen.

Der Patch, der keiner ist

Tuya verstand den Ernst der Lage und bemühte sich, die Sicherheitslücken zu schließen. Schließlich könnten böse Hacker sie nutzen, um Euer Netzwerk mit gezinkten Lampen auszuspähen. Doch auch der jüngst veröffentlichte Patch beweist, dass der Hersteller selbst ein Jahr nach der Bloßstellung vor dem Hacker-Publikum in Leipzig noch nicht mithalten kann. Lieben Hackern sei dank, ist das in unserem Sinne. Denn dem neuen Heise-Bericht zufolge sei es so weiterhin möglich, Cloud-lose Firmware auf die Tuya-Geräte aufzuspielen.

Diese eigene Firmware wird entwickelt von einer Gruppe von Freiwilligen. Entdeckt wurde die Sicherheitslücke von VTRUST-Sicherheitsexperte Michael Steigerwald. Das GitHub-Repository tuya-convert wird maßgeblich gepflegt von Colin Kuebler. Da die entsprechende Anleitung (Heise) jedoch das Aufsetzen eines eigenen Servers beinhaltet, richtet sich diese Lösung eher an Vollblut-Nerds. Das darunterliegende Problem betrifft jedoch alle.

hacker privacy password crack access security infringe spy 03
Alle Hacker tragen immer Maske und Kapuze am Computer. / © Gorodenkoff / Shutterstock

Wir sollten uns nicht in Freiheit hacken müssen

Das Tuya-Problem wirft vor allem eine Frage auf. Einer der Kommentatoren des Heise-Berichtes wundert sich: Warum ist Tuya so sehr dagegen, dass Nutzer die Cloud umgehen können? Wird das Geld gar nicht mit der Hardware (oder den Lizenzen) sondern vielmehr mit der Datensammlung gemacht?

Ich erwarte nicht, auf diese Frage eine abschließende geschweige denn eine ehrliche Antwort zu bekommen. Stattdessen schwingt sie noch eine Weile nach: Wie kann ich (wieder) Herr über meine Daten bleiben (werden)? Ist beim Kauf von Smart-Home-, oder generell bei Technik-Produkten noch ein Kompromiss aus Bequemlichkeit und Datenschutz möglich?

AndroidPIT Amazon Echo Dot Screen
Der neue Echo Dot mit Uhr kann Euch im Schlaf belauschen. / © NextPit

Denn über Kurz oder Lang werden alle Geräte vernetzt sein: TV-Geräte sind schon längst alle smart. Die nächste Generation Fahrzeuge geht auch online. Und spätestens wenn ein nennenswertes 5G-Netz existiert, ließe sich jeder öffentliche Mülleimer ebenso vernetzen.

Spätestens dann verlange ich mehr Schutz und öffentliche, wenn nicht sogar nachvollziehbare Kontrolle. Ich will mich nicht auf Hacker verlassen müssen oder selbst zu einem werden, nur weil niemand geprüft hat, wer mir alles durch meinen Radiowecker hindurch beim Schlafen zugehört hat.

Ich wünsche mir zu Weihnachten ein Smart Home System, das die Nutzerfreundlichkeit von Amazon Echo und Philips Hue mit der Kontrolle von openHAB und Mycroft verbindet. Falls Ihr über so ein Produkt stolpert, dann stellt es uns gerne in einem Kommentar vor.

Quelle: Heise

  Wahl der Redaktion Kamera-Flaggschiff Flaggschiff-Alternative Bestes Gaming-Handy Preis-Leistungs-Sieger Günstige Alternative Einstiegsmodell
Gerät
Abbildung Xiaomi 13T Pro Product Image Xiaomi 13 Ultra Product Image Xiaomi 13 Product Image Xiaomi Poco F4 GT Product Image Xiaomi Redmi Note 12 Pro+ Product Image Xiaomi Poco F5 Pro Product Image Xiaomi Redmi Note 11 Product Image
Bewertung
Test: Xiaomi 13T Pro
Test: Xiaomi 13 Ultra
Test: Xiaomi 13
Test: Xiaomi Poco F4 GT
Test: Xiaomi Redmi Note 12 Pro+
Test: Xiaomi Poco F5 Pro
Test: Xiaomi Redmi Note 11
Angebote*
Zu den Kommentaren (26)
Eric Ferrari-Herrmann

Eric Ferrari-Herrmann
Senior Editor

Eric ist seit 2014 bei AndroidPIT. Seine alte Tech-Leidenschaft wird allmählich unterwandert von der Liebe zu mehr Nachhaltigkeit, Privatsphäre und dem Wunsch nach einer Zukunft für alle.

