0:00:09.379,0:00:12.754
<i>Vorspannmusik</i>

0:00:12.754,0:00:18.440
Gambius: Die Kinder Audioplayer Box die[br]Toniebox ist ein recht beliebtes und weit

0:00:18.440,0:00:26.520
verbreitetes Modell mit Content Hosting[br]und Datensammelwut. Nun wir haben hier

0:00:26.520,0:00:34.120
vier Sprecher: Gambrius, Moritz, Badbee[br]und Gekko die uns auf diese Thematik ein

0:00:34.120,0:00:42.360
bisschen einführen werden und ein quasi[br]das erste Mal sich heuer und heute hier

0:00:42.360,0:00:46.320
auf der Bühne treffen. Die waren bis jetzt[br]eigentlich vor vier Jahren zum erst mal

0:00:46.320,0:00:50.280
online getroffen virtuell noch nie[br]physisch heute zum ersten Mal miteinander

0:00:50.280,0:00:52.341
Alle auf der Bühne bitte schön.

0:00:52.341,0:01:00.528
<i>Applaus</i>

0:01:00.528,0:01:04.383
Moritz: Danke schön danke schön danke schön. Ich[br]hoffe ihr seid wirklich wegen Tonies hier

0:01:04.383,0:01:09.271
und nicht wegen dem iPhone researcher Hack[br]der in Saal 1 läuft, ihr habt euch nicht

0:01:09.271,0:01:16.414
verlaufen ne wow echt viele Leute heute[br]hier. Willkommen zu dem Tonies Talk. Wer

0:01:16.414,0:01:23.480
kennt die TonieBox, einmal Hand hoch! Ok,[br]wer hat eine TonieBox zu Hause und hat

0:01:23.480,0:01:31.321
keine Kinder? <i>Lautes hey, lachen</i> Ok das wird[br]sich ändern, weil wir haben doch recht viel

0:01:31.321,0:01:35.504
Gefallen an dieser tollen Box gefunden.[br]Ich brauche gar nicht so viel erklären was

0:01:35.504,0:01:40.121
das ist, also eine für die, die es noch[br]nicht kennen: ein Kinder Audio

0:01:40.121,0:01:45.750
Abspielgerät, welches ohne Display[br]auskommt, in Summe nur zwei Knöpfe hat die

0:01:45.750,0:01:51.170
beiden Ohren zu Lautstärkeregulierung. Es[br]gibt diese schleichartigen Figuren wo ein

0:01:51.170,0:01:56.496
kleiner NFC Chip drin versteckt ist, so[br]viel kann ich schon mal Spoilern, und kein

0:01:56.496,0:02:01.651
ganzes Tonband drin ist, welches wenn es[br]auf die Box aufgesetzt wird das passende

0:02:01.651,0:02:07.709
Hörspiel abspielt. Diese Figuren kann man[br]im Handel erhält für 15 16 € kaufen. Ob

0:02:07.709,0:02:13.086
man die Lizenz damit kauft, das weiß ich[br]jetzt gerade nicht, aber man kann

0:02:13.086,0:02:17.043
zumindest das Hörbuch damit hören. Wir[br]möchten euch mal ein bisschen damit

0:02:17.043,0:02:21.547
durchführen, was der Gedanke dieses Talks[br]einfach ist, wo wir gesagt haben warum

0:02:21.547,0:02:26.662
wollen wir über diese Toniebox sprechen.[br]Jetzt habe ich vorhin diese Figur erwähnt.

0:02:26.662,0:02:31.700
Es ist leider Gottes die einzige[br]Abspielmöglichkeit diesen Inhalt der für

0:02:31.700,0:02:37.225
diese Figur angedacht ist auf dieser Box[br]abzuspielen. Das heißt man kann jetzt

0:02:37.225,0:02:42.660
nicht frei wählen welche Inhalte man[br]abseits von eigenen CDs, die vielleicht im

0:02:42.660,0:02:47.103
Vorfeld gekauft wurden oder bei mir in der[br]Vergangenheit meine Benjamin Blümchen

0:02:47.103,0:02:51.353
Sammlung die ich ja auch bereits[br]irgendwann mal gekauft bekommen habe für

0:02:51.353,0:02:56.339
meine Kinder in der nächsten Generation[br]auf der Toniebox abzuspielen. So gibt es

0:02:56.339,0:03:02.159
zwar die Möglichkeit mit kreativ Tonis zu[br]arbeiten, die kann man für 12 € kaufen und

0:03:02.159,0:03:07.333
mit insgesamt 90 Minuten bespielen, aber[br]man ist immer in diesem Tonie Universum

0:03:07.333,0:03:11.847
gefangen und ist natürlich dann auch in[br]der Abhängigkeit der Firma Tonies. Das

0:03:11.847,0:03:16.861
heißt: sollte was jetzt gerade die machen[br]gerade Aktiengang, das heißt ist gerade

0:03:16.861,0:03:22.482
unwahrscheinlich, aber sollte diese Firma[br]Tonis irgendwann mal Insolvenz anmelden

0:03:22.482,0:03:27.868
oder Konkurs anmelden, dann wären all[br]diese Funktionen der Tonies nicht mehr

0:03:27.868,0:03:32.381
gegeben, weil die ganze Box rein Cloud[br]basiert ist und sämtliche Inhalte über

0:03:32.381,0:03:36.692
eine App gesteuert werden eine[br]Weboberfläche gesteuert werden und aus der

0:03:36.692,0:03:41.690
Cloud geladen werden und keinerlei[br]unabhängige Möglichkeiten gegeben sind.

0:03:41.690,0:03:46.505
Last uns mal ein bisschen auf die Hardware[br]eingehen. An der Stelle würde ich mal

0:03:46.505,0:03:50.291
Moritz übergeben der uns ein bisschen was[br]über die Hardware Variation erzählt.

0:03:50.291,0:03:54.908
Moritz: Danke schön ja hallo. Ich geb[br]einen kurzen Überblick über die Hardware

0:03:54.908,0:03:58.940
der Toniebox und wenn man da rein guckt,[br]was man da eigentlich findet. So also ist

0:03:58.940,0:04:02.499
relativ über übersichtlich aufgebaut, wenn[br]man jetzt also die die Toniebox

0:04:02.499,0:04:07.226
auseinander nimmt, dann sieht man da drin[br]auf der links oben den Akku, da drunter

0:04:07.226,0:04:12.459
den den Lautsprecher, in der Mitte das die[br]die Platine das PCB dann rechts daneben

0:04:12.459,0:04:17.660
sind die die Pushbuttons, die in den Ohren[br]versteckt sind, für die Lautstärkeregelung

0:04:17.660,0:04:23.574
und der das PCB rechts daneben ist die NFC[br]Antenne. Genau das Toniebox PCB ist relativ

0:04:23.574,0:04:29.368
übersichtlich gehalten. Es ein vier[br]lagenboard was nur einseitig bestückt ist

0:04:29.368,0:04:34.263
auf der Rückseite hat es 82 Testpunkte die[br]alle nett beschrieben so zumindest

0:04:34.263,0:04:39.294
durchnummeriert sind und eine Onboard WLAN[br]Antenne. Sonst macht es eigentlich alles

0:04:39.294,0:04:42.666
einen sehr soliden Eindruck. Die Hardware[br]ist schön also ist sehr

0:04:42.666,0:04:46.662
reparaturfreundlich, also falls man da[br]irendwie was zerforscht haben sollte lässt

0:04:46.662,0:04:53.270
sich das alles relativ gut wieder in Gang[br]setzen. Genau jetzt gucken wir uns mal das

0:04:53.270,0:05:00.270
PCB im Detail an. Wir haben also hier. Das[br]schwarze ist der Microcontroller. Bei der

0:05:00.270,0:05:06.706
ersten Version ist das ein ti-Chip. Dann[br]haben wir den RFID Chip, ein

0:05:06.706,0:05:13.132
Beschleunigungssensor, da für damit man[br]dagegenhauen kann und die Box das merkt,

0:05:13.132,0:05:17.445
der Audioochip der ist auf der linken[br]Seite und ein kleiner Flash und natürlich

0:05:17.445,0:05:22.307
die SD-Karte, also zumindest den SD-[br]kartenhalter sehen wir dort. So dann

0:05:22.307,0:05:28.640
gibt's für den ganzen Stromfu gibt's also[br]ein Laderegler dcwandler und diverse LDO

0:05:28.640,0:05:33.723
für die für die Spannungsversorgung, für[br]die Spannungsversorgung

0:05:33.723,0:05:38.664
Herald: der Ton ist allgemein[br]Moritz: Weg Spannungs

0:05:38.664,0:05:43.344
Herald: 12 1 2[br]Moritz: Sag mal tot hier ist alles tot

0:05:43.344,0:05:47.824
hallo hallo nee[br]Herald: alles torein

0:05:47.824,0:05:59.406
M: ne nein doch <i>pause</i> alles klar dann[br]warten wir kurz. <i>lachen</i>

0:05:59.406,0:06:05.977
y: war das ja aber ich möchte das nicht[br]strapazieren

0:06:05.977,0:06:12.843
M: unterlassungsk ja genau so und dann[br]gibt's als als Interfaces im weitesten

0:06:12.843,0:06:18.163
Sinne gibt's eine RGB LED, den[br]Kopfförherausgang den Akkustecker unten,

0:06:18.163,0:06:24.207
den Stecker für die Ohren in der Mitte und[br]den Lautsprecherkonnektor oben und für das

0:06:24.207,0:06:28.386
freundliche zu forschen gibt's das debug[br]Interface das so ein Tech Connect

0:06:28.386,0:06:32.943
Interface ist das ist auf der Rückseite[br]der Platine. So dann schauen wir als

0:06:32.943,0:06:37.654
nächstes Mal, was eigentlich mit den was[br]es mit den Mikrokontrollern auf sich hat.

