Test Yale Linus Smart Lock im Test: Das elektronische Türschloss aus Metall stellt sich Nuki

[wasd123]

Keine 18650er Li-ion Zelle drinne sondern 4 Standartbatterien? Sind wir hier in den 80ern? Zumal ist da die Frage, wenn man eine Weile länger weg ist und die Batterien leergehen? Gibts zu dem Schloß auch gleich einen Rammbock mit dazu ?😅

Ein Akku-Pack gibt es optional zu erwerben. Im Standard sind Batterien dabei. Ordentliche Batterien halten auch mehrere Monate.
Das Gerät gibt frühzeitig an, wenn der Akkustand sich langsam dem Ende neigt.

Und wer es wie du immer noch nicht verstanden hat - gerne nochmal: das Schloss ist wie zuvor ganz normal weiterhin mit Schlüssel zu bedienen.

 

[Miuwa]

Und generell zum Thema Sicherheit gilt: der Aufwand jemanden zu "hacken" ist um ein Vielfaches höher, als einfach das Fenster oder die Tür im Garten aufzuhebeln.

Jain. Der Unterschied ist, dass man fürs Hacken nicht vor Ort sein muss und - falls eine richtige Schwachstelle gefunden wird - diese evtl. sogar automatisiert und ohne "Übung" ausgenutzt werden kann.

Jetzt ist der Sicherheitsfaktor von "normalen" Fenstern und Schlössern vermutlich so gering, dass es effektiv wahrscheinlich trotzdem keinen Unterschied macht. Aber grundsätzlich ist es schon etwas anderes, ob der Einbrecher sich mit mehr oder weniger viel Gewalt oder Finesse Zutritt verschaffen muss, ohne dabei gesehen zu werden, oder ob er einen Hacker irgendwo auf der Welt beauftragen kann oder schlimmstenfalls nur ne App runterladen muss und dann selbst seelenruhig durch die Aufgeschlossene Haustür spazieren kann.

Ein anderes Szenario sind relay-Angriffe, Bei denen jemand die BLE Signale von dir während du an der Bushaltestelle wartest an das Schloss weiterleitet (sollte natürlich nur.funktionieren, wenn das Handy/die App nicht weiß wo es ist).

 

[Eventer]

Was ich nicht verstehe, warum muss ich mich da bitte registrieren? Das läuft alles lokal ab, wenn man möchte. Aber trotzdem muss ich mich "nackig" machen bei dem Anbieter? Imo ein ziemlich großes Minus.

 

[cor1]

@Frank Das alles ändert nichts an der Tatsache, dass man Einbrechern eine weitere Angriffsfläche bietet und dass die Versicherung im Falle, dass über diese in das Haus eingedrungen wurde, nicht bezahlt, selbst wenn "einfacher Diebstahl" versichert ist.

 

[Miuwa]

Erst einmal muss der Einbrecher also wissen das ich so ein System überhaupt nutze, bevor er es knacken kann. Habe ich ein anderes System, vielleicht direkt mit Fingerabdrucksensor an der Tür, dann sieht man das halt. Das ist bei diesem (und meinem Nuki) eben nicht der Fall.

Ich würde vermuten, das lässt sich auch ganz leicht durch das sniffen von ble beacons erkennen - aber natürlich nur, wenn die Türen nicht dicht an dicht liegen (Reihen-/Mehrfamilienhaus)

joa, beim Hacken genauso wenig. Zu Hause in der Kammer sitzen ist nicht das gleiche wie vor einer Tür den Schleppi auspacken ^^

Aber das ist doch gerade der Punkt, der manchen etwas sorge bereitet: Der Hacker muss nicht vor der Tür den Schleppi auspacken. Der kann ganz entspannt in seiner Wohnung in Mallorca vorm Computer sitzen. Der Hacker muss ja nicht der Einbrecher selbst sein, sondern evtl. nur von diesem engagiert / ein Kumpel.
Und selbst wenn wir nicht von Angriffen aus dem Internet sprechen (da stimme ich anderen Kommentaren hier in sofern zu als dass man ja erstmal die öffentliche IP rausfinden müsste) reichts ja, wenn der Laptop in Reichweite des WLANs ist (z.B. im Auto).

