smart home apps im kontext von privacy … › resource › blob › 849572 › e283d2f0253f28e...©...
TRANSCRIPT
© mediola – connected living AG© mediola – connected living AG
SMART HOME APPS IM KONTEXT VON
PRIVACY UND SECURITY
Marc Treber
mediola – connected living AG
© mediola – connected living AG© mediola – connected living AG
UNTERNEHMEN
mediola – connected living AG
Gründung: 03.01.2007
Sitz: Frankfurt Main
Mitarbeiter: ca.15 vorwiegend
Ingenieure & Informatiker
mediola bietet Hard- und Software an
© mediola – connected living AG© mediola – connected living AG
DAS MEDIOLA KONZEPT – ALL IN ONE
• Verbindung von Geräten und Funktionen konkurrierender Hersteller
• Unabhängig von technischen Standards und Marken
• Inkompatible Produktewirken für den Benutzer wie ein System und werden auch so bedient
© mediola – connected living AG© mediola – connected living AG
AIO GATEWAY – Universal IP-Konverter
Unterstützt alle IR-Geräte und 380 Komponenten von über 30 Herstellern
© mediola – connected living AG© mediola – connected living AG
IQONTROL
© mediola – connected living AG© mediola – connected living AG
AIO CREATOR NEO
© mediola – connected living AG© mediola – connected living AG
AIO REMOTE NEO
© mediola – connected living AG© mediola – connected living AG
PRIVACY & SECURITY
• Privacy vs. Security
• Im Kontext von Smart Home Apps:Privacy = Security?
• kommen die privaten Daten in falschen Hände, ist die Sicherheit gefährdet
• ohne (System-)Sicherheit sind die privaten Daten gefährdet
Im Kontext von Smart Home Apps: Privacy = Security
© mediola – connected living AG© mediola – connected living AG
RISIKEN
• Security• Systemschutz/ Systemschwachstellen• Fremdkontrolle des Systems durch Dritte
• Worst case: Einbruch
• Privacy • Einsicht in private Nutzungsdaten• Was wird wo wie lange gespeichert? • Oft kompletter Verlust der Kontrolle über Daten
Safe-Harbor: EuGH erklärt Safe-Harbor für ungültig
© mediola – connected living AG© mediola – connected living AG
ANGRIFFSPUNKTE
• Gerät/ Gateway• (Control-)Server• Kommunikationswege• Datenspeicher• App
Bei Smart Home Apps muss in Bezug auf Privacy + Security immer auch
das Gesamtsystem betrachtet werden
© mediola – connected living AG© mediola – connected living AG
APPS AUF MOBILEN GERÄTEN(IOS UND ANDROID)
• Apps arbeiten grundsätzlich in Sandboxen/ geschützten Bereichen
• Apps müssen grundsätzlich signiert sein• Neue sicherheitsrelevante Techniken werden
eingeführt• z.B.: Fingerabdrucksensor beim iPhone
• Apps zeigen Warnungen• z.B.: beim Zugriff aufs Adressbuch, Fotos, usw.
• Best practices• z.B.: iOS 9 „erzwingt“ HTTPS anstelle von HTTP
(kann aber einfach umgangen werden)
© mediola – connected living AG© mediola – connected living AG
SICHERHEITSLÜCKEN MOBILE GERÄTE
• Häufig tauchen Sicherheitslücken auf(insbesondere bei Android)• Bluebox/ Master Key (2013)
• 99% aller Android Geräte angreifbar (Schadcode kann unbemerkt in Apps injiziert werden)
• Certify-gate (Black Hat 2015)• Unzählige Android Geräte fernsteuerbar
• Update-Problematik (insbesondere Android)• Nicht alle Geräte können aktualisiert werden
© mediola – connected living AG© mediola – connected living AG
SCHLAGZEILEN ZUR IOS SICHERHEIT
• Ungebetene Daten infizieren iOS per Airdrop
• iOS 9.0.2 behebt kritische Sicherheitslücke
• Xara: Kritische iOS- und OS-X-Lücken erlauben Passwortdiebstahl
100%ige Sicherheit ist bei aktuellen, stark vernetzten, featurereichen Geräten
praktisch unmöglich
© mediola – connected living AG© mediola – connected living AG
DECOMPILING
• Android• apks durch Java relativ einfach dekompilierbar
(z.B. Dex2jar, ApkTool, JD-GUI, even webservices)
• iOS• ipas sind FairPlay geschützt
(decrypt via gejailbreaktem Gerät -> IDA/ Hex-Rays, …)
Die ungesicherte Ablage von schützenswerten Daten (z.B. Schlüssel) in Apps ist problematisch
© mediola – connected living AG© mediola – connected living AG
KOMMUNIKATIONSSICHERHEIT
• Ungeschützte Verbindung• Network-Sniffer
• Geschützte Verbindung • ggf. "man in the middle" Attacken möglich
(SSL Zertifikatsprüfung)
• Schlagzeilen SSL Sicherheitslücken (2014-2015):• Heartbleed: GAU für Verschlüsselung im Internet• Freak Attack:
SSL-Verschlüsselung von Millionen Webseiten angreifbar• Kritische OpenSSL-Lücke erlaubt gefälschte Server-Zertifikate• Beliebige SSL-Zertifikate durch Missbrauch der Uralt-Internettechnik BGP
Sichere Kommunikation ist nicht leicht realisierbar
© mediola – connected living AG© mediola – connected living AG
GERÄTE/ GATEWAYS
• Oft generell gänzlich ungeschützt• Annahme: im Netzwerk vorhandenen Geräten
kann vertraut werdenProminentes Beispiel: KNX
• Oft Replay-Attacken möglich• Insbesondere bei Funksystemen
• System „geknackt“Hacker
verschaffen sich Kontrolle über Jeep Cherokee
Gefahr im Kraftwerk:
Industrieanlagen schutzlos im
Internet
Tausende medizinische
Geräte aus dem Internet
angreifbar
© mediola – connected living AG© mediola – connected living AG
SMART HOME/ IOT SICHERHEIT
Vaillant: Sicherheits-
lücke bedroht Hightech-Heizungen
WeMo: W-Lan-Steckdosen
haben schwere Sicherheitslücken
Vernetzte LED-Lampen
verraten WLAN-Passwörter
Timing Attacke auf
Philips Lichtschalter
Smartes Türschloss
August war zu gastfreundlich
Smarter Kühlschrank verplappert
sichHP Study Reveals 70 Percent of Internet of Things
Devices Vulnerable to Attack (Juli 2014)
FBI warnt vor Risiken des Internet der Dinge (Oktober 2015)
© mediola – connected living AG© mediola – connected living AG
SERVER SICHERHEIT
• Problem Control-Server• Übernahme des Servers ermöglicht die Steuerung
des Smart Homes durch Dritte• Server sind verwundbar
ebay
SONY
Snapchat
Apple
AshleyMadison
233 Millionen Nutzerdaten
4,6 Millionen Nutzernamenund Passwörter
36 Millionen E-Mail Adressen
© mediola – connected living AG© mediola – connected living AG
ZUSAMMENFASSUNG
• Geräte und Systeme sind oft ungeschützt und angreifbar
• (Control-)Server und Datenspeicher sind verwundbar• Kommunikationswege relativ schwer sicherbar• App läuft in angreifbarer Umgebung
• Gesicherte Kommunikation (End-to-End)• Geschützte Datenablage• Anerkannte Standards einsetzen (z.B. VPN)