0:06:37.654,0:06:41.544
Also es gibt drei unterschiedliche[br]Mikrocontroller. Die Urversion war die mit

0:06:41.544,0:06:49.000
dem TI 3200 dann hat die Chipkrise auch[br]bei bei Tonie zugeschlagen und es gab eine

0:06:49.000,0:06:56.766
Box oder wenige Boxen mit dem CC 3235 und[br]jetzt die aktuellen Boxen sind mit

0:06:56.766,0:07:03.563
einem ESP 32 Chip aus gerüstet und werden[br]damit geschippt. So ah ja guck mal, da

0:07:03.563,0:07:09.031
sieht man's, ja also genau das ist der der[br]cc32 so das ist also wir nennen es Version

0:07:09.031,0:07:15.611
1 und Version 2 der der Hardware. Die[br]Version 3 ist relativ selten so und das

0:07:15.611,0:07:22.169
ist die aktuelle Version 4 für den mit dem[br]ESP 32 Chip. So ein paar Details dazu

0:07:22.169,0:07:27.989
genau. Dass S sehr sehr häufig verbreitet[br]sind, hatte ich schon gesagt, sie sind

0:07:27.989,0:07:32.032
über die Tech Connect Schnittstelle kann[br]man den den Flash Auslesen der dort

0:07:32.032,0:07:36.923
unverschlüsselt bzw unsigniert ist man[br]kann das cc3200 Tool zum Lesen und

0:07:36.923,0:07:42.791
Schreiben benutzen und wir haben mit der[br]Hackiebox eine Custom Firmware und ein

0:07:42.791,0:07:50.040
Custom Bootloader implementiert. Die[br]hackiebox NG. So der CC 3235 ist selten

0:07:50.040,0:07:55.218
die Tech Connect oder die[br]Debugschnittstelle ist gesperrt. Wir

0:07:55.218,0:07:59.820
können zwar über eine sop8 Klammer auf den[br]Flash zugreifen und da finden Finden

0:07:59.820,0:08:03.974
findet man dann dass die Zertifikate[br]unverschlüsselt sind die FirmWare jedoch

0:08:03.974,0:08:10.777
signiert und verschlüsselt ist und mit dem[br]cc32 Tool kann man die den flashstamp

0:08:10.777,0:08:18.060
manipulieren und anschauen. So das ist[br]genau die aktuelle Box. Die hat also

0:08:18.060,0:08:25.276
eine UART Schnittstelle.Man kann es sehr[br]komfortabel mit dem ESP Tool anfassen und

0:08:25.276,0:08:34.161
Hat das Tonie ist den sacht abgedreht?[br]<i>lacht</i> Ja ich befürchte das <i>Gelächter</i>

0:08:34.161,0:08:41.424
Jetzt wieder genau dann mache ich hier[br]noch schnell durch. Genau es gibt eine

0:08:41.424,0:08:46.820
Proof of Concept Firmware auf Basis des[br]ESP winno und wir haben eine eigenständige

0:08:46.820,0:08:51.846
Open Source Ersatzfirmware, die also schon[br]die meisten Funktionen der Originalfmware

0:08:51.846,0:08:56.344
implementiert die wir teddybox nennen.[br]Damit bin ich bei der Hardware durch und

0:08:56.344,0:09:01.076
gebe wieder zurück an den gambrios.[br]G: Super, ich danke dir ich hoffe mal

0:09:01.076,0:09:06.551
nicht dass Tonies hier uns den Saft abdreht[br]mit den Audio Themen. Kurz mal zu

0:09:06.551,0:09:12.669
Funktionsweise, wie funktioniert die[br]tonybox? Anders als der irglaube meiner

0:09:12.669,0:09:18.212
Eltern ist nicht in der Figur der[br]Audioinhalt gespeichert. Der Audioinhalt

0:09:18.212,0:09:23.358
kommt wirklich aus der Cloud, das sehen[br]wir mal rechts dargestellt, der NFC Chip

0:09:23.358,0:09:28.160
identifiziert diesen nur, die Toniebox[br]reicht die Information an die Cloud durch

0:09:28.160,0:09:32.340
und sie wird damit versorgt. Aber sie hat[br]auch eine SD-Karte, die haben wir vorhin

0:09:32.340,0:09:37.228
schon mal kurz auf dem PAD genau ist den[br]Halter. In der Regel ist das eine 8 GB

0:09:37.228,0:09:42.649
Karte, wo die einzelnen Audioofiles die[br]schon einmal geladen wurden, mit einer

0:09:42.649,0:09:46.966
Figur auch im Offline Modus nachher[br]verfügbar gestellt werden, sie ist also

0:09:46.966,0:09:51.902
nicht vorgeladen, sondern muss immer über[br]übers WLAN und über die über die Cloud

0:09:51.902,0:10:00.887
bestückt werden. Ungefähr 45 bis 65 MB hat[br]ein Audiohörbuch der auf einer zu einer

0:10:00.887,0:10:09.071
toniefigur zugeordnet ist. Die Übertragung[br]der Inhalte folgt halt so, dass diese

0:10:09.071,0:10:14.691
Figur aufgesetzt wird, die sogenannte UID[br]des NFC Chips ausgelesen wird, da kommen

0:10:14.691,0:10:19.895
wir gleich noch mal zu. Wenn der Inhalt[br]nicht auf der SD-Karte ist, wird der

0:10:19.895,0:10:26.474
Ladeprozess aus dem aus der Cloud[br]gestartet und dort gespeichert. Zum

0:10:26.474,0:10:32.553
Funktionsprinzip des NFC Chips. Weil hier[br]doch ein bisschen spezieller unterwegs

0:10:32.553,0:10:39.505
sind. Unten links sehen wir den Chip, der[br]in den Figuren verbaut ist. Das ist ein ca

0:10:39.505,0:10:47.993
10 mm langer feritstab mit einer Kupfer[br]Draht umwickelten Antenne um genau zu sein

0:10:47.993,0:10:57.329
21 Wicklung und auf der Kopf auf der[br]Stirnseite ist der kleine NXP icode

0:10:57.329,0:11:04.806
Slx Strich 2 Chip verbaut, der eine[br]besondere Rolle hier spielt, weil er

0:11:04.806,0:11:08.715
erstmal so gar nicht erkannt werden kann.[br]Das heißt in der Vergangenheit hat man

0:11:08.715,0:11:12.675
versucht mit verschiedensten NFC[br]Lesegeräten an diese Figur heranzugehen

0:11:12.675,0:11:16.615
und wollte die dann auslesen und hat aber[br]erstmal nicht feststellen können was drin

0:11:16.615,0:11:22.252
ist zu der Funktion des privacy modes[br]kommen wir gleich noch mal detailliert,

0:11:22.252,0:11:26.846
aber hier noch mal eben kurz auch der[br]Vergleich. Wir haben uns natürlich dann

0:11:26.846,0:11:33.144
irgendwann versucht eigene srwx Chips zu[br]besorgen um vielleicht mit eigenen custom

0:11:33.144,0:11:38.940
Tags zu arbeiten, haben dort auch[br]natürlich in die Herstellerindustrie nach

0:11:38.940,0:11:44.539
China die Finger ausgestreckt, haben dort[br]allerhand Varianten durchgetestet, die

0:11:44.539,0:11:52.321
alle nicht funktionierten, bis wir dann[br]den SrwXL Tag als einzigen nutzbaren Chip

0:11:52.321,0:11:57.300
identifiziert hatten, haben aber auf dem[br]Weg dahin, auf der odissey dahin auch

0:11:57.300,0:12:02.934
gefälschte SrwXL Chips bekommen, die wir[br]in unserem Prozess bei der Analyse später

0:12:02.934,0:12:08.293
auch identifizieren konnten, fand auch NXP[br]sehr interessant, den wir auch welche

0:12:08.293,0:12:12.875
davon zur Verfügung gestellt haben. Jetzt[br]gerade in den Medien geht's ja um her NXP

0:12:12.875,0:12:17.872
ist über die letzten Jahre über ein[br]längeren Zeitraum von Hackern infiltriert

0:12:17.872,0:12:22.003
worden, die sich dort die neuesten[br]Datenheets und Daten der Chips

0:12:22.003,0:12:25.926
runtergeladen haben um dann auch[br]dementsprechend gefälschte Kopien selber

0:12:25.926,0:12:30.297
herzustellen. Also das ist uns auch über[br]ein Weg gekreuzt rechts in blauen Balken

0:12:30.297,0:12:35.362
sieht man mal den Vergleich der beiden[br]Chips. Im Mikroskop erkennt man in der

0:12:35.362,0:12:42.460
Bauform Unterschiede aber erstmal nicht[br]weiter spannend nur das als Randbemerkung.