Der Vorteil von einem Angriff über Netz im Vergleich zum Einbruch ist ja gerade, dass man für die "schwierigen" Dinge eben a) nicht direkt vor Ort sein muss b) auf die Arbeit/Hilfe von anderen auf der ganzen Welt aufbauen kann, c) der Aufwand meist nicht linear mit der Anzahl der Ziele steigt und d) die Gefahr beim Versuch erwischt zu werden minimal ist.

Mein Bauchgefühl (bin da halt einfach kein Experte) bleibt trotzdem: Ich glaube nicht, dass sich die Gefahr eines Einbruchs durch solche Schlösser wirklich signifikant erhört. Zumindest solange sie noch von so selten verwendet werden

Ergänzung (21. Januar 2021)

Keine 18650er Li-ion Zelle drinne sondern 4 Standartbatterien? Sind wir hier in den 80ern? Zumal ist da die Frage, wenn man eine Weile länger weg ist und die Batterien leergehen? Gibts zu dem Schloß auch gleich einen Rammbock mit dazu ?😅

Du kannst ja immernoch den normalen Schlüssel nutzen, den du vorsorglich unter die Fußmatte gelegt hast

 

[timo82]

Auf Wunsch öffnet das Linus Smart Lock immer dann die Tür, wenn sich der Nutzer ihr mit dem Smartphone nähert. Dieses Auto-Unlock funktioniert immer erst dann, wenn man sich mindestens 200 Meter vom Schloss entfernt hat.

Das ist doch Wahnsinn. Wer entwickelt so eine Schxxxx?
Wenn ich mich von zuhause entferne, möchte ich, dass ABGESCHLOSSEN ist. Ein unlock bei mehr als 200 m Entfernung bedeutet eine geöffnete Haustür und niemand zuhause. Das ist nicht mehr fahrlässig, das ist schon vorsätzlich dumm.

 

[drunk_chipmunk]

So lange nicht jede zweite Haustür mit diesen Dingern ausgestattet ist und das Smart Lock nicht bekannte, über längere Zeit nicht gefixte Sicherheitslücken aufweist, würde ich mir keine großen Sorgen machen, dass Einbrecher das Schloss hacken statt es auf "übliche" Weise zu knacken.

Da befürchte ich eher, dass irgend jemand den Online-Service hackt und einfach aus Spass an der Zerstörung mal eben ALLE mit diesem System gesicherten Türen öffnet. Oder dass der Hersteller das Produkt in einem Jahr einstellt und man dann 250€ zum Fenster rausgeworfen hat, weil das Smart Lock ohne Server-Zugriff nicht mehr funktioniert.

Generell sehe ich für mich persönlich den Sinn nicht. Wenn ich das Haus verlasse, habe ich sowieso fast immer einen Schlüssel dabei und wenn ich joggen gehe und möglichst wenig mitschleppen will, verzichte ich eher auf das Handy als auf einen Schlüssel. Mag sein, dass die Lösung sinnvoll ist, wenn z. B. die Kinder permanent ihre Schlüssel verlieren (auf ihr Handy aber aufpassen) oder man, während man abwesend ist, anderen Leuten die Türe öffnen will, aber das sind wohl eher Sonderfälle. Für mich würde ein Smart Lock wie das vorgestellte das Leben nur unnötig komplizierter machen.

 

[Creeping.Death]

@Miuwa wie ich in #58 bereits schrieb, bringt die Schwachstelle im Online-Dienst nichts, wenn die zugehörige Post-Adresse unbekannt ist. Das "Hacken aus der Ferne" ist dann auch nicht zielführend. Wenn es jemand gezielt auf mich abgesehen hat, muss er wissen dass ich ein Nuki- (oder Yale-)Schloss habe und mit welcher E-Mail-Adresse ich mich dort registriert habe. Zudem muss er einer der Ersten sein, welche diese Schwachstelle ausnutzen, denn ich bin mir sicher, das macht im Internet rasend schnell die Runde, wenn sich Smartlock-User plötzlich vermehrt über Einbrüche beschweren.