Zeige alle Artikel
Hat Dir der Artikel gefallen? Jetzt teilen!
Empfohlene Artikel
Neueste Artikel
Push-Benachrichtigungen Nächster Artikel
26 Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • 15
    Norbert Bluhm 20.11.2019 Link zum Kommentar

    Wovon redet Ihr Faulpelze eigentlich? Von Zeit- und Geldverschwendung, um noch trotteliger & durchsichtiger zu werden?


  • 3
    Mathias 20.11.2019 Link zum Kommentar

    Eins der besten smart-home Systeme ist für mich loxone. Und auch den Server kann man ohne Cloud betreiben, wenn man will.


  • Hans-Thomas M. 27
    Hans-Thomas M. 19.11.2019 Link zum Kommentar

    Ich glaube nicht, dass das Geld hauptsächlich durch Datensammlung verdient wird. Aber gerade ein solche Anbieter wie Tuya macht es den 3rd Party Billiganbietern wie Hama, Pearl usw. einfach, um nicht zu sagen "dead simple". Mit Tuya kann jeder seine eigene "smarte" Lösung in Nullkommanix zusammenklicken. Und da die Schaltvorgänge sowieso schon über Rechner in der public Cloud abgewickelt werden, kann man die Sprachsteuerung a la Siri, Alexa oder Google auch ohne Probleme bereitstellen, man tauscht halt gegenseitig die API's aus. Für Otto-Normalbenutzer ist das toll, und wenn man zig verschiedene Apps dafür braucht, was soll's.
    Meinereiner will aber seine Haussteuerung nicht in der Cloud wiederfinden, wo ich keine Kontrolle darüber habe. Deshalb finde ich es gut , dass es Tasmota und Tuyaconvert gibt, mit denen man die entsprechenden Geräte von der Cloud befreien kann. Dann muss man vielleicht mehr Arbeit reinstecken und Google Home geht dann vielleicht nicht (sofort), aber damit kann ich leben. Welches Smarthome System besser ist, muss jeder für sich selbst herausfinden, jedes hat eigene Stärken und Schwächen. Mir ist OpenHAB zu mächtig und wegen Java zu kompliziert, und Mycroft ist eigentlich eine schöne Idee, macht aber kaum Fortschritte.


  • 1
    derEine 19.11.2019 Link zum Kommentar

    ioBroker darf nicht vergessen werden! Wie ich finde das beste System für die Smart Home Steuerung. Da es eine intuitive Oberfläche hat und für Einsteiger entsprechend einfach einzurichten ist.
    Mit ioBroker lässt sich wirklich alles verbinden und das ohne Programmierkentnisse.

    Skripte lassen sich nach einem Baustein System anlegen, so dass jeder hier einen Einstieg finden sollte.
    Einfach nur Chris auf Youtube macht super Anfänger Tutorials und macht ioBroker zu einem Kinderspiel.

    Natürlich muss ein gewisser Zeit Aufwand eingeplant werden und man muss sich etwas ein die Materie einfühlen und es ist eher was für Hobby IT-ler. Dennoch finde ich es ist die beste Alternative.


  • 1
    cru 19.11.2019 Link zum Kommentar

    homee ist noch so ein System das ohne jeden cloudzwang ganz für sich alleine sehr gut funktioniert!


  • 5
    Gast 19.11.2019 Link zum Kommentar

    Immer diese rhetorischen Fragen wie "Wird das Geld gar nicht mit der Hardware (oder den Lizenzen) sondern vielmehr mit der Datensammlung gemacht?"

    Solche Geschäftsmodelle, Hardware zum Dumpingpreis und Monetarisierung über die Nutzung, gibt es doch schon ewig. Was früher die Tinte war, sind jetzt die anfallenden Daten.

    Hans-Thomas M.


