Volkswagen blockiert Home Assistant wegen Anforderung von Client Assertion

 (github.com/robinostlund)
1 Punkte von GN⁺ 14 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Issue #967 ist weiterhin offen; als zugehörige Einträge werden #971 und das neueste Release v5.4.7 angezeigt, aber allein anhand der vorliegenden Diskussion lässt sich nicht bestätigen, ob das Problem endgültig gelöst wurde
  • Der erste Bericht besagt, dass nach Ablauf der Authentifizierung von Home Assistants homeassistant-volkswagencarnet eine erneute Anmeldung mit E-Mail und Passwort nicht mehr möglich war, während Login über die Android-App und den Browser weiterhin funktionierte
  • Zur Reproduktion werden E-Mail und Passwort eingegeben; als Fehlermeldung erscheint Anmeldung bei Volkswagen Connect nicht möglich. Bitte überprüfe deine Zugangsdaten und stelle sicher, dass der Dienst verfügbar ist.
  • Ein Teilnehmer sah darin keinen Bug, sondern die Folge davon, dass Volkswagen die API dauerhaft deaktiviert habe; später fasste ein anderer Teilnehmer zusammen, dass es eine offizielle kostenpflichtige API und eine kostenlose inoffizielle API gebe und Letztere nicht mehr funktioniere
  • Einige Nutzer berichteten, dass Web-Login zwar möglich sei, API und App aber nicht funktionierten oder die App sehr langsam reagiere; ein anderer Nutzer meldete, dass der Login in der Android-App möglich sei, nach einem Neustart von Home Assistant jedoch dasselbe Problem auftrete
  • Es gab einen Bericht, dass CarConnectivity-plugin-mqtt funktioniere, doch es wurde entgegnet, dass es dieselbe API nutze, sodass bestehende Setups nur bis zum Ablauf des Tokens weiterlaufen und neue Nutzer möglicherweise nicht funktionieren könnten
  • Ein anderer Nutzer berichtete jedoch, dass auch bei der ersten Nutzung von CarConnectivity-plugin-mqtt mit einem neuen Authentifizierungs-Token Daten abgerufen wurden, sodass die langfristige Tragfähigkeit dieser Alternative in der Diskussion nicht geklärt wurde
  • Im Skoda-EV-Facebook-Forum wurde eine entsprechende Änderung geteilt, und ein Teilnehmer, der keine offizielle Ankündigung gesehen hatte, vermutete, dass diese Änderung alle Marken des VAG-Konzerns betreffen könnte
  • Als Alternativen wurden Smartcar und Tibber genannt; bei Smartcar wurden der Datenfluss von Fahrzeugdaten und die Anwendbarkeit der DSGVO diskutiert, und ein Nutzer teilte mit, er habe es mit Smartcar „erst einmal zum Laufen“ gebracht, samt Kommentar in wbyoung/smartcar#110
  • Für Tibber gab es einen Bericht, dass es mit der Standard-Tibber-Integration von Home Assistant funktioniere; zugleich wurde die Sorge geäußert, dass Tibber, falls es die Kosten für Enterprise-API-Zugriff trage, einen langfristigen Zustrom neuer nicht zahlender Nutzer möglicherweise nicht dulden werde
  • Ein Teilnehmer interpretierte die Skoda-Mitteilung so, dass nicht Geld verlangt werde, sondern dass API-Nutzer sich bei Volkswagen registrieren müssten, und fragte nach einer Projektregistrierung; der Maintainer antwortete, dass er kein Volkswagen-Fahrzeug mehr besitze und dies daher nicht selbst verfolgt habe
  • Der Maintainer vermutete, dass eine Registrierung Schlüssel pro Nutzer erfordern könnte, und bat um Hilfe bei der Untersuchung und Wartung des Projekts, sodass der weitere Lösungsweg vorerst von Unterstützung aus der Community abhängt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 14 시간 전
Hacker-News-Kommentare

  • Ich vermute, der EU Data Act wurde genau geschaffen, um solche Situationen zu verhindern; insbesondere Artikel 4 und 5 scheinen einschlägig zu sein: https://digital-strategy.ec.europa.eu/en/policies/data-act
    Dort steht, dass der Dateninhaber dem Nutzer unverzüglich einen einfachen, sicheren und kostenlosen Zugang zu den Daten eines vernetzten Produkts oder eines verbundenen Dienstes in einem strukturierten, gängigen und maschinenlesbaren Format ermöglichen muss, wenn der Nutzer nicht direkt auf diese Daten zugreifen kann, und wenn nötig und technisch möglich auch fortlaufend bzw. in Echtzeit
    Es gibt außerdem eine gesonderte EU-Leitlinie zu Fahrzeugdaten: https://digital-strategy.ec.europa.eu/en/library/guidance-ve...