0:12:42.460,0:12:49.160
So an der Stelle habe ich den privacy Mode[br]schon mal erklärt Gego erzähl uns was

0:12:49.160,0:12:54.608
darüber. Geggo: Genau der privacy Mode[br]klingt sehr luminös. Das ist ein spezieller

0:12:54.608,0:13:00.397
Modus bei diesen slix I Chips, bei denen[br]der Chips in einen Mod versetzt wird. Das

0:13:00.397,0:13:05.780
heißt der reagiert auf nichts auf nichts[br]außer die Kommandos zum entspnen aus dem

0:13:05.780,0:13:11.630
privacy Mode. Die Kryptographie nein so[br]will ich das gar nicht nennen die Methode

0:13:11.630,0:13:21.156
dahinter ist sehr speziell, sehr hohe[br]Sicherheitsstufe nicht. Man fragt einen

0:13:21.156,0:13:25.774
eine random number an und schickt dann[br]eine Antwort zurück. Das ist so sicher wie

0:13:25.774,0:13:29.546
an der Tür ein geheimes Passwort sagen um[br]und dann vorher noch eins addieren oder

0:13:29.546,0:13:35.919
so. Diesen Modus verwendet der TonieChip[br]oder der Chip in den Tonie Figuren um sich

0:13:35.919,0:13:41.020
unsichtbar zu machen vor irgendwelchen[br]Zugriffen mit dem Handy. So was macht die

0:13:41.020,0:13:46.034
Toniebox? Sie kennt diese Methode sie fragt[br]erst mal diesen random an schickt dann

0:13:46.034,0:13:52.001
diesen super geheimen Passwort Code mit[br]XOR verschlüsselt zurück und dann ist der

0:13:52.001,0:13:57.145
tag zugreifbar wie jeder andere Tag nfcv[br]Tags, die man so kaufen kann. Dann

0:13:57.145,0:14:02.013
passiert ein kleines Prozedera, es wird[br]die UID abgefragt ein paar andere Werte

0:14:02.013,0:14:08.033
und der Speicherinhalt der Figur, das sind[br]acht Blöcke die der Chip eigentlich hat.

0:14:08.033,0:14:12.840
Die Box frägt aber 9 Blöcke ab der 9.[br]Block ist nur dafür da um festzustellen ob

0:14:12.840,0:14:16.557
es ein Fake tag ist die dann auf dem neten[br]dann doch noch irgendwelche Daten

0:14:16.557,0:14:20.901
Antworten, also heißt die Tonies haben da[br]schon ein kleinen Check reingebaut, dass

0:14:20.901,0:14:25.226
nicht die beliebigsten Fake tags da[br]verwendet werden können. Gut, die UID wird

0:14:25.226,0:14:30.051
gespeichert und der Blog Content dann[br]speichert Box die Figur wieder und wird

0:14:30.051,0:14:34.371
nur noch über Präsenzdetektion geschaut,[br]ist diese Figur noch drauf. Beim

0:14:34.371,0:14:39.551
Aufstellen auf die Box passiert das ganze[br]und bin in einer halben Sekunde spielt die

0:14:39.551,0:14:43.672
Box die Musik ab. Was passiert wenn man[br]jetzt während dem Auslesen einfach die

0:14:43.672,0:14:47.244
Figur wegzieht? Das haben wir auch[br]festgestellt, ja dann ist diese Figur

0:14:47.244,0:14:54.035
lesbar wie jeder andere NFC Tag. Das heißt[br]man geht einfach nur her *lachen im

0:14:54.035,0:15:02.315
Publikum, anschließende Applaus* so.[br]X: Das hat das hat jetzt nicht viel mit

0:15:02.315,0:15:08.879
Hacken zu tun.[br]Y: also das ist doch doch das kann jedes

0:15:08.879,0:15:11.149
Kind.[br]<i>1. Person: lächelt</i>: Ob das so gedacht

0:15:11.149,0:15:14.476
war oder ob das so geplant war von der[br]Firma, die das entwickelt hat, wir haben

0:15:14.476,0:15:18.996
keine Ahnung. Auf jeden Fall funny, danach[br]kann man das Ding mit dem Handy auslesen

0:15:18.996,0:15:23.457
aber man kann nichts emulieren.[br]Person Z: Es gab mal kurz das Gerücht, wir

0:15:23.457,0:15:27.560
hätten mit einer Klopfmethode den NXP[br]Sicherheitschip geknackt. Ganz so ist es

0:15:27.560,0:15:33.543
nicht. Also ja gut danach schaut die Box[br]nur noch ist diese Figur da und das macht

0:15:33.543,0:15:38.680
sie dann mit dem addressed Mode get random[br]egal gut. Wenn wir uns dann diesen tag der

0:15:38.680,0:15:43.495
jetzt magischerweise entschlüsselt ist mal[br]genauer anschauen proxmark, der Einer oder

0:15:43.495,0:15:48.531
Andere kennt es, kann man per sys Info mal[br]gucken was steht da so in diesem in der

0:15:48.531,0:15:53.438
UID drin DSF ID die ganzen Dinger egal. Da[br]kommt die UID ja das ist jetzt eine geixte

0:15:53.438,0:15:57.380
UID von dem echten Tonie von mir und wenn[br]man dann noch den Memory dumpt, dann hat

0:15:57.380,0:16:01.355
man noch die 8 Blöcke da unten mit den[br]entsprechenden Speicherinhalt und wir

0:16:01.355,0:16:06.484
können sagen, was in dieser Figur steht[br]nein es ist nicht die Musik es ist die UID

0:16:06.484,0:16:11.598
die von NXP rein gelasert wurde auch immer[br]wurde und 32 Byte Dateninhalt. Jetzt

0:16:11.598,0:16:16.586
können man natürlich schauen ist es[br]random. Also wir haben keine Struktur

0:16:16.586,0:16:20.848
gefunden. Man könnte jetzt auch tausende[br]Tonis irgendwo auslesen, würde keiner tun.

0:16:20.848,0:16:22.781
Person dd: ne diesen Aufwand würde[br]niemand treiben

0:16:22.781,0:16:25.780
Geko: Nee würde niemand treiben und dann[br]würde mal feststellen, es ist eigentlich

0:16:25.780,0:16:30.802
von Zufallsdaten nicht zu unterscheiden[br]oder ausgeklügelter Hash. Aber damit haben

0:16:30.802,0:16:35.970
wir die Figur identifiziert und können[br]dann loslegen mit den üblichen Tools. Mit

0:16:35.970,0:16:40.517
einem was wie mit proxmark oder FLIper Zero[br]aber ganz so einfach ist es doch nicht.

0:16:40.517,0:16:43.782
Wir haben doch gerade was gelernt über den[br]privacy Mode, den muss man erstmal

0:16:43.782,0:16:47.285
deaktivieren oder dann auch drauf[br]reagieren. Aber gut dann bauen wir das

0:16:47.285,0:16:51.505
Ganze mal eben nach im proxmark 3[br]bekanntes Hardware Hacker Tool NFC Hacker

0:16:51.505,0:16:57.042
Tool war die Unlock Funktion nicht[br]implementiert, man kann auch nicht die

0:16:57.042,0:17:01.390
Kommandos einzeln senden und dann selber[br]mal schon im Taschenrechner diesen

0:17:01.390,0:17:06.982
hochsicheren kryptografischen Vorgang[br]nachimplementieren, weil das Feld des NFC

0:17:06.982,0:17:13.080
tags muss aktiv bleiben für die Abfrage[br]des Randoms und dem Setzen des Passwords.

0:17:13.080,0:17:19.632
Gut kein Aufwand schell implementiert[br]eigenen fork vom glob ICEM Repo war von

0:17:19.632,0:17:26.020
proxmk 3 implementiert. Dann nächste[br]Schritt emulieren, ja Specs runterhacken.

0:17:26.020,0:17:30.790
Das also das kann jeder, also auch diesen[br]fork mal kurz erweitert um die slixl

0:17:30.790,0:17:34.800
Emulation und auch das implementiert. Dann[br]kam so langsam dieses Flipper Zero Dings.

0:17:34.800,0:17:38.173
Ich weiß nicht ob die eine oder andere das[br]kennen, das ist auch ganz lustiges

0:17:38.173,0:17:43.239
Spielzeug für Hacker. Mensch der hat auch[br]irgendwas mit NFC Emulation und auslesen,

0:17:43.239,0:17:47.307
passt, implementier mal auch. Also die[br]Unlock Funktion easy peasy einfach mal

0:17:47.307,0:17:52.533
kurz nachimplementieren Feld Anlassen[br]alles okay? Bei der Emulation das hast

0:17:52.533,0:17:59.044
dann anders aus. Der Chip der hier verbaut ist[br]kann kein Slicks emuliert, er kann auch

0:17:59.044,0:18:04.900
nicht wirklich nfcv V implementieren außer[br]UID kann das Ding nichts, aber er kann den

0:18:04.900,0:18:09.937
Pass through Modus. Pass through heißt man[br]moduliert vom Microcontroller aus die

0:18:09.937,0:18:16.921
Feldstärke über opins und bekommt im[br]Umkehrschluss die Gegenmodulation des NFC

0:18:16.921,0:18:25.196
Chips über iopin zurück. Das heißt ja man[br]fängt halt mal an warum nicht mach mal banging

0:18:25.196,0:18:31.566
von ISO 15693 kling einfach dann sukzessiv merkt [br]man schon Mensch gar nicht? *einzelne

0:18:31.566,0:18:35.535
gelächter* So toll Microcontroller für die[br]ganzen millisekundenweise da komplett

0:18:35.535,0:18:43.361
blocken iO tockeln und ganz ehrlich 256 Byte[br]Datentransfers was NFCV kann, das dauert

0:18:43.361,0:18:48.452
schon seine Zeit. Dann habe ich halt[br]anfangen das ganze mit DMA unterstützt,

0:18:48.452,0:18:53.531
kann man ein bisschen vorberechnen, aber[br]auch da hat sich festgestellt Mensch für

0:18:53.531,0:18:59.147
256 Byte oder 255 by Speicherinhalt, wir[br]bräuchten 140 KB RAM nur vorberechnet, das

0:18:59.147,0:19:04.008
kostet auch seine Zeit. Also war das[br]Ergebnis ein bisschen so Ringbuffer und

0:19:04.008,0:19:08.797
just in time vorberechnen war dann doch[br]ein kleines Unterfangen und größerer Pull

0:19:08.797,0:19:13.668
Request, die auch die Kollegen von Flipper[br]Zero death Team dann irgendwann Mitte

0:19:13.668,0:19:17.590
dieses Jahres irgendwann endlich[br]abgesegnet haben. Rechts sieht man noch

0:19:17.590,0:19:21.797
sagt mal Bild oben ein Original NXP Tag [br]unten der Flippers Zero der

0:19:21.797,0:19:26.987
da der Toniebox jo ich bin ein Benjamin [br]Blümchen Tonie. <i>Einzelne Gelächter</i>

0:19:26.987,0:19:37.362
Gut <i>Applaus</i>[br]damit haben wir ein Perk Unlock so die NFC

0:19:37.362,0:19:39.531
Geschichte kann man emulieren [br]kann man auslesen.

