Sicherheit von CloudMatic connect & CloudMatic SmartHome ebenfalls durch AV-Test ausgezeichnet

26.04.2018

Ein weiteres Produkt in der Kategorie "Smart Home" hat den Zertifizierungstests von AV-TEST erfolgreich bestanden - die CloudMatic-Lösung, die den sicheren Fernzugriff und die Steuerung des eQ-3 HomeMatic CCU2 ermöglicht. CloudMatic bietet sicheren Fernzugriff auf die Homematic CCU über eine Kombination aus sicherem Cloud-Zugriff über eine mobile App und einem VPN-Tunnel von der Cloud zur CCU. Diese beiden Aspekte wurden daher eingehend geprüft.

Die Cloud-Verbindung und damit die Anmeldung für den Fernzugriff erfolgt über eine mobile Anwendung. AV-Test hat sich die CloudMatic EASY App angesehen, um herauszufinden, ob die Verbindungen sicher sind - denn eine sichere Steuerung über VPN allein reicht nicht aus, wenn der Zugriff darauf nicht gesichert ist.

Dabei waren die durchgeführten "Man-in-the-Middle-Angriffe" auf die Benutzeranmeldung für dieses Testszenario z.B. nicht erfolgreich - die verschlüsselten Verbindungen sind zusätzlich durch ein sogenanntes "Certificate Pinning" gesichert, das es einem Angreifer ohne das richtige Server-Zertifikat praktisch unmöglich macht, unberechtigten Zugriff auf die Verbindung zu erhalten.

Auch beim Aufbau der VPN-Verbindung von der Cloud zur CCU konnten keine offensichtlichen Schwachstellen im Test erkannt werden. An diesem Punkt sollte es für einen Angreifer ohnehin viel schwieriger sein, einen Angriff zu starten, so dass die Verbindung von der App zur Cloud als der kritischste Bereich angesehen werden muss.

Die Android-Anwendung selbst hat keine offensichtlichen oder schwerwiegenden Schwachstellen: Die fehlende Verschleierung von sicherheitsrelevanten Funktionen und Klassen erlaubt es potentiellen Angreifern, die Funktionalität der Anwendung leicht zu rekonstruieren oder zu manipulieren, aber diese Tatsache allein stellt keine echte Schwachstelle dar.

Auch wenn die App keine kritischen Informationen in Form von Protokollen oder Debug-Ausgaben im Android-Logcat anzeigt, haben Smartphones mit Root-Rechten die Möglichkeit, die Benutzerdaten direkt aus dem Datenordner der App auszulesen. AV-Test hält dies nicht für einen offensichtlichen Schwachpunkt, aber es sollte beachtet werden, da es absolut im Bereich der Möglichkeiten für moderne Malware liegt.

Die Datenschutzerklärung von CloudMatic und EASY SmartHome GmbH bezieht sich nur auf die Nutzung der jeweiligen Website, nicht aber auf die Nutzung der App. Da die App jedoch eine wichtige Komponente für die Nutzung des Systems ist, sollte sie nach Meinung von AV-TEST zumindest in der Grundsatzerklärung erwähnt werden.

Auch die Nutzung der CloudMatic-Dienste wird erwähnt, ebenso wie die gesammelten Daten - aber auch eine Erwähnung des Zwecks der Datenerhebung wäre an dieser Stelle wünschenswert.

Da die Android-App eine relativ große Anzahl von Berechtigungen hat, empfiehlt AV-TEST auch, den Zweck der Berechtigungen in der Datenschutzerklärung zu erwähnen, da dies die Transparenz für den Kunden weiter verbessern würde. Da die App hauptsächlich aus einer Browser-Komponente besteht, kann an dieser Stelle sogar auf einige der Berechtigungen verzichtet werden.

Die CloudMatic Lösung bietet eine sichere Möglichkeit, das eQ-3 HomeMatic Smart Home System aus der Ferne zu verwalten und zu steuern. Die gewählte Kombination aus mobiler Anwendung und VPN-Verbindung bietet Vorteile für die Benutzerfreundlichkeit sowie ein hohes Maß an Sicherheit. Da im Test keine weiteren gravierenden oder offensichtlichen Schwachstellen festgestellt werden konnten, kann die CloudMatic-Lösung als ausreichend sicher angesehen werden und erhält deshalb das AV-TEST-Zertifikat "Approved Smart Home Product".

- Code scannen, um zur Orginalseite zu gelangen -