Dass jemand mein "Öffnen"-Signal mitschneidet, das ist extrem unwahrscheinlich. Dafür müsste er mich monatelang verfolgen, denn dass ich aus der Ferne meine Haustür öffne, kommt eigentlich so gut wie nie vor.

Das ist doch Wahnsinn. Wer entwickelt so eine Schxxxx?
Wenn ich mich von zuhause entferne, möchte ich, dass ABGESCHLOSSEN ist. Ein unlock bei mehr als 200 m Entfernung bedeutet eine geöffnete Haustür und niemand zuhause. Das ist nicht mehr fahrlässig, das ist schon vorsätzlich dumm.

Das hast du falsch verstanden. Das heißt, du musst dich mindestens 200m vom Schloss entfernen und dann wieder zurückkehren, damit das Schloss in den automatischen "Öffnen"-Modus geht.
Gäbe es diesen Radius nicht und dein GPS-Signal schwankt oder du gehst einfach mal in den Garten, würde sich sonst ständig deine Tür öffnen. Das wäre ja ziemlich dämlich.

Aber ich habe die Auto-Lock-Funktion komplett deaktiviert, da sie einfach zu träge war.

 

[Miuwa]

Was mir übrigens schon eher etwas Bauchschmerzen bereitet ist wie zentral das Smartphone inzwischen werden kann. Bezahlen, Banking, Schlüssel für Haus und Auto, Aufzeichnung großer Teile des Arbeits- und Privatlebens Zugriff auf alle möglichen Online Konten und meistens auch die Möglichkeit um Passwörter etc. zurückzusetzen.
Das ist halt ein riesen Single Point of Failure, der häufig nur durch physischen Zugriff und ein Wischmuster geschützt ist.

Ergänzung (21. Januar 2021)

@Creeping.Death Auf welchen meiner Posts beziehst du dich?

 

[timo82]

Das hast du falsch verstanden. Das heißt, du musst dich mindestens 200m vom Schloss entfernen und dann wieder zurückkehren, damit das Schloss in den automatischen "Öffnen"-Modus geht.
Gäbe es diesen Radius nicht und dein GPS-Signal schwankt oder du gehst einfach mal in den Garten, würde sich sonst ständig deine Tür öffnen. Das wäre ja ziemlich dämlich.

Danke für die Erklärung. Ich hab mich schon sehr darüber gewundert.

 

[Creeping.Death]

@Creeping.Death Auf welchen meiner Posts beziehst du dich?

#65

 

[Headcool]

D.h. es ist keine Eigenheit eines Smart Locks, dass dann je nach Versicherungsbedingungen nicht gezahlt wird.

Es ist aber eine Eigenheit eines korrekt implementierten Smartlocks, dass es sich nicht gewaltfrei öffnen lässt.

Mit korrekt implementiert meine ich:

• Rein elektronisch, keine Nachrüstlösung wie dieser Müll hier
• Kleine Codebase (<10kLoc)
• Open Source
• "Sichere" Programmiersprache (e.g. Rust)
• Cryptographie über bekannte, weit verbreitete Open Source Libraries
• Nur lokal, keine Cloud

So eine kleine Codebase lässt sich exploitfrei implementieren. Natürlich, sobald man das ganze in die Cloud verlagert welche auf einem OS mit über 10MLoc läuft, wird es immer irgendeinen Exploit geben. Aber muss man ja nicht.

Ich kann diese Art von Smartlock und klassischem Schloss Kombination nicht wirklich empfehlen. Zumindestens, wenn man sich vom Smartlock erhöhte Sicherheit verspricht.

 

[wasd123]

Das ist doch Wahnsinn. Wer entwickelt so eine Schxxxx?
Wenn ich mich von zuhause entferne, möchte ich, dass ABGESCHLOSSEN ist. Ein unlock bei mehr als 200 m Entfernung bedeutet eine geöffnete Haustür und niemand zuhause. Das ist nicht mehr fahrlässig, das ist schon vorsätzlich dumm.

auch wieder falsch...
der Auto UNLOCK wird wieder aktiv, sobald man sich einmal aus der Zone entfernt hat. also das es sich wieder automatisch öffnen kann.

das Ding kann so eingestellt werden, dass es sich direkt nach Türschließung komplett abschließt.