0:19:39.531,0:19:42.478
Das ist schon eins der drei[br]Achsen die da die wir brauchen um

0:19:42.478,0:19:45.648
lustige Dinge mit der Box zu machen.[br]G: Genau über die drei Achsen

0:19:45.648,0:19:49.258
sprechen wir bisschen näher. NFC haben wir[br]jetzt gerade gelernt, können wir.

0:19:49.258,0:19:54.133
Emulieren wir kennen die ganzen Daten wie[br]es rein und raus muss es gibt ja noch die

0:19:54.133,0:19:59.301
SD-Karte. Was ist denn auf der SD-Karte[br]drauf? Also erstmal war ganz einfach uns

0:19:59.301,0:20:03.664
gemacht worden es ist eine FAT 32[br]formatierte SD-Karte die wir ganz frei

0:20:03.664,0:20:10.243
lesen konnten die Ordnerstruktur sah[br]relativ einfach aus: random Zahlen Namen,

0:20:10.243,0:20:16.895
Ordnernamen wo eine Datei drin lag ohne[br]Endung auch mit uns erstmal random Nummer

0:20:16.895,0:20:21.500
aussehend. Letztendlich haben wir aber[br]festgestellt, diese Zahlen sind gar nicht

0:20:21.500,0:20:26.334
so random, die haben doch schon irgendwas[br]mit der UID zu tun. Also relativ einfach

0:20:26.334,0:20:33.655
ist die UID im reverse Darstellung als[br]Ordnername verwendet worden und als

0:20:33.655,0:20:39.472
Dateiname sodass rein über die Ordner und[br]Dateinamen Benennung die Zuordnung zu

0:20:39.472,0:20:46.046
einem NFC tag gegeben ist. Das haben wir[br]vorhin gelernt, wir haben custom tags

0:20:46.046,0:20:51.238
besorgt, die auch eine UID haben und der[br]erste Versuch war natürlich das mal

0:20:51.238,0:20:58.267
umzubenennen und siehe da: im Offline[br]Modus ich nehme das mal vorweg konnte man

0:20:58.267,0:21:02.731
die dann auch auch abspielen. Was ist denn[br]auf der SD-Karte noch drauf? die Datei

0:21:02.731,0:21:09.551
selber die Datei selber wenn man sich die[br]anschaute fand man 4 KB Blöcke die

0:21:09.551,0:21:16.630
verschiedenste Inhalte hatten der erste 4[br]KB Block war wirklich im protobuff

0:21:16.630,0:21:24.688
gespeicherte Informationen passend zum[br]Tonie Daten wie Track Anzahl Sprungmarken

0:21:24.688,0:21:31.578
zu den Audio Inhalten aber auch eine Audio[br]ID und Hashwert. Was wir dort nicht

0:21:31.578,0:21:35.968
gefunden haben ist ein schöner[br]klartextname des Tonis oder der Geschichte

0:21:35.968,0:21:40.230
oder vielleicht eine Artikelnummer oder[br]eine interne Nummer die den Inhalt

0:21:40.230,0:21:46.575
identifizieren würde. Das gab es nicht. Es[br]gab nur die Audio ID was letztendlich beim

0:21:46.575,0:21:53.120
Codieren des Audioinhaltes als Unix[br]Timestamp verwendet wurde. Das heißt, wir

0:21:53.120,0:21:58.803
wussten wann ist der Audioinhalt erstellt[br]aber nicht welcher Inhalt. Die weiteren 4k

0:21:58.803,0:22:04.093
Blöcke sind jeweils Opus Teile nicht[br]verändert einfach komplett hinten

0:22:04.093,0:22:09.956
angehängt, das heißt einfachster Schritt[br]ersten 4k Block abschneiden und man konnte

0:22:09.956,0:22:15.768
es ganz normal mit ein ock opusfähigen[br]Spieler abspielen ohne treckination weil

0:22:15.768,0:22:19.838
die sind ja im ersten 4k Block. Mit diesen[br]Informationen haben wir uns dann

0:22:19.838,0:22:25.360
hingesetzt und haben eigene Inhalte in[br]Opus umgewandelt und haben diese dann mit

0:22:25.360,0:22:31.819
einem eigenen Header versehen und auf der[br]Toniebox getestet und siehe da, wir

0:22:31.819,0:22:38.902
konnten auch das genauso darstellen und[br]abspielen. Was machen wir mit der

0:22:38.902,0:22:44.346
Information? Was haben wir noch?[br]Entschuldigung ach das ging auch die OPus

0:22:44.346,0:22:50.414
pages. Eine kleine Besonderheit diese AdOpus[br]pages mussten immer ein vollen 4k Block

0:22:50.414,0:22:56.158
darstellen. Das heißt wir durften die Tonie[br]Datei nie irgendwo mit dem Audioinhalt

0:22:56.158,0:23:00.533
enden lassen sondern wir muss en den[br]letzten Block immer noch auf 4k auffüllen,

0:23:00.533,0:23:09.172
ansonsten hat die Box auch gestreickt. So[br]jetzt haben wir quasi das Dateiformat

0:23:09.172,0:23:14.440
erkannt, ausgelesen, analysiert,[br]entschlüsselt würde ich nicht sagen, weil

0:23:14.440,0:23:18.687
da war nicht viel verschlüsselt und wir[br]wissen wie die RFID Funktion

0:23:18.687,0:23:23.952
funktionieren. Was machen wir jetzt mit[br]dem Wissen? Relativ simpel, lass uns eine

0:23:23.952,0:23:29.113
Software bauen, die anderen Leuten[br]ermöglicht eigene Inhalte auf die Box zu

0:23:29.113,0:23:36.136
bringen. Das heißt unser erster step war[br]Teddy Bench. Bevor wir jetzt reingehen. Um

0:23:36.136,0:23:42.152
das zu benutzen müssen wir aber erstmal[br]Zugriff zur SD-Karte bekommen. Jetzt

0:23:42.152,0:23:46.087
zeigen wir euch mal kurz wie die toniebox[br]aufgebaut ist und wie schnell man den

0:23:46.087,0:23:56.137
Zugriff auf die SD-Karte bekommen kann.[br]Das ist ein Bayonettverschluss,

0:23:56.137,0:24:01.186
idealerweise drückt man den auf dem[br]Fliesenboden und dreht den um 15°, dann

0:24:01.186,0:24:06.190
springt der auf mit einer Schraube[br]gesichert. Also hier großes Kompliment an

0:24:06.190,0:24:11.194
die Produkte Produktdesigner. Ich habe[br]selten ein so leicht wartbares Produkt in

0:24:11.194,0:24:20.520
den Händen gehabt. <i>Applaus</i>[br]<i>einzelne Gelächter</i>

0:24:20.520,0:24:23.370
Nein das darf man ja mal gerne[br]erwähnen, weil das sind ja versteckte

0:24:23.370,0:24:28.140
Sachen in dem Produkt ihr seht[br]zerstörungsfrei ohne Klebeaktion oder

0:24:28.140,0:24:35.062
clipaktion ist dieses Produkt schnell[br]erreichbar. SD-Karte raus und wie vorhin

0:24:35.062,0:24:40.804
schon gesagt, in den nächsten SD-Karten[br]Leser oder direkt in Rechner reinstecken

0:24:40.804,0:24:45.552
um dann die Inhalte zu bearbeiten. Aber[br]welche Inhalte haben wir denn? Ich habe

0:24:45.552,0:24:49.922
vorhin gesagt, auf dieser Karte sind jetzt[br]haufenweise einzelne dateils Dateien die

0:24:49.922,0:24:56.220
wir jetzt aber gerade nicht ansprechen[br]können also sind wir angefangen haben eine

0:24:56.220,0:25:02.783
Datenbank aufgebaut. ** Über alle Audio[br]IDs und Hashwerte die wir finden konnten

0:25:02.783,0:25:08.852
und haben die dann den Artikelnummern von[br]den Tonies und den den echten Namen

0:25:08.852,0:25:22.686
zugeordnet. Mittlerweile haben wir dort[br]1100 Tonis drin. <i>Applaus</i>

0:25:22.686,0:25:27.600
Ich weiß nicht bei uns gibt's einen Müller[br]der diese großen Regale hat mit den Tonis,

0:25:27.600,0:25:32.268
ich habe da noch nie 1100 Stück gesehen.[br]Das liegt daran, weil Tonis mittlerweile

0:25:32.268,0:25:37.748
so erfolgreich ist, die sind in der UK[br]mittlerweile sehr etabliert, in den

0:25:37.748,0:25:41.680
Staaten, in den USA sehr sehr gut[br]etabliert, in Frankreich etabliert.

