iphone-ticker.de — Alles zum iPhone. Seit 2007. 35 476 Artikel

Seit Februar bekannt

App-Türöffner Nello: Wieder erreichbar, mit klaffender Sicherheitslücke
Artikel auf Mastodon teilen.
30 Kommentare 30

Geschlagene neun Tage konnten Besitzer des smarten App-Türöffners Nello ihre Hardware nicht mehr für den komfortablen Einlass in die eigenen vier Wände nutzen.

Nello App

Der italienische Anbieter SCLAK, der nach der Nello-Insolvenz Anfang des Jahres den Kunden des Türöffners zusicherte, für die weitere Funktion ihrer Systeme zu sorgen, kämpfte über eine Woche mit Server-Problemen, war nicht erreichbar und sorgte so schlicht dafür, dass die im Markt aktiven Systeme über Nacht funktionslos wurden. Auf Rückfragen der Kunden gibt SCLAK, zumindest auf Facebook, nicht ein.

Nun melden mehrere ifun.de-Leser, dass an ihren Nello-Schließanlagen plötzlich wieder die grüne LED blinkt. Eigentlich eine gute Nachricht, zu der sich jedoch eine Sicherheitslücke gesellt.

Klaffende Sicherheitslücke seit Februar

Eine, die es sowohl möglich macht Nello-Module ohne Cloud-Zwang zu betreiben, als auch gestattet, diese zu öffnen, ohne die Passwörter der Benutzer kennen zu müssen.

Aufgefallen ist dies einem deutschen Software-Entwickler, der seine Erkenntnisse unter dem Kürzel „LFE89“ veröffentlicht hat und ifun.de gegenüber erklärt:

[…] Im März habe ich auf GitHub bereits einen „proof of concept“ und ein volles cloud-less Backend veröffentlicht, welches verwendet werden kann, um den Cloudzwang rund um Nello zu entfernen. Dies ist durch eine Sicherheitslücke in der Nello-Firmware möglich. Dazu verwende ich eine sogenannte Security ByPass Sequenz. Damit umgehe ich sämtliche Verschlüsselungen und proprietäre Nachrichten.

Das pikante dabei: auch der neue Vendor SCLAK kann die Sicherheitslücke nutzen, um sämtliche Schlösser zu öffnen – sobald diese den Betrieb wieder aufnehmen – ohne dabei die Passwörter der Benutzer zu haben.

Alles zurückzuführen auf eine inkorrekt abgesicherte Start- und TestMsg-Phase in der Firmware-Implementierung. Das Interessante ist natürlich die Sicherheitslücke, welche eine solche Lösung erst ermöglicht. […]

Ich habe Nello und SCLAK übrigens schon im Februar kontaktiert, jedoch keine Rückmeldung bekommen – daher die Veröffentlichung.

Mit Dank an alle Tippgeber!
Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
09. Jul 2020 um 13:40 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden
    30 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    30 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 35476 Artikel in den vergangenen 5757 Tagen veröffentlicht. Und es werden täglich mehr.     ifun.de — Love it or leave it   ·   Copyright © 2023 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven