Frage zur Autorisierung: Fremde BLU Geräte manipulierbar?

    • Autor

    Hallo Shelly Freunde,

    habe bei zahlreichen HT Display ZB auch das Problem mit der Zeitumstellung (+120 UTC für Sommerzeit klappt, 6 weitere Minuten Abweichung zwischen allen Shelly Gateways und den HT Displays bestehen leider weiterhin).

    Meine eigentliche Frage ist aber eine andere: Wie erfolgt denn die Autorisierung des Zugriffs auf die BLU Geräte durch die Debug App?

    Ich scanne nach den Geräten und finde sie alle. Wenn ich auf Read gehe, wird Drücken des physischen Knopfs auf der Rückseite verlangt. Ich ignoriere die Meldung und nach 2 Minuten öffnet sich dennoch alles ohne Drücken des Knopfs.

    Dann nehme ich die Änderungen vor und werde erneut zum Drücken des Knopfes auf der Rückseite aufgefordert. Erneut ignoriere ich die Meldung und wieder nach 2 Minuten wird die Änderung dennoch übernommen.

    Habe das per Zufall entdeckt, da ich zu faul war zu den Geräten zu laufen.

    Feature oder Security Bug? Oder holt sich die Debug App die Credentials aus der Shelly App, die auf dem gleichen Handy installiert ist?

    Kommt mir äußerst merkwürdig vor, da doch das physische Drücken des Knopfes auf der Rückseite des Geräts erst sicherstellt, dass man nur Zugriff auf Geräte in der eigenen Immobilie hat? Es wird dazu aufgefordert und wenn man sofort drückt, kommt man auch sofort in die Einstellungen. Aber einfach 2 Minuten warten und das ist zu umgehen? So kann ich ja die Geräte der Nachbarn manipulieren? Mal schön den Nachbarn unter mir die Temperatur um -2 Grad korrigieren und schon heizen die mehr für meine Wohnung mit? 🤔

    Kann jemand von euch aufklären?

    Danke euer TomTester79

    2 Mal editiert, zuletzt von TomTester79 (7. April 2026 um 12:15)

  • TomTester79 7. April 2026 um 12:08

    Hat den Titel des Themas von „Fremde BLU Geräte manipulierbar? Frage zu Autorisierung.“ zu „Frage zur Autorisierung: Fremde BLU Geräte manipulierbar?“ geändert.

    Hi,

    hab ich auch schon öfters diskutiert, gerade erst auch wegen eines Shelly BLU Distance.

    Die "Security" wird bei Shelly BLU-Geräten folgendermaßen sichergestellt:

    1) Beim Pairen MUSST du den physikalischen Taster drücken
    2) Bei allen weiteren Interaktionen muss der Shelly von sich aus eine Kommunikation aufbauen damit die App die Parameteränderungen vornehmen kann. Dies kann im Wesentlichen durch 3 Arten geschehen:
    - Drücken des Tasters
    - Zyklische Datenübertragung, z.b.: alle 7h bei Shelly BLU Door/Window, alle 5-300 sek. bei Shelly BLU Distance, usw.
    - Azyklische Datenübertragung durch Triggerbedingung, z.b.: Öffnen/Schließen der Tür bei Shelly BLU Door/Window, Vibrationssensor bei Shelly BLU Distance, usw.

    Wie du beobachtet hast kannst durch "langes Warten" einfach auf die nächste zyklische Übertragung warten um Änderungen vorzunehmen, insofern das Device dies in "endlicher Zeit" auch macht.
    Es ist so sogar möglich eine alternative Firmware einzuspielen.

    Ein "Datensicherheitsproblem" bleibt jedoch trotzdem noch:
    Es kann JEDER deine Daten "mitlesen" (=> aber nichts ändern!!!), da die Kommunikation komplett unverschlüsselt ist => ich kann die Temperatursensoren meines Nachbars ohne Probleme mit auswerten.
    Nur wenn du deine Übertragung verschlüsselst kann "keiner" mehr mitlesen.

    d.h.: Das Einzige was dein Device vor Fremdzugriffen schützt ist der "pairing-Prozess".

    Verwendung wenn möglich von Off-Cloud-Geräten wie Shelly (Cover, H&T, ...), NUOS Tasmota, Velux, Nuki, Ecowitt (Weatherstation), aber auch Cloud-Geräten wie Anker Solix (BKW), Husquarna (Rasenmäherroboter) und Roborock (Staubsaugerroboter).
    Alles zentral gesteuert durch Home Assistant.

    • Autor

    Danke borsti0 für deine Rückmeldung.

    Das mit der Verschüsselung verstehe ich, Rückfrage habe ich aber noch zum generellen Zugriff durch die Shelly BLE Debug App: Wenn ich es richtig verstehe, kann die App einfach auf BLU Geräte zugreifen, auch ohne dass diese direkt mit dem Handy gepaired sind? Meine HT Display ZB sind ja bspw. gar nicht direkt mit dem Handy, sondern über Gateways verbunden.

    Die Debug App findet die BLU Geräte auch mit deaktiviertem WLAN (also keine Verbindung zur Cloud und zu den Gateways), einfach nur indem es BLU Geräte über Bluetooth identifiziert und auflistet. Auch wenn ich ein Geräte zum Test resette, kann ich es in der BLE Debug App wieder finden (es wird aufgelistet inkl zugehöriger MAC Adresse).

    Demzufolge kann ich auch fremde BLU Geräte über die Debug App aufspüren und manipulieren, richtig? 🤔

    Zitat von TomTester79

    auf BLU Geräte zugreifen, auch ohne dass diese direkt mit dem Handy gepaired sind

    Das habe ich noch nie geschafft, ein Knackpunkt bei mir war öfters das Pairing.
    Ergo, ohne Pairing Handy mit App und Shelly BLU geht nichts, zu dem wird ja auch immer noch ein Tastendruck abgefragt.
    Beim Nachbar oder so wird das nicht gehen.

    Zitat von TomTester79

    Demzufolge kann ich auch fremde BLU Geräte über die Debug App aufspüren und manipulieren, richtig?

    EDIT: Aufspüren ja, manipulieren NEIN

    VG Rolf

    (Wer einen Tippfehler findet, darf den gerne behalten :saint:)