  • 77
    Gelöschter Account 19.11.2019 Link zum Kommentar

    Da geht mir doch glatt ein Licht 💡😃 auf und daher verzichte ich lieber auf sowas.

    Norbert BluhmGelöschter Account


  • 2
    Jan 19.11.2019 Link zum Kommentar

    Das Kapital und damit die Bequemlichkeit hat uns zum Sklaven degradiert ,und somit ist die globale Transparenz nicht mehr aufzuheben .

    Norbert BluhmGelöschter Account


  • 36
    Gelöschter Account 19.11.2019 Link zum Kommentar

    Versteh sowieso nicht warum das durch ne Cloud muss wenn ich vom Sofa per Handy das Licht an und abschalten will. Warum man sowas überhaupt machen muss. Bewegung schadet ja nicht. Und für Laden und co kann man auch wenn mans wirklich braucht Zeitschaltuhren dranhängen.

    Gelöschter Account


    • Hans-Thomas M. 27
      Hans-Thomas M. 19.11.2019 Link zum Kommentar

      Es soll auch Leute mit Bewegungseinschränkungen geben, die dankbar sind für jeden Schritt, den sie nicht machen müssen. Und da helfen auch keine Zeitschaltuhren.


      • 36
        Gelöschter Account 19.11.2019 Link zum Kommentar

        Ja ich weiß und so jemand wohnt sogar in mit in meiner Wohnung.


  • Sebastian H. 16
    Sebastian H. 19.11.2019 Link zum Kommentar

    KNX nennt sich zB so ein Smarthome-System. Ohne Server und ohne Cloud funktioniert es out-of-the-box schon sehr sehr gut. Wer etwas Visu haben möchte, gibt etwas mehr Geld für einen KNX-Server aus oder wer nicht so viel Geld für Visualisierung ausgeben möchte, strickt dann einen FHEM, Nodered, openhab und und und dran.

    Mit KNX ist man auch herstellerunabhängig und dank verteilter Intelligenz, fällt das System nicht komplett aus.


    • Eric Ferrari-Herrmann 44
      Eric Ferrari-Herrmann 19.11.2019 Link zum Kommentar

      Na ja... Man ist von knx abhängig. Und die sind teuer wie Sau, das letzte Mal, als ich geguckt habe.

      Hans-Thomas M.


  • 1
    Buschi4200 19.11.2019 Link zum Kommentar

    Loxone!

    Loxone bietet alles was man benötigt um SMART im HOME zu sein. Generell ist kaum Bedienung notwendig, real smart, nicht pseudo smart und kombinierbar mit anderen Systemen (falls nötig). Die Kombination mit Alexa bietet zusätzlich eine Sprachbefehlschnittstelle (falls man den Komfort und Alexa mag, Google funktioniert auch) und zur Not kann man mit IObroker, openHAB oder Loxberry eventuelle Brücken bauen.
    Definitiv eine der besten Automationen, wenn nicht sogar die Beste. Und der Server läuft stabil!
    Für Neubau und Nachrüstung.
    Wird permanent erweitert und verbessert. Kostenloses Programmiertool, einfach einzustellen und zu bedienen (falls mal nötig).


  • 14
    Andy 19.11.2019 Link zum Kommentar

    Wer Elektroschrott von "Hama" oder "Pearl" kauft, darf sich eben nicht wundern. Ärgern schon gar nicht. Ärgerlich ist allerdings, dass es bei namhaften Produkten oft nicht besser ist.


  • 2
    Juergen R. 19.11.2019 Link zum Kommentar

    SmartHome gerne - einfach ohne Cloud. HomeMatic bietet Komfort ohne Zwangsanbindung.


    • Hans-Thomas M. 27
      Hans-Thomas M. 19.11.2019 Link zum Kommentar

      Ja, besonders HomematicIP :-).
      Ich setze das klassische Homematic Protokoll ein, weil es die einzige Möglichkeit ist, die Keymatic zu betreiben. Das Protokoll war lange proprietär und wurde mühsam Reengineered. Dann hat eq3 es (wahrscheinlich äußerst wderwillig) als OpenSource offengelegt, dafür aber MAX! und Equida geschaffen. Auf die Dauer werden sie wohl Homematic nicht mehr weiter unterstützen, zumindest nicht mit voller Kraft, denn mit den anderen kann man im geschlossenen System viel mehr Geld machen.


