Wie sicher ist die LUPUSEC Alarmanlage?

[bastelheini]

(05-10-2020 16:01)peteralarm schrieb:  Was ich jedoch meine ist ein anderer Weg, welcher über Fragwürdige Apps von irgendwelchem SmartHome Zeugs und deren Server, welche meist ungesichert, oder nur unzureichend gesichert irgendwo auf der Welt stehen.

Nicht die Apps sind Schuld, sondern, wie du weiter schreibst, die Verbindung aus dem heimischen Netz zum Server des Anbieters. Die tunneln sich halt am NAT vorbei (NAT ist keine Firewall!) und haben so einen offenen Kanal zwischen Server und Heimnetz.

APP | Angreifer <--> Anbieter-Server <--> Heimnetz

Das ganze betrifft, lieber PeterA, aber nicht nur die von dir genannte "ChingPongFu Billigkamera aus dem fernen China" sondern potentiell ALLE Anbieter/Geräte, die so arbeiten. Die Idee dahinter ist immer gleich, durch schlechte Absicherung sind auch Anbieter aus unseren Regionen betroffen (muss ja immer alles schnell & billig fertig sein), oftmals wird der ganze Stack samt China-Server aber auch komplett eingekauft (neudeutsch outgesourced). Da gibt es eine riesengroße white label Industrie. Komfort schlägt Sicherheit.

Daher schrieb ich ja letztens erst wieder, dass auch die von dir als "besser" titulierten EMAs, die allesamt den gleichen Komfort anbieten (nämlich von unterwegs per App auf die EMA zugreifen) nicht besser aufgestellt sind, was die objektive Betrachtung (Risikoanalyse) angeht. Die kochen alle mit dem gleichen Wasser. Neben den Lücken sind auch Maßnahmen zur Vermeidung von Fremdnutzung, wie z.B. 2FA für den Login, wichtig.

Möchte man vermeiden, dass die Geräte raustelefonieren, so lässt sich das auch in der FB prima blockieren. Wenn die Anlagen noch Mails versenden können sollen, lässt man den entsprechenden Port halt offen. Bei einigem Zeugs gehen dann die Apps halt nicht mehr - wenn kein anderes Protokoll, z.B. wie bei vielen Kameras zur Verfügung stehen, kann man das Gerät natürlich gleich entsorgen.

(05-10-2020 16:01)peteralarm schrieb:  Du gewährst diesen Apps Zugriff auf dein Netzwerk, hast du gegebenenfalls auch über dein VPN erlaubt und schon ist der Weg für Schadsoftware offen.

Der Satz macht keine Sinn. Wie gesagt, der Angriff läuft idR nicht über eine App auf dem Telefon, insb. nicht vom Anbieter selbst, erst recht, wenn er ja schon eine Appliance im Heimnetz zu stehen hat. Und wenn, müsste die App nicht aufs VPN warten (bzw. wüßte vermutlich eh nicht, ob sie da drin ist oder nicht), denn das Gerät befindet sich ja vermutlich eh auch eine gewisse Zeit im Heimnetz ohne VPN, dann wenn man zu Hause ist.

Spionieren kann natürlich jede App, das hat dann aber nix mit Smarthome zu tun. Da man ja auf Reichweite gehen muss, sind es dann eher Spiele und derartige Massenware.