SwitchBot Bluetooth Funktionsweise zur Sicherheit

ApplePrime · 24. Februar 2021

Ich hatte mir einen Bot von Switchbot für meine Klimaanlage gekauft (was wegen Sensortaste und fehlendem Erdschluss nicht funktioniert) habe aber ein wenig rumexperimentiert und recherchiert. Unter anderem auch hier im Forum.

Insbesondere hat mich das Homebridge-Plugin "Switchbot Ble" erstaunt, da es offensichtlich reicht, hier einfach die MAC-Adresse aus der Switchbot-App in die Config einzutragen. Keinerlei Pairing mit dem Raspi erforderlich.

Dann habe ich zusätzlich zu meinem privaten iPhone noch auf dem dienstlichen Android die Switchbot App installiert. Bin dann übern Flur in ein anderes Zimmer gegangen und hab die App gestartet. Er hat mir auch dort sofort den Bot angezeigt und ich konnte ihn steuern.

Das bedeutet, dass sich jeder, der vor meiner Wohnungstür in Reichweite eines Bots steht, mit diesem Verbinden kann und Blödsinn veranstalten kann.

Ich schreibe das hier, weil ich schon gelesen hatte, dass hier jemand seinen nichtsmarten Türöffner damit betreiben will. Extrem fahrlässig wie ich finde.

Also ein Gerät ohne Pairingtaste, dass von JEDEM anderen Gerät Befehle akzeptiert, kann nicht wirklich sein, oder?

Um Lichtschalter zu drücken vielleicht noch akzeptabel aber schon bei der Kaffeemaschiene hört es bei mir auf.

Bitte sagt mir, dass ich hier irgendwas übersehe! Ich werd das wohl zurückschicken.

Patrick_ · 24. Februar 2021

Ohne jetzt einen Switchbot zu besitzen sieht der Installationsprozess auf der Webseite von Switchbot weniger "kritisch" aus, als was du hier beschreibst.

Du öffnest die App. Wenn dein Bluetooth eingeschalten ist findet er sämtliche "neuen" (Besitz-/Herrenlose) Switchbots. Du kannst den entsprechenden Switchbot auch steuern. Erst wenn du ihm über "Add Bot" einen Namen gibst etc. wird er deinem Account hinzugefügt (zuvor einloggen) und ist quasi daran "gebunden". Nun sollte kein anderer mehr deinen Switchbot in Bluetooth-Reichweite finden und steuern können.

ApplePrime · 24. Februar 2021

Mag sein, aber dazu muss man das erst mal wissen. Wozu sollte ich die Beschreibung auf der Website suchen und lesen, wenn sich der Bot auch nach Lektüre der beiliegenden Kurzbeschreibung mit der App verbindet ohne dass ich ein Konto beim Hersteller anlegen muss. Und eigentlich will man ja kein Konto beim Hersteller haben, man ist ja über jedes Gerät froh, das keinen Registrierungszwang hat.

Und falls das tatsächlich so ist, würde vermutlich das genannte Homebridge-Plugin auch nicht mehr funktionieren, sodass ich über das andere Plugin gehen müsste, welches den Schaltbefehl über die Cloud sendet. Will man eigentlich auch nicht.

DJay · 24. Februar 2021

Aaaaalso.... hauptsächlich habe ich mal den Support von SwitchBot angeschrieben nachgefragt wie es sich verhält zum Thema Sicherheit. Warten wir auf die Antwort. Ich werde berichten.

Ich konnte das von ApplePrime beschriebene Szenario nachstellen.

Ein iPhone 8 genommen auf dem SwitchBot App noch nie drauf war. Installiert und "keinen" Account angelegt.

Es werden mir alle SwitchBot (Bots) in der App angezeigt (natürlich nur Bluetooth, auch wenn die Bots mit dem Hub verbunden sind) und ich kann die Bots mit diesem iPhone und der App einfach so steuern.

Finde ich erstmal auch kritisch und seltsam unter dem Aspekt "Sicherheit".

Natürlich muss erstmal jemand wissen, dass man die Bluetooth Bots nutzt und dann auch vor der Tür stehen, bzw enger Nachbar sein.

