Reverse Engineering: Das Xiaomi-Ökosystem vom Hersteller befreien

Wer IoT- oder Smart-Home-Komponenten kauft, ist abhängig davon, dass der Hersteller die Geräte in den folgenden Jahren unterstützt. Denn anders als nichtsmarte Geräte verweigern viele solcher Haushaltshelfer den Dienst, wenn die Steuerungsserver vom Hersteller abgeschaltet werden. Einen Vorgeschmack darauf bekamen viele Nutzer, als im Zuge von Angriffen über das Botnetz Mirai zahlreiche Server über Stunden nicht erreichbar waren und Thermostate oder Tierfütterungsstationen nicht mehr funktionierten. Die einzige Chance, aufgegebene Geräte weiter nutzen zu können, besteht darin, dass Hacker sich der Sache annehmen, die Geräte besser verstehen und alternative Dienstserver anbieten. Genau das haben Dennis Giese und Daniel Wegemer getan.

Die beiden Hacker haben Smart-Home-Geräte von Xiaomi im Secure Mobile Networking Lab der TU Darmstadt per Reverse Engineering untersucht, um besser zu verstehen, wie sie unter der Haube funktionieren. Erste Erkenntnisse stellten sie bereits zum Jahreswechsel auf dem Hackerkongress 34C3 in Leipzig vor, als sie demonstrierten, wie sich ein Staubsauger mithilfe eines Stücks Alufolie rooten lässt. Weitere Forschungen zeigen, dass auch andere Geräte wie Glühlampen und Smart-Home-Gateways mit Rootzugang versehen und möglicherweise später umfunktioniert werden können - und dass die Xiaomi-App recht neugierig ist.

Xiaomi macht mit den Geräten den Analysen der Forscher zufolge einiges richtig. Auf dem Staubsauger läuft etwa ein nur wenig angepasstes Ubuntu-Betriebssystem, das auch schnell mit Patches versorgt wird. Und auch die Verbindungen zwischen dem Clouddienst und den verschiedenen Geräten sind, im Unterschied zu vielen anderen IoT-Geräten, verschlüsselt und nutzen zudem einen Authentifizierungsmechanismus.

Xiaomi bietet neben verschiedenen Modellen von Staubsaugerrobotern mittlerweile auch ein Smart-Home-Gateway, verschiedene Sensoren und WLAN-Glühlampen an. All diese Geräte kommunizieren mit dem Clouddienst von Xiaomi - meist über die Steuerungs-App des Herstellers oder das Smart-Home-Gateway hinweg. Der Clouddienst nutzt zur Anmeldung das Protokoll OAuth und eine TLS-verschlüsselte Verbindung. Innerhalb des Streams kommt eine weitere Verschlüsselung mit RC4 und AES zum Einsatz.

Die Xiaomi-App übermittelt den Standort

Stellenmarkt

1. Bosch Gruppe, Stuttgart-Feuerbach
2. Dataport, verschiedene Standorte

Bei der genaueren Analyse des Datenverkehrs zwischen Staubsauger, App und Xiaomis Clouddienst gelang es den Forschern, mehr über das Kommunikationsverhalten der App in Erfahrung zu bringen. Die genaue Analyse des Datenstroms zeigt, dass viele Informationen übertragen werden - darunter auch solche, die viele Nutzer sicher nicht erwarten. "Die Xiaomi-App ist sehr neugierig und die Cloud speichert die Koordinaten der Geräte. Die Position kennt sie, weil die App die Berechtigung zum Auslesen des Standorts hat. Das nutzt die App aus und petzt beim Provisionieren die Position", sagte Dennis Giese im Gespräch mit Golem.de auf der Sicherheitskonferenz Recon 2018 in Brüssel.

Der Staubsauger speichert außerdem weitere vertrauliche Daten. Die verschiedenen Sensoren erfassen die Wohnung der Nutzer und speichern das Ergebnis als Bitmap. Diese Karte von der Wohnung wird auf dem Gerät abgelegt. Sie verbleiben auf dem Gerät, selbst wenn es zurückgesetzt und später neu eingerichtet wird.

Verbraucher sollten daher gut überlegen, ob sie den Staubsauger weiterverkaufen. Denn mit etwas Arbeit ließe sich der Inhalt des Speichers auslesen und die Karte abrufen. Einen sicheren Weg, den Staubsauger zurückzusetzen, gibt es von Haus aus nicht.

Bemerkenswert fand Giese außerdem, dass das Smart-Home-Gateway über eine offenbar hardcodierte IP-Adresse regelmäßig mit einem Server in Salt Lake City in den USA korrespondierte. Mittlerweile wurde der Server hinter der IP allerdings abgeschaltet. Zu welchem Zweck die Kommunikation vorher durchgeführt wurde, ist unklar.

Doch die Forschungen zu Xiaomis Smart-Home-Ökosystem gehen noch deutlich weiter...