    • Ja, das sieht nach einem Bereich aus, in dem man über den Data Act das Zugangsrecht zurückholen kann
      Allerdings scheint es nicht so aufgebaut zu sein, dass man wie bei Artikel 79 DSGVO das Zugangsrecht direkt gegenüber Volkswagen einklagen kann: https://gdpr-info.eu/art-79-gdpr/
      Es gibt nicht viele Texte zur Durchsetzung, daher habe ich mir die Verordnung selbst angesehen; nach Artikel 39 muss man wohl zunächst bei der zuständigen Behörde Beschwerde einreichen, die vom Mitgliedstaat des Wohnsitzes benannt wurde: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:...
      Wenn diese Behörde nichts unternimmt, entsteht nach nationalem Recht offenbar ein Anspruch auf wirksamen gerichtlichen Rechtsschutz oder auf Überprüfung durch eine unabhängige fachkundige Stelle
      In diesem Fall scheint sich die Klage aber nicht gegen das Unternehmen, sondern gegen diese zuständige Behörde zu richten, und 39(3) stellt das wohl klar
      Ich hoffe, ich liege falsch
      Vielleicht könnte eine Argumentation wie im Fall Muñoz vs. Superior Fruiticola greifen, also dass „diese Pflicht in einem Zivilverfahren durchsetzbar sein muss“, aber sicher bin ich nicht; das wäre deutlich schwächer als der in der DSGVO ausdrücklich vorgesehene Weg: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELE...
      Falls jemand bessere Quellen dazu hat, wie Einzelpersonen den Data Act durchsetzen können, würde ich die gern sehen
    • Volkswagen hat auch eine EU-Data-Act-Seite: https://drivesomethinggreater.com/eu-data-act

  • Ziemlich viele andere Hersteller haben dasselbe getan
    Ich nutze eine per Reverse Engineering entstandene Polestar-Bibliothek, um den Ladezustand abzurufen, aber weil ich nicht darauf vertrauen kann, dass sie mich nicht genauso aussperren, baue ich gerade einen CAN-Bus-Sniffer, der dasselbe erledigt
    Ich glaube wirklich nicht, dass das eine große Einnahmequelle ist, und ich verstehe nicht, warum man die Leute verärgert, die sich am stärksten mit dem Produkt beschäftigen

    • Einige CAN-Nachrichten sind bereits mit kryptografischer Authentifizierung versehen, damit sie nicht verändert werden können
      Bis auch Verschlüsselung kommt, scheint es nur eine Frage der Zeit zu sein
      Meiner Meinung nach ist das vor allem ein Fall von Risikoaversion in Unternehmen
      Irgendeine Abteilung schreibt eine Risikobewertung mit einer Liste kleiner Risiken, zum Beispiel dass das Backend einer Drittanbieter-App kompromittiert werden könnte oder dass es in der Lokalpresse eine Überschrift wie „Hobbyentwickler hackt Auto, um es mit Home Assistant zu verbinden“ geben könnte
      Diese Liste geht dann herum, kein Middle Manager will Verantwortung übernehmen, und weil es keinen offiziell genehmigten positiven Anwendungsfall gibt, werden nach und nach harte Gegenmaßnahmen geplant und umgesetzt
    • Ja, ich denke, das erste Unternehmen, das Home Assistant vollständig unterstützt, würde beim Verkauf oder Marketing ziemlich davon profitieren
      IKEA ist dafür vielleicht ein ganz brauchbares Beispiel
    • Das ist ein interessanter Kontrast zu BSH, ebenfalls einem deutschen Unternehmen
      Bei Bosch- und Siemens-Hausgeräten scheint man die Öffnung der Home-Connect-Plattform als Teil der Einhaltung von EU-Vorgaben zu Datentransparenz und Datenportabilität zu sehen
    • Die Fähigkeit, mit einem Auto zu interagieren, kollidiert grundsätzlich mit dem regulatorischen Trend zu „alles verschlüsseln“
      Man muss sich nur ansehen, was im Automotive-RISC-V-Bereich passiert, oder die Anforderungen des EU Cyber Resilience Act
    • Ein Open-Source-Produkt, das dazu passen könnte, ist WiCAN: https://www.meatpi.com/products/wican-pro

