MRMCD 2018

Nello (nicht ganz) allein zu Haus
08.09.2018 , Lichtspielhaus
Language: Deutsch

Ein IoT Smart Lock – was sollte schon schief gehen?


Die Sicherheit von Smart Locks ist in jedem Fall ganz großes Kino! Wir haben für euch das Nello Smart Lock genauer angesehen, entwickelt von einem Münchner Startup, welches mit Sicherheit 2.0 (AES256, TLS1.2) beworben wird. „Highly advanced encryption methods & unbreakable compared to physical locks“ ...

Das Nello Smart Lock verbindet sich mit dem WLAN und ist dann ausschließlich über die Cloud steuerbar. Von der Cloud aus wird anhand von Uhrzeiten und Benutzer-Standorten konfiguriert, ob sich die Haustüre gerade öffnen lässt. Ist dies der Fall, wenn geklingelt wird, öffnet sich die Haustüre.

Zuerst geben wir euch einen Überblick über alle Komponenten und Protokolle, die in diesem Ökosystem zum Einsatz kommen. Hier wird eine interessante Protokoll-Mischung eingesetzt - bekannt durch andere IoT-Fernsehköche ;)

Wir möchten nicht all zu viele Details spoilern, damit ihr alle ins Kino geht, aber wir waren in der Lage, den gesamten Netzwerkverkehr zu lesen, Nachrichten zu senden, Verbindungen dauerhaft zu beenden, Nutzeraccounts einsehen und ändern, Aktivitätsprotokolle anzusehen, Mailadressen zu verifizieren und Rechte zu eskalieren.

Wie jeder gute Disney-Film endet es mit einem Happy Responsible Disclosure.

clou is studying IT-Security at TU Darmstadt and doing a Master thesis in IoT Web Security. He likes to play CTF and is mainly interested in web frontend/backend security.