Schwachstelle zwischen FUBE50001 und Zentrale veröffentlicht

[ThomasD]

Für Errichter sicher nicht gerade überraschend... ...aber der ein oder andere Anwender erwartet vermutlich nicht, dass der PIN oder die RFID Daten einfach über Funk mitzuschneiden sind (vor allem, wenn nach wie vor in Tests wie https://www.securando.de/ratgeber/abus-alarmanlage/ Sätze wie "Die Verbindung ist selbstverständlich verschlüsselt, sodass kein Externer problemlos in das System eingreifen kann." liest).

Eine Veröffentlichung der Schwachstelle ist auf SYSS zu finden:
https://www.syss.de/pentest-blog/2020/sy...ol-device/

Ein Video auf YouTube gibt es hier:
https://www.youtube.com/watch?v=kCqAVYyahLc

[Funkalarmprofi]

Was soll man dazu sagen ... eigentlich nichts Neues.
Aus den klassischen Errichterbetrieben ist ABUS ja mehr oder weniger verschwunden bzw. war nie wirklich "drin" - durch die Tradition im Schloßbereich gibt es die Teile aber nach wie vor bei vielen Schlüsseldiensten.
Entweder hat ABUS keine Interesse daran irgendwas zu ändern, oder es fehlt die (wirtschaftliche) Macht dem eigentlichen Hersteller klar zu sagen, dass das geändert werden sollte.

[ThomasD]

Kann ich mir vorstellen, dass Errichter, mit dem Verständnis der Technik, lieber auf andere Systeme zurückgreifen. Guten Gewissens kann man sich ja kaum hinstellen und fehlende Sabotagekontakte den Billiganlagen ankreiden, gleichzeitig den Kunden aber verschweigen, dass die Secvest per Funk in vielerlei Wege ausgetrickst werden kann.
Schlüsseldienste, die eventuell nicht das Verständnis haben, was sie Ihren Kunden verkaufen, sind da sicher ein beliebter Vertriebskanal.

Ich vermute das Abus schon Interesse hatte, an der Situation etwas zu ändern. Meine Vermutung ist, dass die Ultivest dazu gedacht war. Ich weiß zwar nicht, ob die Ultivest eine Eigenentwicklung war, aber hier wurde ja schon Wert auf das Thema Manipulationssicherheit gelegt - auch wenn die Umsetzung nicht so recht geklappt hat, und damit eventuell die wirtschaftliche Macht erst mal verloren gegangen ist. Auf der anderen Seite sollte Abus ja genug Geld haben, wenn mal ein Jahr die Pinkelbecken auf den Autobahnraststätten nicht mit Bildern des Schreckens ausgestattet werden

Wenigstens bei Neuentwicklungen wie dem Hybrid-Modul sollte ja die wirtschaftliche Macht da sein.

[funkistnichtalles]

Abus hat mit der Sparte "gewollte Sicherheitstechnik" eine Zeitlang recht gutes Geld verdient, es aber verpasst, den Zug der Zeit mitzunehmen.
Die Schrottvideosparte haben sie zu spät mit Hikvision zu kompensieren versucht, wenn man jedoch bei onlineshops bessere Preise für Hikprodukte bekommt als von Abus selbst, ist das bezeichnend.
Die Ultivest wurde als eierlegende Wollmilchsau versprochen, sie ist schon im Rohr krepiert.
Abus hat momentan keinen Ansatz, das Dilemma zu lösen. Es will auch nicht unbedingt jeder mit denen was zu tun haben.
unser benachbarter Schlüsseldienstler könnte ein Lied singen. Freudig klingt anders.
Wielange das Abus noch durchhält, wissen die Götter.

[Funkalarmprofi]

(18-06-2020 08:52)ThomasD schrieb:  ... Auf der anderen Seite sollte Abus ja genug Geld haben, wenn mal ein Jahr die Pinkelbecken auf den Autobahnraststätten nicht mit Bildern des Schreckens ausgestattet werden ...

Ich glaube eine Neuentwicklung kostet doch ein wenig mehr als 1 Jahr Pinkelbeckenwerbung (obwohl die Idee schon "gut" war).

Bei der Ultivest wollten sie es ja machen - sind aber daran gescheitert, dass auch dieses System irgendwo in Fernost produziert wurde und die Kommunikation mit dem Hersteller schwierig war und die laufenden Updates eine "Dauerbaustelle" waren.

Wer weiss, vielleicht nehmen sie irgendwann ja nochmal Anlauf bevor der Name ABUS in Verbindung mal ALARM ganz den Bach runter geht ...

[peteralarm]

(18-06-2020 14:04)Funkalarmprofi schrieb:  Wer weiss, vielleicht nehmen sie irgendwann ja nochmal Anlauf bevor der Name ABUS in Verbindung mal ALARM ganz den Bach runter geht ...