0:25:41.680,0:25:46.636
Mittlerweile gibt es auch eine Hong Kong[br]Edition. Das heißt da kommen schon relativ

0:25:46.636,0:25:51.131
viele gleiche Tonis auch in verschiedenen[br]Sprachen selbst zwischen den

0:25:51.131,0:25:55.710
amerikanischen und englischen Tonis gibt[br]es Unterschiede und diese Information

0:25:55.710,0:26:00.051
haben wir erstmal zusammeng gesammelt und[br]sind auch dort erstmal unser Community

0:26:00.051,0:26:05.820
dankbar dass die uns dort unterstützen die[br]Hashwerte und die Audio IDs zu bekommen.

0:26:05.820,0:26:11.435
Diese Information nutzen wir jetzt um in[br]unserer Software auch die richtigen Icons

0:26:11.435,0:26:18.036
darzustellen <i>Gelächter im Publikum,[br]einzelne Applaus</i> Das heißt die Software

0:26:18.036,0:26:25.581
liest die SD-Karte aus, zeigt den[br]kompletten Content an und lässt uns dann

0:26:25.581,0:26:31.460
etliche Dinge hiermit machen. Zum einen[br]einfacher Schritt die UID Zuordnung die

0:26:31.460,0:26:36.494
Verlinkung zwischen dem NFC Tag und dem[br]audioofile zu verändern. Ihr seht das

0:26:36.494,0:26:41.522
jetzt gerade hier unten die tags fangen[br]alle mit dem e00403 an, das ist die

0:26:41.522,0:26:48.960
Identifikation des Standards des nfxtags[br]und dahinter die Bites sind dann die

0:26:48.960,0:26:56.673
eindeutige Zuordnung aus der Tonie[br]Cloud. Das heißt all diese IDs werden bei

0:26:56.673,0:27:02.404
Produktion schon in der Cloud zu einem[br]audiospiel zugeordnet und wir können jetzt

0:27:02.404,0:27:11.365
hiermit die Tonies komplett neu zuordnen[br]verlinken. So jetzt haben wir vorhin über

0:27:11.365,0:27:19.260
die Privacy Mode gesprochen. Wir haben[br]deswegen hier auch in der teddybench eine

0:27:19.260,0:27:24.341
Integration des proxmarks ermöglicht, der[br]wird einfach per USB angeschlossen und zur

0:27:24.341,0:27:29.761
Identifikation der UID kann man jetzt[br]einfach das Tag auf dem proxmarkt Lesen.

0:27:29.761,0:27:36.484
Die Software liest den die passende UID[br]aus, ordnet die jetzt dem Audio Teil zu,

0:27:36.484,0:27:43.395
die SD-Karte, steckt man zurück in die[br]Toniebox und kann dann erfolgreich mit

0:27:43.395,0:27:50.748
einem custom tag... Audio haben wir nicht,[br]ne? neu . Macht nichts aber ihr würdet

0:27:50.748,0:27:57.441
jetzt ein schönes bayerisches Kinderlied[br]hören, was so definitiv nicht von Tonies

0:27:57.441,0:28:02.896
angeboten wird aber es funktioniert, das[br]kann ich hier versichern. Das ist ein

0:28:02.896,0:28:08.194
Stück eines Kinderzuges wo ein NFC Tech[br]drunter geklebt wurde und die Box spielt

0:28:08.194,0:28:17.509
das einwandfrei ab.[br]<i>Applaus</i>

0:28:17.509,0:28:21.925
Wir selber sind, haben wir vorhin schon[br]gehört, heute zum ersten Mal physisch

0:28:21.925,0:28:26.896
zusammen. Wir sind organisiert in einer[br]telegram chatgruppe, die mittlerweile über

0:28:26.896,0:28:32.760
800 Community Mitglieder hat, die dort[br]fleißig am Basteln sind. Hier sind einige

0:28:32.760,0:28:39.231
Beispiele so haben wir z.B. die paw Patrol[br]Figuren im Angebot gehabt oder wurden

0:28:39.231,0:28:47.918
gebastelt bevor Tonie diese als offizielle[br]Figuren vorstellen konnte. <i>lachen</i> Des

0:28:47.918,0:28:56.507
Weiteren wer einmal mit 40 Tonis in Urlaub[br]gefahren ist weiß wie viel Volumen die im

0:28:56.507,0:29:01.613
Auto einnehmen ja? Wenn die Kinder die[br]alle mitschleppen wollen. Da kam dann die

0:29:01.613,0:29:07.020
Idee auf einen travel Tonie oder ein[br]Cointech zu entwickeln, da hat man einfach

0:29:07.020,0:29:12.557
eine 40 mm Münzhülse die Münzsamler sonst[br]verwenden genommen, hat dort ein dieser

0:29:12.557,0:29:18.260
NFC Tex reingemacht und hat dann, das[br]sieht man in der Mitte und der blaue Ring,

0:29:18.260,0:29:23.380
hat dann kleine Discs mit Magnet drin, die[br]genau die Funktion dann unterwegs

0:29:23.380,0:29:27.101
übernehmen einfach mit demselben Inhalt[br]des Originaltonis verlinkt, den man ja zu

0:29:27.101,0:29:33.290
Hause hat und kann dann unterwegs auch[br]platzsparender sein. Hier sieht man noch

0:29:33.290,0:29:37.667
mal den Travel Tonie, der hier unten[br]zerlegt ist, sind einfach diese

0:29:37.667,0:29:42.697
durchsichtigen coinex. Wir haben aber auch[br]viele laserfiguren oder 3D druckfiguren

0:29:42.697,0:29:48.936
gesehen so hat da jeder seine eigene[br]Bastelmethode um seine Tex schön zu

0:29:48.936,0:29:55.700
verpacken für die Kinder. So jetzt haben[br]wir zwei Aspekte gehört, aber es gab ja

0:29:55.700,0:29:59.444
noch die Cloud. Darüber würden wir auch[br]noch mal kurz gerne sprechen.

0:29:59.444,0:30:01.543
G: Ja bit nehme ich mal[br]M: Danke

0:30:01.543,0:30:07.021
G: Genau, die Cloud ist eigentlich recht[br]simple aufgebaut, wenn man es einmal

0:30:07.021,0:30:11.230
verstanden hat. Der Weg dahin war ziemlich[br]steinig aber im Endeffekt ist es einfach

0:30:11.230,0:30:17.735
nur https, wo die Authentifizierung über[br]ein Kleinzertifikat passiert, das ist ein

0:30:17.735,0:30:23.152
Ersatz für Benutzername Passwort und[br]zusätzlich prüft die Box ob das Gegenüber

0:30:23.152,0:30:27.110
wirklich der Tonie Server ist,[br]dementsprechend können wir uns nicht

0:30:27.110,0:30:31.328
einfach dazwischen klemmen. Das haben wir[br]aber mit dem ausgetauschten Zertifikat

0:30:31.328,0:30:36.892
dann hinbekommen. Und der erste Teil der[br]Schnittstelle der ist erstmal über get

0:30:36.892,0:30:41.409
ziemlich simpel, einmal kriegen wir die[br]aktuelle Uhrzeit vom Server zurück, dann

0:30:41.409,0:30:46.277
haben wir die Möglichkeit Firmwareupdates[br]zu laden dann, hatten wir eben drüber

0:30:46.277,0:30:49.787
gesprochen, dass die Tonifigur ein[br]Speicherinhalt hat und dieser

0:30:49.787,0:30:54.431
Speicherinhalt wird als Passwort verwendet[br]um den Toni über die V2 Content

0:30:54.431,0:30:59.603
Schnittstelle herunterzuladen und[br]andererseits in dem eigenen Account über

0:30:59.603,0:31:03.267
claim dann im Account anzuzeigen, wenn man[br]die App öffnet dass man den Toni auch

0:31:03.267,0:31:08.974
sieht. Weiterhin gibt's noch die V1[br]Schnittstelle ohne Authentifizierung um

0:31:08.974,0:31:14.660
System Sounds herunterzuladen. Und im[br]dritten Block, da ist am interessantesten

0:31:14.660,0:31:19.624
der freshness check das ist das, wenn was[br]passiert wenn man ein Uhr lange drückt die

0:31:19.624,0:31:25.084
Box ein bisschen rödelt und dann sagt: oh[br]ja oder ein Ping macht. Damit prüft die

0:31:25.084,0:31:30.671
Box welche Inhalt auf der Box sind und[br]markiert die Inhalte die nicht aktuell

0:31:30.671,0:31:34.383
sind zum Löschen. Das kennt man wenn man[br]kreativ Toni hat, den aktualisiert dann

0:31:34.383,0:31:39.080
drückt man das einmal stellt ihn drauf und[br]hat den neuen Inhalt dann verfügbar. Ja

0:31:39.080,0:31:43.972
und das war's auch schon. Wir haben jetzt[br]die toni box komplett verstanden und