@Headcool
auch nochmal... man wird nicht gezwungen das System online zu verwenden. dies läuft auch komplett offline...
ich habe das Bundle aus Smartlock und Bridge. das Smartlock lässt sich aber auch komplett einzeln erwerben und ist dann auch offline verwendbar, nur eben dann halt ohne Features, für welche man Internet benötigen würde.
läuft dann komplett über Bluetooth und auch nur mit explizit dem Smartphone mit dem man es gekoppelt hat. eine Kopplung wiederum ist nur über die App machbar. und die Kopplung (App mit Smartlock) funktioniert nur mit manuellem Zugriff direkt auf das Schloss...

 

[cheff-rocker]

bezüglich der Sicherheit...
solche Systeme werden doch auch auf Herz und Nieren getestet, was die Sicherheit angeht. jeder kann sich hier gern selbst informieren, wenn es ihnen so auf dem Herzen liegt. ich kann nur für Nuki sprechen, aber die schneiden diesbezüglich durch die Bank gut ab.

Sorry, da zweifele ich aber daran. Dahinter stecken wohl in der Regel, kleine Startups die schnell ein Produkt verkaufen wollen. Testen kannst du immer nur soweit, wie das Vorstellungsvermögen reicht.

Bitte beachten: So zitiert man Teile eines Beitrags und vermeidet Fullquotes

Du liest wohl nicht so viele Nachrichten? Ein Großteil der Einbrüche geht wohl auf wenige Banden zurück, die sich da spezialisiert haben. https://www.spiegel.de/panorama/jus...riminalitaet-auf-dem-vormarsch-a-1093316.html
Für die lohnt es sich eftl. Bald etwas mehr aufwand zu betreiben und sich Sicherheitssystem von so elektronischen Türöffnern anzuschauen.

Das beste Sicherheitskonzept, ist meist das mit der geringsten Komplexität. Da sind solche Schlösser wohl nicht bekannt für. Wer weiß momentan, ist es vielleicht sogar noch sicherer weil, die Angriffsszenarien noch nicht entwickelt sind.

 

[drunk_chipmunk]

solche Systeme werden doch auch auf Herz und Nieren getestet, was die Sicherheit angeht.

Meistens eben nicht. Wie viele Fälle gab es inzwischen, bei denen IoT-Geräte gravierende Sicherheitslücken hatten, die von den Herstellern selbst nach Bekanntwerden über Monate oder Jahre hinweg nicht gefixt wurden?

Nicht umsonst heißt es spöttisch: "Das 'S' in 'IoT' steht für Sicherheit."

 

[DubZ]

Das ist ja mal eine weltfremde Sichtweise...

da ist gar nichts weltfremd dran. Das ist einfache Wahrscheinlichkeitsrechnung.

Wie hoch ist die Wahrscheinlichkeit, dass ein IT Hacker selbstständig eine Sicherheitslücke in einem Smartlock entdeckt und dieses für sich ausnutzt, um genau bei mir dann einzubrechen und Dinge zu stehlen?

Also ehrlich Leute... da kommt eher ein Random Typ an und tritt mir meine Wohnungseingangstür ein als das einer mit solchen IT Kompetenzen es nötig hat, Geld über Einbruch und dann noch genau bei mir sich zu holen.

 

[wasd123]

Sorry, da zweifele ich aber daran. Dahinter stecken wohl in der Regel, kleine Startups die schnell ein Produkt verkaufen wollen. Testen kannst du immer nur soweit, wie das Vorstellungsvermögen reicht.

ach komm schon, so langsam wird´s doch echt albern...

und jetzt willst du mir wiederum sagen, dass Firmen die sich auf IT-Sicherheitstests spezialisiert haben weniger Vorstellungsvermögen haben als zB du, ja?

selbstredend wird die Sicherheit Firmenintern auf dem Prüfstand gestellt. ja, mag sein dass das jetzt ein Startup ist und die davon schlicht keine Ahnung von richtigen Sicherheitskonzepten haben.

du willst mir aber doch jetzt nicht erzählen, dass man Firmen wie "AV Test", die weltbekannt für ihre Sicherheitsüberprüfungen von sicherheitsrelevanten System sind, nicht ein wenig Vertrauen entgegen bringen kann, wenn die ein Produkt testen und sagen "ist sicher".

ich kann wieder nur für das Nuki sprechen. Kurzes Zitat:
"...AV Test einem Sicherheitscheck unterzogen. Das Testurteil „Sicher“ wurde hier vergeben. Keinerlei Angriffspunkte konnten gefunden werden."