Viel weiter kann er ja wohl nicht, oder kommt da noch ein Wasserfall?
*Ironie AUS*

[Funkalarmprofi]

(18-06-2020 14:28)peteralarm schrieb:  

(18-06-2020 14:04)Funkalarmprofi schrieb:  Wer weiss, vielleicht nehmen sie irgendwann ja nochmal Anlauf bevor der Name ABUS in Verbindung mal ALARM ganz den Bach runter geht ...

Viel weiter kann er ja wohl nicht, oder kommt da noch ein Wasserfall?
*Ironie AUS*

Naja ... ich bin immer wieder überrascht, wieviel "Bedeutung" der Name ABUS so ausserhalb der professionellen Errichter zu haben scheint.

[peteralarm]

Ist wohl so, das Zeugs schadet dem Namen ABUS wirklich, aber letztlich scheint es Abus recht egal zu sein ob das Gelumpe was taugt oder nicht. Hauptsache verkauft und es gibt leider immer noch genügend Kunden, welche dem Namen Abus vertrauen und denken, sie hätten da was "gutes". Ich würde es nur jemand empfehlen, den ich überhaupt nicht leiden kann

[ThomasD]

Der Name Abus sowie der Preis war damals auch bei mir mit eine wesentliche Kaufentscheidung - ich habe nicht schlecht gestaunt als ich ein wenig näher in die blaue Schachtel geschaut habe. Deswegen finde ich es nicht verwunderlich, das der Name Abus bei Fachfremden (wie mir damals) zieht. Erst vor kurzem hat ein Freund ein Haus gebaut und hat eine Abus in Betracht gezogen. Er hat jetzt eine Telenot.

[Mr.Sintony]

Das hier beschriebene Angriffsszenario wird in der Praxis nie umgestzt werden, auch haben noch keine Einbrüche mit intelligenten Methoden stattgefunden, jedenfalls nicht in dieser Risikoklasse. Die Abus Kiste ist immerhin VdS Home ( ja die Hürde ist nicht sehr hoch) sowie DIN EN Grad II anerkannt, und damit auch noch KfW förderfähig. Also alle Vorgaben sind erfüllt.

Ich verbaue die Anlagen ausschließlich mit Mechatronik, selbst wenn die technische Seite abgeschaltet werden würde, hätte der Täter noch ein schönes Stück arbeit vor sich.

Im Übrigen meinte mal ein Außendienstler vom Mitbewerb, ABUS würde von ihren Anlagen im Funkbereicht mehr verkaufen als alle anderen zusammen.
Ob das stimmt kann ich nicht beurteieln, aber wenn ich sehe in welchen Mengen die ABUS Anlagen im freien Feld anzutreffen sind, könnte zumindest die Tendenz richtig sein.

Gruß Mr.Sintony

[ThomasD]

Das Problem mit dem "macht ja keiner" ist einfach ein Wette, da man schlecht in die Zukunft gucken kann. Das "macht ja keiner" habe ich vor 20 Jahren im Automobilbereich auch gehört. War damals auch eine Wette in die Zukunft. 20 Jahre später wird einem schlecht, wenn man sieht welch kriminelle Energie vorhanden ist, und welche Tools es mittlerweile gibt. Aus "macht ja keiner" ist eher "macht ja jeder" geworden.

Ich wünsche mir, oder eher den/uns Abus Kunden, dass die Wette so ausgeht, dass es tatsächlich keiner macht.

Wenn dem nicht so sein sollte, dann kann eine Abus Sirene auf dem Dach relativ schnell kontraproduktiv sein. Sie signalisiert, dass der Besitzer des Hauses irgendetwas zu schützen hat, was er aber nicht schützen kann.

[peteralarm]

(18-06-2020 21:58)Mr.Sintony schrieb:  Im Übrigen meinte mal ein Außendienstler vom Mitbewerb, ABUS würde von ihren Anlagen im Funkbereicht mehr verkaufen als alle anderen zusammen.
Ob das stimmt kann ich nicht beurteieln, aber wenn ich sehe in welchen Mengen die ABUS Anlagen im freien Feld anzutreffen sind, könnte zumindest die Tendenz richtig sein.