      • Thorsten 37
        Thorsten 19.11.2019 Link zum Kommentar

        Homematic IP funktioniert genau wie das normale Homematic, wenn man es mit einer CCU oder ähnlichem betreibt.
        Nur wenn man den Access Point verwendet, ist man teilweise von der Cloud abhängig .
        HmIP selber ist nur ne andere Frequenz.


  • 2
    Hecro 18.11.2019 Link zum Kommentar

    Was hat das mit Hacken zu tun? Das ist fast immer ein ESP Chip wie der billige ESP8266, die alle samt ein arduino sind... Sowas nennt man also heutzutage hacken 😂 und dann Brauch man natürlich einen Sicherheitsexperten um diese großartige und schwer zu findene "Sicherheitslücke" zu Entdecken...bravoo ich lach mich tod

    Gelöschter Account


    • Fabien Röhlinger 72
      Fabien Röhlinger
      • Admin
      • Staff
      19.11.2019 Link zum Kommentar

      Wie sollte man hacken denn sonst nennen? Das Wort sagt ja nichts über den Schwierigkeitsgrad des Angriffes aus, sondern beschreibt lediglich den Vorgang, ein technisches Gerät unerlaubt zu kapern, um es so zu manipulieren.

      Helmut HEric Ferrari-HerrmannGelöschter Account


  • DiDaDo 98
    DiDaDo 18.11.2019 Link zum Kommentar

    Der neue Echo Dot kann mich im Schlaf belauschen? Nur der neue? Oder auch die alten? Kann nur der neue Echo Dot mich belauschen oder belauscht mich mein Handy, das neben mir über Nacht lädt auch? Oder bin ich sicher, wenn ich nicht ständig im Schlaf spreche und dabei womöglich noch ständig das Hotword vor mir her brabble?

    Gelöschter AccountGelöschter Account


    • Hans-Thomas M. 27
      Hans-Thomas M. 19.11.2019 Link zum Kommentar

      Mithören tun alle ständig. Sie "reagieren" halt nur auf das Hotword. Und ob die übertragenen Geräusche nicht doch irgendwie "ausgewertet" werden, weiß nur der Googel, Amazon oder Apple. Ich hoffe, dass bald die lokale Erkennung von Google auch in Deutsch zur Verfügung steht. Google hätte das sicher auch gerne, weil dann die Verzögerung durch die Sprachverarbeitung in der Cloud wegfällt, nicht um irgendwas sicher zu machen. Aber dann kann man vielleicht den Weg zur Cloud- Spracherkennung blockieren. Da würde ich mich schon sicherer fühlen.


      • DiDaDo 98
        DiDaDo 19.11.2019 Link zum Kommentar

        Der "Mithör"-Buffer wird aber ständig überschrieben. Bis das Hotword kommt. Dann wird die Weiche auf den Chip gestellt, der die Anfrage an den Server weiterleitet. Nix weiter. Keine größere "Magic" dahinter.


  • Hobl 48
    Hobl 18.11.2019 Link zum Kommentar

    ... und auch Alexa hat aus guten Gründen weiterhin bei uns Hausverbot.

    Hans-Thomas M.Gelöschter Account


    • DiDaDo 98
      DiDaDo 18.11.2019 Link zum Kommentar

      Dein Smartphone dann auch? 😯 Wird es dem nicht kalt draußen im Fahrradständer?

      Hans-Thomas M.Gelöschter Account


  • Pascal P. 64
    Pascal P.
    • Admin
    18.11.2019 Link zum Kommentar

    Wer seine SmartHome Gerät sicherer und weniger Datenhungrig machen will:
    https://github.com/arendst/Tasmota
    Allerdings sind kleine Programmierkenntnisse und Hardware Kenntnisse erforderlich.
    Habe das erfolgreich bei Luminea Wlan RGB und Steckdosen von Pearl eingesetzt.
    Fernzugriff sollte dann über ein VPN erfolgen

    Gelöschter AccountGelöschter AccountHobl

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
VG Wort Zählerpixel