{"id":159962,"date":"2020-07-09T13:40:57","date_gmt":"2020-07-09T11:40:57","guid":{"rendered":"https:\/\/www.iphone-ticker.de\/?p=159962"},"modified":"2020-07-09T13:40:57","modified_gmt":"2020-07-09T11:40:57","slug":"app-tueroeffner-nello-wieder-erreichbar-mit-klaffender-sicherheitsluecke","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/app-tueroeffner-nello-wieder-erreichbar-mit-klaffender-sicherheitsluecke-159962\/","title":{"rendered":"App-T\u00fcr\u00f6ffner Nello: Wieder erreichbar, mit klaffender Sicherheitsl\u00fccke"},"content":{"rendered":"

Geschlagene neun Tage<\/a> konnten Besitzer des smarten App-T\u00fcr\u00f6ffners Nello ihre Hardware nicht mehr f\u00fcr den komfortablen Einlass in die eigenen vier W\u00e4nde nutzen.<\/p>\n

\"Nello<\/a><\/p>\n

Der italienische Anbieter SCLAK, der nach der Nello-Insolvenz Anfang des Jahres den Kunden des T\u00fcr\u00f6ffners zusicherte, f\u00fcr die weitere Funktion ihrer Systeme zu sorgen, k\u00e4mpfte \u00fcber eine Woche mit Server-Problemen, war nicht erreichbar und sorgte so schlicht daf\u00fcr, dass die im Markt aktiven Systeme \u00fcber Nacht funktionslos wurden. Auf R\u00fcckfragen der Kunden gibt SCLAK, zumindest auf Facebook<\/a>, nicht ein.<\/p>\n

Nun melden mehrere ifun.de-Leser, dass an ihren Nello-Schlie\u00dfanlagen pl\u00f6tzlich wieder die gr\u00fcne LED blinkt. Eigentlich eine gute Nachricht, zu der sich jedoch eine Sicherheitsl\u00fccke gesellt.<\/p>\n

Klaffende Sicherheitsl\u00fccke seit Februar<\/h2>\n

Eine, die es sowohl m\u00f6glich macht Nello-Module ohne Cloud-Zwang zu betreiben, als auch gestattet, diese zu \u00f6ffnen, ohne die Passw\u00f6rter der Benutzer kennen zu m\u00fcssen.<\/p>\n

Aufgefallen ist dies einem deutschen Software-Entwickler, der seine Erkenntnisse unter dem K\u00fcrzel „LFE89“ ver\u00f6ffentlicht hat<\/a> und ifun.de gegen\u00fcber erkl\u00e4rt:<\/p>\n

[…] Im M\u00e4rz habe ich auf GitHub bereits einen „proof of concept“ und ein volles cloud-less Backend ver\u00f6ffentlicht, welches verwendet werden kann, um den Cloudzwang rund um Nello zu entfernen. Dies ist durch eine Sicherheitsl\u00fccke in der Nello-Firmware m\u00f6glich. Dazu verwende ich eine sogenannte Security ByPass Sequenz. Damit umgehe ich s\u00e4mtliche Verschl\u00fcsselungen und propriet\u00e4re Nachrichten.<\/p>\n

Das pikante dabei: auch der neue Vendor SCLAK kann die Sicherheitsl\u00fccke nutzen, um s\u00e4mtliche Schl\u00f6sser zu \u00f6ffnen – sobald diese den Betrieb wieder aufnehmen – ohne dabei die Passw\u00f6rter der Benutzer zu haben.<\/p>\n

Alles zur\u00fcckzuf\u00fchren auf eine inkorrekt abgesicherte<\/a> Start- und TestMsg-Phase in der Firmware-Implementierung. Das Interessante ist nat\u00fcrlich die Sicherheitsl\u00fccke, welche eine solche L\u00f6sung erst erm\u00f6glicht. […]<\/p>\n

Ich habe Nello und SCLAK \u00fcbrigens schon im Februar kontaktiert, jedoch keine R\u00fcckmeldung bekommen – daher die Ver\u00f6ffentlichung.<\/p><\/blockquote>\n

Mit Dank an alle Tippgeber!<\/h8>
\n<\/p>\n","protected":false},"excerpt":{"rendered":"\"Nello<\/a>

Geschlagene neun Tage konnten Besitzer des smarten App-T\u00fcr\u00f6ffners Nello ihre Hardware nicht mehr f\u00fcr den komfortablen Einlass in die eigenen vier W\u00e4nde nutzen. Der italienische Anbieter SCLAK, der nach der Nello-Insolvenz Anfang des Jahres den Kunden des T\u00fcr\u00f6ffners zusicherte, f\u00fcr die weitere Funktion ihrer Systeme zu sorgen, k\u00e4mpfte \u00fcber eine Woche mit Server-Problemen, war nicht […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[24],"tags":[3939,238,90,2922],"class_list":["post-159962","post","type-post","status-publish","format-standard","hentry","category-zubehor","tag-nello","tag-security","tag-sicherheit","tag-tuerschloss"],"aioseo_notices":[],"featured_image":["https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2020\/06\/nello-abgeschaltet-feature.jpg"],"subheadline":["Seit Februar bekannt"],"rest_api_enabler":{"featured_image":"https:\/\/images.iphone-ticker.de\/wp-content\/uploads\/2020\/06\/nello-abgeschaltet-feature.jpg","subheadline":"Seit Februar bekannt"},"_links":{"self":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/159962","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/comments?post=159962"}],"version-history":[{"count":1,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/159962\/revisions"}],"predecessor-version":[{"id":159963,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/159962\/revisions\/159963"}],"wp:attachment":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media?parent=159962"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/categories?post=159962"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/tags?post=159962"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}