0:31:43.972,0:31:48.312
stehen jetzt alle Türen offen. Da haben[br]wir uns gedacht, was machen wir denn jetzt

0:31:48.312,0:31:53.511
mit unserem ganzen wissen? Ja wir bauen[br]eigene Cloud ein bisschen C mit Prise

0:31:53.511,0:31:58.739
Docker und schon haben wir unseren eigenen[br]Toni Box Cloud Server, der sich zwischen

0:31:58.739,0:32:04.069
die Toniebox Cloud und die eigentliche Box[br]hängt. Sieht dann beispielsweise so aus,

0:32:04.069,0:32:10.038
natürlich die Tonis Jason wieder im[br]Einsatz ne. Die Nutzung ist für jemand der

0:32:10.038,0:32:16.226
technisch das hinbekommt recht einfach.[br]Man muss nur die Zertifikate von der Box

0:32:16.226,0:32:22.635
herunterladen und die Certificate[br]Authority durch des Teddy Cloud Servers

0:32:22.635,0:32:29.729
ersetzen und dementsprechend kann man dann[br]entweder eigene Inhalte über eine taf-

0:32:29.729,0:32:35.278
Datei die man entweder über Ted teddybench[br]generiert oder über das Webinterface

0:32:35.278,0:32:40.145
anlegt an die Toniebox ausspielen.[br]Zusätzlich gibt es auch eine passthrow,

0:32:40.145,0:32:44.839
Funktion das heißt man kann original Tonie[br]aufstellen, die der Inhalt wird in unser

0:32:44.839,0:32:50.797
eigenen Teddy Cloud gespeichert und an die[br]Box weitergereicht. Und noch als kleines

0:32:50.797,0:32:56.195
Goodie haben wir noch eine esp32 Firmware[br]Patch Funktion drin, dafür brauchen wir

0:32:56.195,0:33:00.320
aber trotzdem physischen Zugang zur Box.[br]Das funktioniert nicht einfach über übers

0:33:00.320,0:33:04.320
Netz. Es wäre schön wenn es so wäre, aber[br]das geht zum aktuellen Zeitpunkt no leider

0:33:04.320,0:33:08.680
noch nicht. Dann ist uns aufgefallen, wo[br]wir uns die Firmware ein bisschen

0:33:08.680,0:33:13.880
angesehen haben. Es gibt noch eine zweite[br]Domaine neben der Proton für die

0:33:13.880,0:33:19.560
Datenkommunikation nämlich rtnl und diese[br]Funktion wird überall in der Firmware

0:33:19.560,0:33:26.160
aufgerufen wirklich überall. Und man[br]drückt das Ohr, es geht request aus, man

0:33:26.160,0:33:30.360
stellt die Toni auf, es geht request raus,[br]man dreht die Box um, es geht ein Request

0:33:30.360,0:33:34.600
raus. Also wirklich alles mögliche geht[br]darüber, das ist alles fein verschlüsselt

0:33:36.320,0:33:42.480
ja, beim Einrichten werden interessante[br]Daten übertragen, ja. Aber wir dachten wir

0:33:42.480,0:33:48.200
uns, wir haben die Daten doch schon,[br]machen wir was damit und binden die Box

0:33:48.200,0:33:52.980
einfach mal in Home assistant ein und in[br]mqtt.

0:33:52.980,0:34:00.960
<i>Lachen, Applaus</i>

0:34:00.960,0:34:05.920
So jetzt noch mal kurz das ganze in[br]Aktion: ne die erste wird aufgespielt,

0:34:05.920,0:34:10.480
Inhalt wird angezeigt. Als kleines goodi[br]wird der Name unten noch auf dem LCD

0:34:10.480,0:34:15.960
Display angezeigt. <i>Einige Gelächter,[br]applaus</i> Der nächste Tonie, das gleiche

0:34:15.960,0:34:20.920
Spiel, jetzt noch das Klo. Ich weiß nicht,[br]wer wer das kennt, ist ein super lustiger

0:34:20.920,0:34:28.520
Tonie und da gehen die LEDs noch mit an und[br]als kleine Spielerei ein custom TEAG, der

0:34:28.520,0:34:32.360
kein Inhalt abspielt aber in Home[br]assistant dann eigene Inhalte triggert,

0:34:32.360,0:34:36.240
über Spotify was abspielt und man kann[br]dann sogar die Lautstärke über die Ohren

0:34:36.240,0:34:49.160
von seiner Anlage dann regeln, wenn man[br]das möchte. <i>Lachen, Applaus</i> Ja dann

0:34:49.160,0:34:53.400
übergebe ich mal an Gekko Thema[br]Datenschutz. Bei so vielen Daten ist das

0:34:53.400,0:34:56.400
sicherlich interessant.[br]Gekko: Das ist alles ganz safe das ist

0:34:56.400,0:35:00.911
alles https-verschlüsselt. <i>einzelne Gelächter</i> [br]<i>Gelächter</i>

0:35:00.911,0:35:03.520
Ja gut[br]also Scherz bei Seite. Tonis hat ja auch

0:35:03.520,0:35:08.080
ein eine Datenschutzerklärung, die haben[br]uns dann mal genauer angeschaut und in der

0:35:08.080,0:35:11.360
Datenschutzerklärung steht eine ganze[br]Menge. Aber bevor wir auf die

0:35:11.360,0:35:14.800
Datenschutzerklärung gehen wollen noch mal[br]rekapitulieren. Wir haben zwei Domains

0:35:14.800,0:35:20.160
irgendwas mit protde TBS to da sind die[br]Inhalte drauf und dieses gerade erwähnte

0:35:20.160,0:35:25.520
rtnl da ist dann irgendwie protobff[br]codiert alles was da im Endeffekt in einem

0:35:25.520,0:35:29.720
log file oder Terminal erscheinen würde[br]irgendwie wird es darüber genudelt. Aber

0:35:29.720,0:35:35.000
alles DSGV konform und in Deutschland[br]gehostet bei Hezner glaube ich also von dem

0:35:35.000,0:35:39.080
her sollte eigentlich da überall Siegel[br]dran sein. Nur ist es ein bisschen komisch,

0:35:39.080,0:35:42.720
man stellt ein Tonie auf es wird in die[br]Cloud geloggt, ändert die Lautstärke, das

0:35:42.720,0:35:48.280
wird in die Cloud geloggt, man drückt[br]irgendwie klopft auf die Box um Titel zu

0:35:48.280,0:35:52.560
skippen, es geht in die Cloud. WLAN[br]Information gehen in die Cloud, also da

0:35:52.560,0:35:57.280
kann man wirklich froh sein, dass das Ding[br]kein Mikrofon hat. <i>gelächter</i> Weil ich

0:35:57.280,0:36:04.000
wäre mir nicht sicher was da so passiert.[br]Datenschutzerklärung: eine Wall of Text,

0:36:04.000,0:36:08.600
aber das interessante aus diesem ganzen[br]Katalog da ist im Endeffekt dieser

0:36:08.600,0:36:12.800
Abschnitt. Da wird ganz deutlich erklärt[br]was passiert bei der Betriebnahme der

0:36:12.800,0:36:16.920
erstmaligen, beim Anschalten, beim[br]Aufstellen eines Tonies, beim skippen. Also

0:36:16.920,0:36:21.600
wenn man da auf die Box klopft und das[br]nächste Lied herzuholen, da wird irgendwas

0:36:21.600,0:36:29.040
übertragen. Alles mit Client Zertifikat,[br]IP-Adresse Timestamp. Beim nutzen genau

0:36:29.040,0:36:34.720
hier, noch Ladestation anschließen etc.[br]Und beim Einrichten wird dann WLAN

0:36:34.720,0:36:39.280
Information irgendwas mit SSIDs wird[br]geloggt die verfügbaren Netze ist aber bei der

0:36:39.280,0:36:44.280
Einrichtung also ganz dick fett markiert[br]Einrichtung, also alles safe mein Gott,

0:36:44.280,0:36:49.520
das eine Mal passt schon. Und alle[br]Informationen werden, steht so, anonym

0:36:49.520,0:36:55.080
ermittelt. Sie werden anonym ermittelt,[br]sobald man aber seine toniebox ID nennt,

0:36:55.080,0:37:00.120
kann man es plötzlich mit der Person wier[br]zuordnen. Also aus der IT oder aus

0:37:00.120,0:37:03.080
Informatik ich kenne ich den Begriff[br]anonym aus einer anderen Ecke. Für mich

0:37:03.080,0:37:08.480
ist es Pseudonym, pseudonomisiert, nicht[br]anonym, aber okay. Ich kenne mich da nicht so

0:37:08.480,0:37:11.480
aus. Gut also er noch mal angeschaut, was[br]haben wir denn in dieser Tonie Cloud?

0:37:11.480,0:37:16.800
Irgendwie so real name Box ID etc. Machen[br]wir doch mal eine Anfrage und gucken was

0:37:16.800,0:37:21.160
da so kommt von Tonies und die haben da[br]auch promt binnen vier Wochen die

0:37:21.160,0:37:26.240
Information hier zusammengetragen und mir[br]erklärt was ich schon wusste, also meine

0:37:26.240,0:37:30.760
E-Mail Adresse, mein Name, der angegeben[br]wurde, die Tonies die ich habe, okay passt.

