This article is also available in English

Günstige Schaltsteckdosen, Küchengeräte und Lampen stammen oft vom Hersteller Tuya, werden aber unter anderen Namen verkauft. Wie es mit der Sicherheit aussieht, hat sich Sicherheitsexperte Michael Steigerwald vom IT-Startup VTRUST angesehen und Ende 2018 auf dem 35C3 vorgestellt. Zusammen mit der c't-Redaktion hat er die für den Vortrag geschriebenen Skripte, die das Verhalten der Tuya-Cloud simulieren, so erweitert, dass man die Geräte von der Original-Firmware und -Cloud befreien kann.

Die chinesische Firma Tuya stellt Hausautomationsprodukte mit Cloud-Steuerung per App her. Die Geräte landen aber nicht nur unter dem Markennamen "Tuya" im Handel. Der Hersteller bietet anderen Unternehmen für nur 1500 US-Dollar an, die Produkte unter eigenem Label inklusive App zu vertreiben. Daher sind auch in Deutschland viele Tuya-Produkte wie Schaltsteckdosen und Steckleisten im Umlauf: Im Onlinehandel, beim Discounter und im Baumarkt: Oft ist Tuya drin, wenn "WLAN" und "Smart Home" draufstehen. Weltweit sind es laut eigenen Angaben rund 11.000 unterschiedliche Geräte.

Auf der Platine im Inneren findet sich nicht selten der Mikrocontroller ESP8266 von Espressif. Er stellt eine Verbindung mit dem WLAN her und kommuniziert darüber mit der Tuya-Cloud. In einer App kann der Anwender das Gerät steuern – natürlich nicht direkt, sondern mit einem Umweg durch die Cloud, also über Server von Tuya. Eine Weboberfläche, die eigentlich den Unternehmen vorbehalten ist, die das Gerät bei Tuya fertigen lassen, zeigt, dass Tuya nicht besonders sparsam beim Datensammeln vorgeht. Der Hersteller speichert unnötigerweise den genauen Standort des IoT-Geräts (via Smartphone-GPS bei der Einrichtung ermittelt) und wann es beispielsweise ein- oder ausgeschaltet wurde.

Sicherheitslücken während der Einrichtung

Damit die Geräte sich mit dem heimischen WLAN verbinden und mit der Cloud sprechen können, nutzt Tuya das Smartconfig-Provisionierungsverfahren. Der Benutzer lädt eine App herunter und versetzt die neugekaufte Steckdose in den Anlern-Modus. In der App gibt er dann die Zugangsdaten für sein heimisches WLAN ein. Die App fragt bei Tuya einen Token ab, der später das Gerät in der Cloud identifiziert. Anschließend sendet das Handy Broadcast-Pakete ins WLAN.

Das Verfahren ist auf den ersten Blick nicht schlecht: Das Tuya-Gerät, selbst noch nicht im Netzwerk, schneidet alle Pakete mit. Weil das WLAN verschlüsselt ist, kann es die Inhalte der Pakete nicht lesen – wohl aber die Paketlängen. Mit diesen Paketlängen codiert die Tuya-App die zu übertragenen Informationen: Die SSID des WLANs, den Schlüssel und das Token für die Cloud. Das Endgerät hat alle Informationen, um sich mit dem WLAN zu verbinden und die Cloud zu kontaktieren. Das Problem: Hört jemand während der Einrichtung in Funkreichweite mit, kann er die WLAN-Zugangsdaten abgreifen.

Der "Smartconfig" genannte Provsionierungsvorgang ermöglicht sowohl das Ausspähen in der Nähe als auch Man-in-the-Middle-Attacken auf die folgende Kommunikation mit dem Tuya-Server.

Nach erfolgreicher Verbindung zum WLAN-Netz sendet das Tuya-Gerät den Token an die Cloud – unverschlüsselt per HTTP. Danach erhält es von der Cloud die Schlüssel für die Verschlüsselung der folgenden MQTT-Kommunikation – ebenso mittels unverschlüsseltem HTTP. Anschließend meldet sich das Gerät an einem MQTT-Server von Tuya an. Zwar ist die MQTT-Nutzlast mit AES-128 verschlüsselt, es kommt aber kein TLS (Transport-Layer-Security) zum Einsatz.

Für Angreifer bedeutet das Mitschneiden etwas Mühe, sie müssen im rechten Zeitpunkt in der Nähe sein. Das kann sich aber lohnen: Haben sie den Token abgefangen, können sie dem Tuya-Gerät eine andere Firmware unterschieben und so zum Beispiel Schadcode im Heimnetz des Opfers ausführen.

In einem anderen Szenario könnte der Angreifer die Geräte kaufen, mit einer modifizierten Tuya-Firmware inklusive Hintertür versehen und an den Versandhändler als vermeindliche Retoure zurückschicken. Sendet dieser die Geräte wieder an ahnungslose Kunden, könnten diese unfreiwillig Teil eines Botnetzes werden oder beispielsweise in Ihrem eigenen Heimnetz um sensible Daten erleichtert werden.

Eigene Firmware für Bastler: Ohne Schrauben und Löten

Die Erkenntnisse zur Einrichtung lassen sich aber auch ohne kriminelle Absichten praktisch nutzen. Steigerwald und Redakteure der c't haben die Skripte nach dem Vortrag soweit optimiert, dass Bastler sie dazu nutzen können, den Schaltsteckdosen eine Open-Source-Firmware unterzuschieben. Die kommt ohne Kommunikation mit der Cloud aus. Anstatt die App einzusetzen und die wenig vertrauenserweckende Cloud des Herstellers zur Provisionierung zu kontaktieren, spielt der Raspberry Pi dem Tuya-Gerät das gleiche Verhalten vor. Der Kleinstcomputer öffnet einen WLAN-Access-Point und das Tuya-Gerät bekommt alle Informationen – vollständig offline.

Im letzten Schritt fragt das Gerät nach einer Update-URL und bekommt die Open-Source-Firmware Tasmota, an der eine große Bastler-Community arbeitet.

Wie das Überspielen im Detail funktioniert, haben wir in einem Praxisartikel beschrieben:

(jam)