(Update) Haarsträubende Sicherheitslücke: nello-Türöffner öffnet Fremden die Tür, Update lässt auf sich warten
Wir haben an dieser Stelle bereits mehrmals über das Smart Home-Unternehmen nello im Allgemeinen und den nello one genannten, smarten Türöffner im Speziellen berichtet. So wurde im letzten Jahr erst bekannt, dass der Dient im Zuge der Insolvenz des Unternehmens abgeschaltet werden soll. Keinen Monat später kam an die Öffentlichkeit, dass der Dienst vom italienischen Unternehmen SCLAK fortgeführt wird.
Übereinstimmenden Medienberichten zufolge dürfte der Übergang von nello zu SCLAK allerdings alles andere als reibungslos passiert sein. So liegen dem Portal Golem.de E-Mail des Supports von SCLAK vor, welche massive Sicherheitsprobleme mit dem Türschloss belegen sollen.
Konkret soll die Zugangskontrolle fehlerhaft sein. So ist im nello one eine Funktion vorhanden, durch welche berechtigte Nutzer durch das Betätigen der Klingel Einlass erhalten können. Dem Golem-Bericht nach sollen allerdings auch unberechtigte Personen bei Betätigung der Klingel Einlass erhalten können.
Das Unternehmen hat den Fehler eingestanden und arbeitet eigenen Angaben zufolge bereits an einer Lösung. Dabei soll die App noch ein Update benötigen, serverseitig sollen die nötigen Anpassungen bereits implementiert sein. Einen genauen Termin für ein Update gibt es offenbar noch nicht, der Fehler ist dem Vernehmen nach bereits seit Anfang des Monats bekannt.
Aktuell liegen noch keine Informationen über die Zahl der betroffenen Nutzer vor. Golem zufolgte könnte die Deaktivierung der Orterkennungsfunktion helfen, allerdings soll dieses Vorgehen kein sicheren Schutz vor dem Auftreten des Fehlers bieten. Faktisch bleibt Nutzern nur das (zwischenzeitliche) Ausbauen des nello one, um wirklich vor ungebetenen Besuchern geschützt zu sein.
Update 01.02.2019, 6:00:
Notebookcheck liegt der Bericht eines einzelnen Nutzers vor, der angibt, von dem Problem betroffen zu sein. Der Schilderung zufolge stellt das Deaktivieren des Geofencing keinen sicheren Schutz vor, zudem soll es sich der Schilderung zufolge um ein serverseitiges Problem handeln.