  • BYD hat für mein gesamtes Fahrzeug-Connect-Repository einen DMCA-Antrag gestellt: https://github.com/github/dmca/blob/master/2026/05/2026-05-2...
    Es ist wirklich schade, dass Autohersteller Fahrzeuge, die man zu Premiumpreisen gekauft hat, einsperren und gegen Open Source einen Kreuzzug führen

    • Ich würde Louis Rossmann eine E-Mail schicken; er hat Leuten in ähnlichen Situationen schon geholfen
    • Das liest sich wie: „Du hast nichts Illegales getan, aber wir werden es so aussehen lassen, als ob“
      Das ist so, als würde man einen Schlüssel für einen öffentlichen Ort unter die Fußmatte vor der Haustür legen, „Schlüssel hier“ dazuschreiben und sich dann darüber beschweren, dass jemand mit diesem Schlüssel einen ohnehin schon öffentlichen Bereich betreten hat
    • Ich frage mich, ob du es woanders gespiegelt hast
      Ich habe bei Codeberg nachgesehen, aber dort war es nicht
    • Falls sie behaupten, dass Verschlüsselung gebrochen wurde, könnte DMCA in diesem Fall durchaus passend sein
      Wenn es dagegen keine offizielle Möglichkeit gibt, ein Authentifizierungstoken zu erhalten oder das Auto mit Home Assistant zu verbinden, dann ist das eher ein Servicefehler
      r/opensource_legalaid
      Antworte darauf und verlange Datenzugang

  • Ich mag den Kommentar sehr, der Unternehmenssprech in normale Sprache übersetzt: https://github.com/robinostlund/homeassistant-volkswagencarn...
    Warum schießen sie sich selbst ins Bein? Ist das wirklich eine nennenswerte Einnahmequelle? Erhöht das tatsächlich die Sicherheit?

    • Sie schießen sich nicht selbst ins Bein
      Den meisten Nutzern ist es egal, und irgendein mittlerer Manager bei MySkoda kann berichten: „Wir haben ein großes Sicherheitsrisiko verhindert und wertvolle ~~Vieh-~~ Nutzerdaten wieder dahin zurückgebracht, wo sie hingehören.“
    • Ich habe mir den Traffic angesehen, den Home Assistant erzeugt, und das Nutzungsmodell ist auf den Kopf gestellt
      Infrastruktur, Server und Bandbreite kosten Geld
      Ob gut oder schlecht, die meisten Geräte haben keine lokale Schnittstelle
      In den letzten 1–2 Jahren sind zwar einige Matter-Geräte erschienen, aber nicht alle Daten und Funktionen werden über Matter bereitgestellt, und ältere Geräte werden wahrscheinlich nicht per Update Matter-Unterstützung erhalten
      Außerdem ist HA eine lokal laufende, lokal ausgerichtete App und passt ohne zusätzliche Entwicklung auf OEM-Seite nicht gut zu Cloud-basierten API-/Datenübertragungssystemen
      Als wir das intern berechnet haben, machte HA-Traffic über 24 Stunden etwa 20 % des Gesamtvolumens aus, obwohl der Nutzeranteil unter 1 % lag
      Das liegt daran, dass jede Instanz die API alle paar Minuten oder noch häufiger direkt aufruft
      Wenn ein Manager diese Zahl hört, wird er wahrscheinlich anordnen, es zu blockieren
      Unabhängig davon, ob das richtig oder falsch ist, reagieren Menschen nun einmal so
    • Was die zusätzliche Einnahmequelle angeht: Früher brauchte man schon ein WeConnect-Abonnement, um auf VW-Daten zuzugreifen
      Das kostete 100 Euro pro Jahr, allerdings konnte man damals über andere Apps oder Automatisierungen auf dieselben Daten zugreifen
      Jetzt zahlt man bereits das Abo und muss trotzdem zwingend WeConnect und dessen Partner nutzen, um an dieselben Daten zu kommen
    • Weil die Leute die Autos trotzdem kaufen werden
      Dem durchschnittlichen Nutzer ist Privatsphäre ziemlich egal, und wir wurden darauf konditioniert, abgestumpft zu sein
      Das ist tatsächlich eine reale Einnahmequelle, und es erhöht die Sicherheit nicht
    • Die meisten Führungskräfte treffen kommerziell nachteilige Entscheidungen, um mehr Macht zu bekommen
      Es ist fast schon ein Wirtschaftsgesetz, dass Führungskräfte ihre eigene Macht höher gewichten als die Gewinnmarge des Unternehmens
      Das ist einer der Gründe, warum ausgelagerte Softwareentwicklung so beliebt war, obwohl sie keine Kosten gesenkt hat und wirtschaftlich ein Desaster war
      In dieser Beziehung saßen die Führungskräfte sehr viel stärker am Steuer als bei der Zusammenarbeit mit uns
      Manche sagen zwar, das Home-Assistant-Verbrauchersegment sei „nicht wichtig“, aber in Wirklichkeit ist es das sehr wohl
      Im Kern geht es aber um den sichtbaren Vorteil der Kontrolle über Daten gegenüber dem weniger sichtbaren Verlust an Wohlwollen bei den Verbrauchern
      Ein Unternehmen ist kein Wesen, das um jeden Preis nur den Profit maximiert
      Aktionäre und Führungskräfte sind kein einziger einheitlicher Körper, sondern haben unterschiedliche und manchmal stark auseinanderlaufende Interessen