Gruß Mr.Sintony

Das der Mitarbeiter sein Produkt für das beste der Welt hält ist doch verständlich.
Wenn ich mir die Vertriebswege der Abus Anlagen anschaue wundert mich das gar nicht, das so viele davon im Umlauf sind. Da steht für den unbedarften Otto Normalverbraucher schließlich ABUS drauf, das weckt Vertrauen in scheinbare Sicherheit. Die Mechanischen Sicherungen von Abus sind gut, die Zentralen etc. jedoch unter aller Kanone. Will es mal sanft ausdrücken....
Jedoch kann man das mit Telefunken oder Grundig heute vergleichen, da steht ein bekannter Name drauf, der früher mal für Qualität stand. Heute ist das nur noch billig zusammen gekauftes Zeug, was meist in der Türkei zusammengeschustert und dann unter einem ehemals großen Namen verkauft wird. Aber so war das schon immer, das Volk will betrogen werden

[Funkalarmprofi]

(18-06-2020 21:58)Mr.Sintony schrieb:  ..., ABUS würde von ihren Anlagen im Funkbereicht mehr verkaufen als alle anderen zusammen.

Selbst wenn es so wäre (was keiner von uns wirklich überprüfen kann), würde mich mal interessieren, wieviel Prozent
störungsfrei laufen oder überhaupt (noch) in Betrieb sind.

[Martina H.]

Zitat:Mr.Sintony schrieb:
..., ABUS würde von ihren Anlagen im Funkbereicht mehr verkaufen als alle anderen zusammen.

Da zweifle ich überhaupt nicht dran! Der Vertriebsweg (Internet, Elektronik-Markt, Versandhandel, stationärer Baumarkt, Eisenwarenhandel, Schlüsseldienst, Tante Emma um die Ecke, ...) lässt ein großes Kundenvolumen von DIY-Leut´chen jeden Tag auf´s Neue - besonders am/für´s Wochenende - in die (virtuellen) Läden strömen.

Aida (nicht die Oper von Verdi) sondern die Anfangsbuchstaben von ...
Attention (Aufmerksamkeit),
Interest (Interesse),
Desire (Verlangen) und
Action (Handlung).

Und genau diese Marketing-Werbewirkung hat August Bremicker und Söhne bestmöglich umgesetzt: Mit großen Displays, der Schilderung bzgl. Häufigkeit von Einbrüchen, der Wunsch: nicht das nächste Opfer zu sein und schließlich ihr Produkt als mögliche Lösung anzubieten.

Bestenfalls kommunizieren die einzelnen Teile per Funk, so dass lästige Kabelverlegearbeiten (incl. staubigem Bohren ) entfallen. Da ist dann auch der WAF inclusive.

Alles in Allem eine tolle Sache, wenn denn alles qualitativ hochwertig wäre und funktionieren würde ...

Man spart die hohen Installationskosten (des Fachhandwerkers/Errichters incl. seinem teurerem Material). Die Freude ist groß, wenn man sich nach einfacher Montage mit der Fernbedienung in die (trügerische) Sicherheit "beamen" kann. Wie lange die Freude anhält, ja, dass steht auf einem anderen Blatt!

[ThomasD]

Am Anfang hat das ABUS Marketing ja ziemlich gelogen was die Verschlüsselung des Funkes angeht (sowohl in den Produktbeschreibungen als auch in den FAQ).

Mittlerweile ist ABUS aber ja ehrlich geworden und preist an was tatsächlich auch nur verkauft wird "Das gute Gefühl der Sicherheit". Dieses Gefühl wird mit viel Werbung und Zertifikaten und Schreckensbildern verstärkt.

An der dazugehörigen Technik, um aus dem Gefühl eine Tatsache werden zu lassen, wird hoffentlich irgendwann auch noch gearbeitet...

[peteralarm]

(19-06-2020 09:01)Martina H. schrieb:  Da zweifle ich überhaupt nicht dran! Der Vertriebsweg (Internet, Elektronik-Markt, Versandhandel, stationärer Baumarkt, Eisenwarenhandel, Schlüsseldienst, Tante Emma um die Ecke, ...) lässt ein großes Kundenvolumen von DIY-Leut´chen jeden Tag auf´s Neue - besonders am/für´s Wochenende - in die (virtuellen) Läden strömen.

Nachdem Abus bei Facherrichtern total abgeblitzt ist, bleibt denen ja auch nichts anderes übrig als diese Vertriebswege zu wählen und da kann man mit dem Namen ABUS schon einiges an Kunden gewinnen. Der DIY Kunde denkt zwar er hätte das notwendige Basiswissen, aber das trifft in der Praxis vielleicht auf 1% zu, sonst würde er für so etwas sein Geld nicht zum Fenster rauswerfen.

---

(19-06-2020 09:37)ThomasD schrieb:  An der dazugehörigen Technik, um aus dem Gefühl eine Tatsache werden zu lassen, wird hoffentlich irgendwann auch noch gearbeitet...

Da glaube ich eher nicht dran, die interessiert nur die Verkaufszahlen und die Abus Hotline - hatte ich ja schon mal geschrieben, da kann ich auch die Putzfrau von meinem Frisör anrufen

[Zwiebelkeks]

(19-06-2020 09:37)ThomasD schrieb:  Mittlerweile ist ABUS aber ja ehrlich geworden und preist an was tatsächlich auch nur verkauft wird

Ob man Sätze wie "Verwendet eine sichere Funkkommunikation zur Secvest und Secvest Touch" als ehrlich bezeichnen kann, ist diskussionswürdig.