Dennoch.. ich finde die Frage berechtigt und mal schauen was der SwitchBot Support zurück meldet.

Zitat

Hi Guys,

I hope you are doing well.

I noticed that anybody who has the SwitchBot App installed, without the need of creating an account, can discover my Bots just when nearby, standing in front of my Apartment door.

All my devices are connected to the the Hub mini. And of course with my Phone, SwitchBot App and account they work great and reliable via cloud.
But a stranger should not in any way use my bots just with BT and the SwitchBot App. But at the moment it is like this.
So of course I question the security. I would expect that Bots that are already „linked“ to an account can’t be found by a strangers phone and SwitchBot App.

I hope you can answer my questions, or did I miss a security setting?

Thanks in advance for your help and clarification.

Best regards,

Alles anzeigen

ApplePrime · 24. Februar 2021

Danke DJay für die Bestätigung und für das Anschreiben des Supports.

Den Rücksendeaufkleber hatte ich vorhin schon ausgedruckt, zumal das mit dem vorgesehenen Einsatzzweck eh nicht geklappt hat.

Die Reaktion von Switchbot würde mich aber dennoch interessieren. Vielleicht kommt ja doch noch mal ein Projekt, wo ich einen mechanischen Taster drücken lassen muss..

ApplePrime · 27. März 2021

Da kam wohl keine Antwort, DJay ?

DJay · 27. März 2021

Oh, Dank Dir für die Erinnerung. Ich hake da mal nach.

donni1966 · 27. März 2021

Das ist ja ein schönes klassisches Bluetooth Desaster ...

Ich erinnere mich noch an die ersten BT Handy, wo ich jedem meinem Fakeadressensatz gesickt habe. schön mit ! am Anfang und ja oben im Adressbuch zu stehen.

Im Stau suche ich gerne andere "ältere" Autos und verbinde mich mit dem Autoradio. Das alles ist Klassischerweise der Vor und Nachteil der BT Verbindungen.

Headsets und Micros haben alle ein BT Profil, was eine Verbindung ohne Abgleich zulässt. Ich finde auch, der Schwitchbot Bot sollte ein Profil nutzen, was eine mindest Stufe nach Authentifizierung nach Anlernen voraussetzt. Aber das macht den ganzen Andern Vorgang auch komplexer.

Ich kann nur vermuten, dass die Hersteller da den einfachen Weg gegangen sind, weil die Recihweite nun mal begrenzt ist.

Wer Angst hat, muss zwangsläufig die Finger von BT lassen - generell. Es ist wirklich kinderleicht, eine Tastatur zu kapern und mitzulesen, gerade die, die noch BT Profile aus der 1.x Zeit nutzen ...

Bin mal wirklich gespannt auf die Antwort der Entwickler.

DJay · 29. März 2021

Zitat von SwitchBot

Here is the answer for your question from our product manager:

Bot is initially designed to be easily scanned and controlled by anyone without pairing it to a specific account in the app. If you want to limit the access control to yourself, you can set a password on it so that a stranger won't be able to control it without entering the correct password.

Currently, when a Bot is "linked" to your account, you can enable the Cloud Service on it, which means you can control it remotely via a Hub Mini. However, a stranger cannot utilize the Cloud Service because it is not linked to his/her account.

So at this point, you don't have to worry about the security. We are considering adding the feature to hide it from other strangers once it is linked to an account. We also plan to add the Home Sharing feature so that each SwitchBot device can be shared with your family members or guests.

We cannot provide a specific release date on the new features. We are constantly working on new products and features, so please stay tuned and once they are ready we will sign you up for the beta test program.

Alles anzeigen

Im Bedarfsfall bei weitern Fragen [email protected]

ApplePrime · 23. April 2021

Danke für die aufschlussreiche Antwort des Herstellers. Falls du an dem Betatest teilnimmst, halte uns doch bitte auf dem Laufendenen. Meinen SwitchBot hatte ich schon zurückgeschickt wegen dem Sicherheitsproblem und zusätzlich weil der Einsatzzweck leider doch nicht passte. Aber vielleicht ergibt sich ja nochmal was.

SwitchBot Bluetooth Funktionsweise zur Sicherheit

Zum Hilfreichsten Beitrag springen

Teilen

Tags