  • Client Assertion ist zwar eine OAuth-Funktion, aber darum geht es hier überhaupt nicht
    Das kann verwirrend sein, weil es nur im HN-Titel steht und auf der Originalseite nicht vorkommt

    • Die App verlangt jetzt die Nutzung einer Security Assertion durch den Client
      In diesem Fall übernimmt das unter Android Play Protect, und unter iOS irgendetwas, das dort verwendet wird
    • Client Attestation ist vielleicht der treffendere Begriff

  • Es sieht so aus, als würde auch Google dabei mitwirken: https://github.com/robinostlund/homeassistant-volkswagencarn...

    • Ja, Google hilft Anbietern dabei, mithilfe von Hardware-Attestierung den API-Zugriff zu blockieren
      Ich bin kürzlich auf dieselbe Hürde gestoßen, als ich direkt auf die API meines Garagentoröffners MyQ zugreifen wollte
      Es wäre erstaunlich, wenn Google mit diesem Verhalten nicht in irgendeiner Weise gegen das EU-Wettbewerbsrecht verstoßen würde

  • Wenn man sich ansieht, was in letzter Zeit beim Software-Lieferketten-Thema für ein Chaos herrscht, fühlt es sich wie Russisches Roulette an, irgendetwas anzubinden
    Das sage ich als jemand, der Home Assistant seit Jahren nutzt
    Gerade jetzt, obwohl mein Elektroauto kein Volkswagen ist, fühlt es sich ziemlich nach einem riskanten Eigentor an, es mit HA zu verbinden
    Vor drei Monaten wäre das sicher noch praktisch gewesen

  • Ich beschäftige mich schon lange mit Smart Homes, und das ist einer der Gründe, warum ich Home Assistant verlassen habe
    Es ist ein sehr cooles und funktionales Projekt, hängt aber vollständig davon ab, dass Unternehmen ihre APIs offen lassen oder, was noch häufiger ist, nicht die „Magie“ wegpatchen, die Reverse-Engineering-APIs ermöglicht
    Leider war der Trend der letzten Jahre schlecht für HA
    Tesla, Ring, MyQ, Ecobee und andere haben ihre APIs geschlossen und meist „Sicherheitsbedenken“ als Grund genannt
    Das ist bis zu einem gewissen Grad berechtigt, aber ich denke, meist steckt die Angst dahinter, Abo-Umsätze zu verlieren
    Tesla verlangt viel Geld für offizielle OAuth-Apps
    Allerdings basierten frühere Hacks auf geleakten OAuth-Apps, die sie unbehoben herumliegen ließen, also fairerweise gehört das auch dazu
    Ecobee hat HomeKit und einige Funktionen hinter dem Security+-Abo versteckt, was angesichts ihrer schwachen Sicherheitsplattform wie ein Witz wirkt
    MyQ hat das offensichtlich getan, um das 45-Dollar-Jahresabo zu schützen, und sich damit letztlich selbst geschadet, weil RATGDO deutlich besser ist
    Ring funktioniert aus irgendeinem Grund noch, aber aus Angst, dass sie die API abschalten könnten, ist die Unterstützung für HomeKit Secure Video extrem instabil
    Für Leute wie mich, die HA hauptsächlich für die HomeKit-Integration genutzt haben, ist die Abhängigkeit von HA eine tickende Zeitbombe
    Als ich in ein neues Haus gezogen bin, habe ich mich darauf konzentriert, Dinge zu finden, die nativ mit HomeKit kompatibel sind, ohne Workarounds, und dadurch funktioniert mein Smart Home jetzt viel besser