Zudem hat Abus offensichtlich vergessen, auf dem Weg zur "Ehrlichkeit" Händler wie ConradElectronic darüber zu informieren es mit der "Ehrlichkeit" gleichzutun. Die werben nämlich immer noch mit "Verschlüsselter Signalübertragung"

Da helfen auch Produktbeschreibungen wie: "Dieses Produkt ist gemeinsam mit der Funkalarmanlage Secvest und der Secvest Touch durch ein sicheres Funkkommunikationsverfahren vor sog. Replayangriffen geschützt." nicht wirklich weiter. Das stimmt zwar strenggenommen, ist aber letztendlich trotzdem nur Verarsche.

[ThomasD]

o.k., war vielleicht ein wenig positiv formuliert. Vielleicht kann man sagen, dass der vorsätzliche Betrug zumindest nicht mehr stattfindet (auch wenn Abus erst als die Sache durch die Presse ging bereit war, die FAQ bezüglich mehrfacher Verschlüsselung herauszunehmen. Vorher nicht).

Mit den Händlern ist natürlich ein Problem. Da wäre es wirklich ehrlich, wenn Abus die Händler informieren würde. Anders wird das Märchen der Sicherheit sicher nicht aus dem Internet verschwinden. Wie Du schon geschrieben hast findet man immer noch häufig die Verschlüsselung in den Produktbeschreibungen (auf der Abus Seite wurden sie klammheimlich herausgenommen).

Das kann ein Problem für die Händler werden, da es als arglistige Täuschung gewertet werden kann (über die Garantie und die 2 Jahre Gewährleistung hinaus).

Teilweise findet man ja heute noch den Mist von damals auf den Händlerseiten. Z.b. bei Firstmall die Geschichte mit der mehrfachen Verschlüsselung und der reservierten Frequenz:-)
https://firstmall.de/ABUS-Secvest-Funkal...r-Einbruch

"Sicher
Die Secvest Funkalarmanlage arbeiten mit verschiedenen Methoden, die eine Sabotage nahezu unmöglich machen.
Sie senden auf einer speziell für Sicherheitsanlagen reservierten Frequenz (868,6625 MHz) und das Signal wird
mehrfach verschlüsselt. Die Überlagerungsüberwachung und die automatische Supervision (Sender meldet sich
in regelmäßigen Abständen beim Empfänger) sorgen zusätzlich für eine sichere Funkübertragung."

Auch die "Tests" wie ganz am Anfang schon gepostet, schreiben immer noch diesen Blödsinn von irgendwoher ab ( https://www.securando.de/ratgeber/abus-alarmanlage/ ).

Habt Ihr Errichter oder Händler denn mal bei Abus nachgefragt. warum es so etwas nicht gibt?

[peteralarm]

(19-06-2020 13:19)ThomasD schrieb:  Habt Ihr Errichter oder Händler denn mal bei Abus nachgefragt. warum es so etwas nicht gibt?

Ganz einfach, Abus interessiert das nicht und die div. Online Händler auch nicht. Da sind nur die Umsatzzahlen interessant, sonst nichts.
Ich denke, kein ernsthafter Facherrichter für Sicherheitstechnik hat das Gelumpe noch im Portfolio. Da gibt es eine Menge Systeme im gleichen Preissegment auf dem Markt. Zuverlässiger und besser, was kein Kunststück ist. Den vorprogrammierten Ärger mit Kunden braucht kein Mensch.

[Zwiebelkeks]

(19-06-2020 14:52)peteralarm schrieb:  Ganz einfach, Abus interessiert das nicht

Scheinbar haben Sie Recht. Es scheint nicht zu interessieren. Vermutlich gilt aber hier auch der Grundsatz: Wo kein Kläger, da kein Richter!

Ich bin kein Jurist, aber eine juristische Betrachtung würde hier sehr wohl mal interessieren. Man könnte als Laie schon vermuten, dass wenn ein Hersteller ein Produkt mit Hinweisen wie: "Verwendet eine sichere Funkkommunikation ..." bewirbt, obwohl bekannt ist das dem nicht so ist, folgende Regel gilt:

Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er durch Vorspiegelung falscher oder durch Entstellung oder Unterdrückung wahrer Tatsachen einen Irrtum erregt oder unterhält, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

Es sei denn, mit "Sichere Funkkommunikation" ist "Sicher ausspionierbar" oder "Sicher vor Überflutung bei vorgeschriebener Installation" gemeint. Wer weiß das schon so genau