0:37:30.760,0:37:34.640
Aber was ist jetzt mit dem anderen Zeug,[br]da war doch noch was? Egal aber das ist

0:37:34.640,0:37:38.920
hier DSG konform das Hammer Haken dran,[br]passt, alles gut gemacht. Aber noch mal,

0:37:38.920,0:37:42.800
wir haben doch noch Informationen. Wie[br]jetzt, irgendwas mit WLAN ist es, IDs

0:37:42.800,0:37:47.520
Tastendrücke etc.? Was ist damit? Noch mal[br]explizit eine Anfrage gemacht. Nein, wo

0:37:47.520,0:37:52.120
sind diese Informationen von diesem Server[br]die mir genannt haben? Da kamm die

0:37:52.120,0:37:56.720
Rückmeldung: ja ne Moment, das ist alles[br]anonym! Jede Zeile in dieser Datenbank,

0:37:56.720,0:38:03.000
ich nehme mal an die sieht so aus, wie[br]hier dargestellt, ist nur mit einem Box ID

0:38:03.000,0:38:07.000
Dingens verknüpft, nicht mit meinem[br]Realnamen. Damit ist es nicht

0:38:07.000,0:38:15.360
personbezogen, sondern anonym. <i>lachen</i> Ja[br]okay, gut, also das ist Dsgvo konform <i>einzelne Gelächter</i>

0:38:16.080,0:38:21.200
keine Ahnung ich kenne mich da nicht so[br]aus, müssen wir halt mal glauben. Aber

0:38:21.200,0:38:24.520
jetzt noch mal Informatiker oder man muss[br]ja Informatik studiert haben um zu

0:38:24.520,0:38:27.360
verstehen, mensch da gibt's ja die[br]Möglichkeit Tabellen zu kombiniert irgend

0:38:27.360,0:38:36.360
so SQL <i>lachen</i>, outer join, okay aber wie[br]gesagt, das ist dies DSGVO konform und wir

0:38:36.360,0:38:40.480
sind keine Anwälte, wir sind keine[br]Juristen, wir kennen uns damit nicht aus.

0:38:40.480,0:38:45.120
Von dem her mag das so sein, keine Ahnung.[br]Und uns ist noch was anderes aufgefallen,

0:38:45.120,0:38:49.880
Esp32 Box im Betrieb nehmen, irgendwie sind[br]da immer Namen über diese rtnl Logs

0:38:49.880,0:38:54.120
gekommen, die Moment, das hat doch nichts[br]mit mir zu tun, das waren doch SSIDs in

0:38:54.120,0:39:00.960
der Nähe. Mensch ich probiere mal was.[br]<i>einzelne Gelächter</i> Es gibt mit ESP32,

0:39:00.960,0:39:04.000
wenn man so ein eigenen Microcontroller[br]hinstelt, die Möglichkeit hier mal

0:39:04.000,0:39:10.400
irgendwelche Fake SSIDs aufzubauen. Und[br]dann rödelt der dann tausende Fake SSIDs

0:39:10.400,0:39:14.200
los. Machen wir das mal bei der Box. Was[br]passiert dann wenn die Box diese SSIDs

0:39:14.200,0:39:19.760
sieht: BAM! Alle Informationen, die hier[br]so sieht, mein Gäste WLAN, ich habe die

0:39:19.760,0:39:23.040
Box nie mit dem Gästewlan verbunden, aber[br]auch mit dieser "if you can read this",

0:39:23.040,0:39:28.720
das kam alles über die debug Logs zum Tonie[br]Cloud Server. Aber keine Angst alles DSGVO

0:39:28.720,0:39:35.080
konform und anonym. Gut sagt man na gut[br]aber wer jetzt da keine Lust drauf hat

0:39:35.080,0:39:38.000
diese Information irgendwie DAU und[br]preiszugeben der darf ja natürlich gerne

0:39:38.000,0:39:47.240
auch Alternativen nutzen und da haben wir[br]ja <i>lachen</i> da haben wir ja dann auch noch

0:39:47.240,0:39:51.640
ein paar kleine Alternativen vorbereitet,[br]die wir noch mal kurz antiasern bitte: die

0:39:51.640,0:39:56.560
hackiebox und...[br]G: Ich nehme den hackiebox und hackiebox

0:39:56.560,0:40:01.640
hatten wir eben ja schon angesprochen. Wir[br]haben für die CC 3200 Variante eine eigene

0:40:01.640,0:40:05.760
Firmware geschrieben und ein eigenen[br]Bootloader. Fangen wir mit der Custom

0:40:05.760,0:40:09.840
Firmware einfach mal an. Das ist mehr oder[br]weniger Proof of Concept, damit kann man

0:40:09.840,0:40:15.080
Dateien auf die Box hoch und runterladen,[br]auf den Flash aber auch auf die microSD.

0:40:15.080,0:40:18.720
Das ist halt ganz praktisch man möchte die[br]Box nicht immer öffnen den Tech Connector

0:40:18.720,0:40:24.960
dran stecken um eine Datei auf Flash[br]irgendwie auszutauschen. Und zusätzlich

0:40:24.960,0:40:28.960
ist es ganz praktisch Box zu reparieren,[br]weil man kann gucken, funktioniert die

0:40:28.960,0:40:34.400
Audio Schnittstelle, funktioniert der FD,[br]ist der Akku ok, dann kann ich in 24

0:40:34.400,0:40:41.280
Stunden Test machen, gucken wie lange der[br]Akku hält so. Eben schon angesprochen, ein

0:40:41.280,0:40:46.000
Bootloader wäre ganz praktisch. Den haben[br]wir dann auch implementiert. Da war dann

0:40:46.000,0:40:51.360
die Idee, ok wir installieren erstmals im[br]Flash der Box einen Preloader der einfach

0:40:51.360,0:40:56.560
nur eine Datei auf der Micro sdkarte lädt.[br]Das heißt in Zukunft kann jeder einfach

0:40:56.560,0:41:00.480
dann die Micro SD-Karte raus und die[br]Dateien dementsprechend dort verändern und

0:41:00.480,0:41:06.440
muss nicht mehr an den Flash. Ist erlaubt[br]einerseits das Booten der Originalfirmware

0:41:06.440,0:41:10.680
andererseits kann man auch die Custom[br]Firmware starten und zusätzlich kann man

0:41:10.680,0:41:15.000
dann wirklich live patching betreiben, das[br]heißt die Originalfirmware liegt dort, ich

0:41:15.000,0:41:18.520
aktiviere die Patches, die ich haben will[br]in der Konfigurationsdatei, und kann dann

0:41:18.520,0:41:22.520
beispielsweise sagen, ok der privacy[br]Mode soll abgeschaltet bleiben und nicht

0:41:22.520,0:41:29.160
wieder eingeschaltet werden. Andererseits[br]haben wir ja auch andere Text sli die Sli

0:41:29.160,0:41:33.880
Gruppe nenne ich einfach mal dann ist der[br]Check über die UID weg, da ist der Check

0:41:33.880,0:41:36.680
über die acht Blöcke weg und[br]dementsprechend kann man alle Text

0:41:36.680,0:41:43.440
verwenden. Man kann die Block, die Cloud[br]hard blockieren, wenn man das möchte, und

0:41:43.440,0:41:49.440
man kann auch die URLs der Cloud und die[br]ca dementsprechend dynamisch einsetzen.

0:41:49.440,0:41:54.240
Und das erlaut dann zwischen der Original-[br]Firmware mit der Originalcoud und der

0:41:54.240,0:41:57.520
eigenen Cloud zu wechseln, wenn man das[br]möchte. Sollte die Cloud aktuell nicht

0:41:57.520,0:42:00.040
funktionieren, das Kind sagt, ich möchte[br]jetzt aber unbedingt!, dann kann man mal

0:42:00.040,0:42:03.680
eben rumswitchen, das ist ganz praktisch.[br]Man weiß ja, Kinder haben es meistens

0:42:03.680,0:42:09.300
eilig. Und wenn man abends schlafen[br]möchte, muss die Toniebox laufen.

0:42:09.300,0:42:14.400
<i>gemurmel</i> Der nächste Block geht übers[br]Modding und die Reparatur. Einfach mal

0:42:14.400,0:42:19.560
paar Eindrücke. In der Mitte selbstgebaute[br]akupacks, rechts unten bisschen größer,

0:42:19.560,0:42:24.640
damit die etwas länger hält, links ja das[br]typische Problem, wenn man die Box das

0:42:24.640,0:42:27.080
erste mal auseinander nimmt, bisschen[br]ruppiger reißt, auch gerne mal so eine

0:42:27.080,0:42:32.600
Buchse aus und da unterstützen wir gerne[br]mal bei der Reparatur, weil wir wissen

0:42:32.600,0:42:40.480
halt mittlerweile wo die Kontakte liegen,[br]wo die lang laufen. Ja wir haben noch den

0:42:40.480,0:42:47.240
Link, den RGB Ring rechts oben. Da haben[br]wir gleich noch ein Bild zu. Da hat einer

0:42:47.240,0:42:50.000
aus der Community gesagt, okay ich bau ein[br]Ring ein, die Box soll noch schön

0:42:50.000,0:42:57.680
leuchten. Und unten noch eine kleine debug[br]3D druckbox zum basteln. So das war noch

0:42:57.680,0:43:02.000
ein Thema, das lag mir ganz besonders am[br]Herzen, wir hatten eine Anfrage aus der

0:43:02.000,0:43:08.560
Community von Toro und der kleine Tochter[br]kann die Toniebox nicht 100% bedienen.

0:43:08.560,0:43:14.400
Typischerweise muss man klopfen und kippen[br]um die Titel zu springen, oder zu spulen.