"Damit euer Nuki Lock nur berechtigten Personen öffnet, findet beim Pairing zwischen App und Nuki ein Schlüsselaustausch statt. Hier wird auf beiden Seiten ein geheimer Schlüssel erzeugt, aber nicht übertragen. Auch ein öffentlicher Schlüssel wird erzeugt und nur dieser zur anderen Seite gesendet. Nuki und App sind nun einander „bekannt“. In der App könnt ihr das erneute Pairen von Geräten zusätzlich deaktivieren."

Also ein ähnliches Verfahren wie zB bei PGP-Emails - die ja wohl als sicher gelten sollten, oder?

https://www.iot-tests.org/de/2019/05/zertifiziert-nuki-smart-lock-2-0/

 

[Headcool]

@Headcool
auch nochmal... man wird nicht gezwungen das System online zu verwenden. dies läuft auch komplett offline...
ich habe das Bundle aus Smartlock und Bridge. das Smartlock lässt sich aber auch komplett einzeln erwerben und ist dann auch offline verwendbar, nur eben dann halt ohne Features, für welche man Internet benötigen würde.
läuft dann komplett über Bluetooth und auch nur mit explizit dem Smartphone mit dem man es gekoppelt hat. eine Kopplung wiederum ist nur über die App machbar. und die Kopplung (App mit Smartlock) funktioniert nur mit manuellem Zugriff direkt auf das Schloss...

Ist schön, aber auch nicht mein Argument wieso ich dieses konkrete Schloss jetzt schlecht finde, sondern eine allgemeine Feststellung.

Ich denke das das Sicherheitsproblem durch Lockpicking viel größer ist als durch Hacking. Aber, wenn man eben ein dediziertes Smartlock hat, fällt Lockpicking komplett weg und es treten andere Lücken zum Vorschein. Primär sehe ich die Gefahr durch Backdoors der Hersteller, falsch/nicht implementierte Crypto und die große Angriffsfläche der Cloud.

Wenn man bei Nuki die Cloud deaktivieren kann, fällt der Punkt zwar weg, aber von einem "sicher genug" ist man noch meilenweit weg.

 

[wasd123]

ok... ich geb es hier nun an der Stelle endgültig auf.
niemand ist gezwungen so ein Teil zu nutzen, wenn es ihm nicht sicher genug erscheint. das ist bei NFC-Zahlung, Onlinebanking und was weiß ich was auch so.

und wo der eine absolut keinen Nutzen in der Sache sieht (was ich je nach Situation nachvollziehen kann), erfreu ICH mich täglich dran - ich bin also glücklich, und da ihr es nicht nutzen müsst wohl hoffentlich auch, oder?

seid doch froh... jeder Einbrecher der seine Zeit damit verbringt sich in mein System zu hacken, hat weniger Zeit bei euch einzubrechen... ich würde sagen "win-win-Situation".

zudem fördere ich damit scheinbar den Fachkräftemangel, denn jeder Einbrecher ist nun ein hochqualifizierter Sicherheitsexperte. das ist doch schön für Deutschland...

ich habe das Gefühl um mich herum gibt es nur noch Geheimagenten und absolute Schwerstverbrecher. da bin ich als stumpfer Beruf-IT´ler ne ganz kleine Nummer. Naja, muss ich wohl mit leben.

 

[timo82]

auch wieder falsch...
der Auto UNLOCK wird wieder aktiv, sobald man sich einmal aus der Zone entfernt hat. also das es sich wieder automatisch öffnen kann.

Ich hoffe, dass es aktiv wird, wenn man in die Zone eintritt und nicht wenn man sich aus ihr entfernt...