    • Das wirkt weniger wie ein Grund, Home Assistant zu verlassen, sondern eher wie ein Grund, keine geschlossenen, Cloud-only-Produkte zu kaufen, die man an Home Assistant anschließen will
    • Das ist eher ein Sprung aus der Pfanne ins Feuer
      Ich habe mit Heimautomatisierung auch auf diese Weise angefangen, und HomeKit-zentriert ist durchaus ganz okay
      Als Nächstes schaue ich mir eine Konfiguration an, bei der HA mit Geräten arbeitet, die zu 100 % lokal steuerbar sind, und dann zu HomeKit bridged
      HomeKit-only-Geräte haben oft eine furchtbare Wi‑Fi-Stabilität, und man muss sich heute wohl mehr Gedanken darüber machen, wie Matter/Thread sich entwickelt
      Manche beschweren sich über Zigbee/Z-Wave, aber im Durchschnitt war das viel besser als Wi‑Fi-basiertes HomeKit
    • Ich habe über 50 Entitäten in HA, und es gibt kein Unternehmen auf der Welt, das auch nur eine davon außer Betrieb setzen könnte
      Ehrlich gesagt ist HA von allen genannten Dingen am weitesten von einer tickenden Zeitbombe entfernt

  • Mein nächstes Auto wird definitiv kein Sköda oder Volkswagen sein

    • Welche Marke ziehst du denn stattdessen in Betracht?

  • Remote Attestation muss verboten werden, egal ob das Root-Zertifikat von Google, Apple oder GrapheneOS kommt
    Der einzige Zweck dieser Technik ist derzeit, Menschen daran zu hindern, mit Geräten, die ihnen gehören, das zu tun, was sie wollen, und Interoperabilität kryptografisch unmöglich zu machen
    Das ist wettbewerbswidrig und sollte einfach illegal sein

    • Es ist realistisch, dass es in 5–10 Jahren Laptops und Smartphones mit offenen Prozessoren und Betriebssystemen geben könnte, mit einer User Experience und einem OS, die proprietären Produkten ebenbürtig oder überlegen sind
      Wenn sich Remote Attestation aber weiter verbreitet, könnte es kryptografisch schwierig werden, irgendeinen Dienst zu nutzen, sodass solche Geräte für Durchschnittsverbraucher praktisch nutzlos wären
    • In der EU ist das nach dem EU Data Act bereits illegal
      Die VW-Führungskräfte sind einfach Kriminelle, denen es egal ist, weil sie glauben, Gesetze wie früher verbiegen zu können
    • Was man wirklich sucht, sind Dienste oder Produkte ohne API
      Also Dinge, die auch ohne Cloud funktionieren
      Oder man sollte Produkte oder Unternehmen wählen, die ausdrücklich API-Zugriff auf ihre Produkte anbieten
    • Zu behaupten, es gebe überhaupt keine legitimen Anwendungsfälle für Remote Attestation, ist einfach Unsinn
      Man kann sie einsetzen, wenn man Geräte, die man besitzt, in Umgebungen bereitstellt, in denen ungewollte Personen physischen Zugriff haben und Zugangsdaten extrahieren könnten
      Sie wird auch gebraucht, wenn man sicherstellen will, dass Menschen nur auf firmeneigenen Geräten auf sensible Unternehmensdaten zugreifen und die zugänglichen Daten nicht einfach irgendwohin kopieren können
      Sie ist auch nötig, um zu verhindern, dass jemand ein Handy als Kartenlesegerät benutzt, auf dem Bildschirm einen Betrag anzeigt, tatsächlich aber einen anderen autorisiert
      Ich bin ziemlich klar dafür, dass alles, was ich besitze, die von ihm erzeugten Daten in offenen Formaten bereitstellen sollte, aber zu behaupten, Attestation habe keine legitimen Einsatzbereiche, entspricht einfach nicht den Tatsachen