0:43:14.400,0:43:18.040
Und durch die körperliche Einstränkung war[br]das einfach nicht möglich. Und dann haben

0:43:18.040,0:43:23.120
wir zusammen geguckt wie können wir das[br]lösen, und da war die Idee ok,

0:43:23.120,0:43:27.960
elektrisch kennt er sich aus, aber auf der[br]technischen Ebene von der Toniebox nicht,

0:43:27.960,0:43:32.800
und dann haben wir eine Lösung gebastelt[br]um halt Microcontroller dort einzubauen

0:43:32.800,0:43:37.760
und den Beschleunigungschip durch[br]Mikrocontroller zu ersetzen dor hat dann

0:43:37.760,0:43:41.200
noch zwei Buttons eingebaut und[br]dementsprechend kann man dann durch kurzes

0:43:41.200,0:43:45.000
Drücken zum nächsten Titel springen und[br]durch langes drücken dann spelen.

0:43:45.000,0:43:58.880
<i>umfangreiches applaus</i> Hier haben wir[br]noch einen kurzen Ausblick zur zu gegos

0:43:58.880,0:44:03.240
Bluetooth Mode. Da gibt's eine schöne[br]fertige Platine, mit der man dann bei der

0:44:03.240,0:44:08.200
Toniebox Bluetooth nachrüsten kann. Da[br]muss man nur paar Käbelchen dran löten und

0:44:08.200,0:44:12.720
dann funktioniert das auch schon. Ist auch[br]auf seinem Blog zu sehen, dementsprechend

0:44:12.720,0:44:17.960
wer sich für interessiert, schaut einfach[br]mal rein. Und dann übergebe ich an Gambr.

0:44:17.960,0:44:22.720
G: Ja, jetzt haben wir alle vier hier[br]schon gesprochen. Wir haben uns viel

0:44:22.720,0:44:26.240
Gedanken dazu gemacht, wie wir denn[br]starten und da wir so viel Inhalt hatten,

0:44:26.240,0:44:30.000
und jetzt nur die Ergebnisse zeigen[br]konnten der Zeit sei es geschuldet, haben

0:44:30.000,0:44:35.000
wir auch eine vorherige Vorstellung[br]erstmal aufgeschoben. Ich möchte dennoch

0:44:35.000,0:44:41.360
einmal kurz das Team vorstellen. Da haben[br]wir neben mir geggo, der an den ganzen

0:44:41.360,0:44:46.720
reverse Software Reverse Engineering[br]Themen zusammen mit badby gearbeitet hat

0:44:46.720,0:45:00.000
aber auch die ganze Hardware mit reverse[br]engineert hat. <i>Applaus</i>

0:45:00.000,0:45:06.560
Daneben haben wir badbee. Badbee hat auch[br]viel an den custom software geschrieben

0:45:06.560,0:45:11.240
und viel an den Hardware Reverse[br]Engineering Sessions dran teilgenommen und

0:45:11.240,0:45:14.633
hat auch mit mir die Daten das[br]Datenmanagement gemacht, die Datenbank

0:45:14.633,0:45:18.274
aufgebaut die ja in Teddy Bench auch mit[br]eingebunden ist, die wir vorhin gesehen

0:45:18.274,0:45:24.748
haben. [br]'<i>Applaus</i>

0:45:24.748,0:45:32.360
Moritz ist derjenige der uns das[br]Reparieren der ganzen toniy Boxen erst

0:45:32.360,0:45:38.960
ermöglicht hat. Er hat die meisten Chips[br]schon identifiziert gehabt bevor wir ihn

0:45:38.960,0:45:43.360
getroffen haben, er kam mit einer super[br]Liste um die Ecke, ich glaube, wenn ich in

0:45:43.360,0:45:47.880
deine Dateien schaue, habe ich glaube ich[br]ein komplettes PCB, was reverse engineiert

0:45:47.880,0:45:52.560
ist. Und er ist derjenige der dafür[br]gesorgt hat, dass man auf Ebay keinerlei

0:45:52.560,0:46:02.880
defekten Tonieboxen mehr findet. <i>alle[br]vier und das Publikum lachen</i> <i>Applaus</i>

0:46:02.880,0:46:08.560
Als wir gestartet sind konnte man noch für[br]10 15 € allerlei Tonieboxen finden, die

0:46:08.560,0:46:13.400
angeknabberte Ohren oder sonstige[br]abgerissene Stecker hatten. Das hat uns

0:46:13.400,0:46:17.360
auch bei unserer Bastelei sehr stark[br]geholfen. Mittlerweile ist das gegen Null

0:46:17.360,0:46:21.640
gegangen, weil auch durch unsere[br]Dokumentation sehr viele

0:46:21.640,0:46:26.520
Reparaturanleitung durch die Community und[br]durch diverse Youtube Videos und Seiten

0:46:26.520,0:46:31.640
einfach gepublished wurden und dass auch[br]jeder zu Hause seine Box reparieren kann

0:46:31.640,0:46:41.920
und damit weiterarbeiten kann. <i>applaus</i>

0:46:41.920,0:46:47.000
Gut ich stelle mir ung[br]selber vor, ich habe nur die Kommunikation

0:46:47.000,0:46:52.240
und das NFC Thema mit euch zusammen und[br]das ganze Datenmanagement gemacht, ich

0:46:52.240,0:46:56.600
ziehe den Hut vor die Softwareeleistung,[br]die ihr erbracht habt. Da war ich

0:46:56.600,0:47:00.550
Zuschauer und nur Kritiker und first[br]Tester, aber als Team haben wir es doch

0:47:00.550,0:47:12.276
dann gemeinsam gut gemeistert.[br]<i>Viele Applaus, Wows</i>

0:47:12.276,0:47:16.520
Und man schafft das[br]ganze natürlich nicht alleine, man braucht

0:47:16.520,0:47:20.865
eine Community, die hilft und Unterstützer[br]hier. Ganz vielen Dank auch aus einem

0:47:20.865,0:47:25.700
Revox telegram Channel Mitglied oder an[br]ein telegram Channel Mitglied blunazgul,

0:47:25.700,0:47:30.268
der uns immer unterstützt hat mit Medien[br]mit Tonies etc, danke auch an nv1t ich

0:47:30.268,0:47:35.624
hoffe ich spreche richtig aus, der auch[br]einen Talk hätte gehabt hätte über das

0:47:35.624,0:47:40.385
Thema Audiooboxen und Reverse Engineering.[br]Den hat sich zurückgezogen, hat gesagt, er

0:47:40.385,0:47:45.223
lässt uns hier den Vortritt, also vielen[br]lieben Dank an Dich! An die Firma Aronia

0:47:45.223,0:47:50.217
AG die uns massiv unterstützt hat mit[br]Hardware, ohne die manche Aspekte hier

0:47:50.217,0:47:55.640
nicht möglich gewesen wären, z.B das[br]Messen der Feldstärke um dann die ja

0:47:55.640,0:48:01.185
kleinen Bugs, die man halt so in der[br]Software eben hat, rauszufinden auch an

0:48:01.185,0:48:06.620
Lab 401, die einen Flipper Zero spendiert[br]haben um genau dieses ISO 15693 Thema zu

0:48:06.620,0:48:11.962
pushen und dann auch vielen lieben Dank an[br]die ganze telegram Gruppe wie gesagt 800

0:48:11.962,0:48:16.515
Leute und da hilft jeder jeden einen[br]besonderen Dank noch an Philipp der immer

0:48:16.515,0:48:20.389
kurz vor Weihnachten kurz vor Weihnachten[br]die Fotos für den ganzen PCBs macht. Mehr

0:48:20.389,0:48:23.983
so Stress, er hat keine Zeit, aber er[br]macht trotzdem. Er macht's trotzdem. Er ist

0:48:23.983,0:48:28.020
eigentlich Fotograf, hat eigentlich immer[br]nichts zu viel zu tun <i>andere drei lachen</i>

0:48:28.020,0:48:32.279
und dann kommt immer kurz vor Weihnachten,[br]ja mache ich dir. Und an den RFID friend

0:48:32.279,0:48:36.359
der uns immer mit offen gelegten Text[br]versorgt und hier auch ja, wie es gerade

0:48:36.359,0:48:40.120
erwähnt wurde, mit clons das ein oder[br]andere Mal auch ein Griff ins Klo hatte,

0:48:40.120,0:48:43.711
aber uns dann doch immer die genuine Tex[br]die original NXP Tag liefert. Also da

0:48:43.711,0:48:48.283
vielen Dank an alle die mit unterstützt[br]haben und hier noch ein paar Kontaktdaten.

0:48:48.283,0:48:52.716
Also ihr könnt uns dann wenn Q&amp;A session[br]zu kurz ist, wenn Fragen sind, könnt ihr

0:48:52.716,0:48:56.864
uns kontaktieren. Macht Fotos, QRCode mit[br]allen Informationen und wir haben

0:48:56.864,0:49:02.327
decktelefone. Wir sind teilweise bis die[br]ganze Woche oder na ja bis bis zu Ende na

0:49:02.327,0:49:06.988
ja Tag 4, ja B Tag 4 da also Schut euch[br]nicht ruft uns an schreibt uns und dann

0:49:06.988,0:49:13.753
war das soweit uns und ich übergeb an die[br]Q&amp;A session Bitteschön.

0:49:13.753,0:49:22.735
<i>Applaus</i>

0:49:22.735,0:49:26.827
Engel: Ja herzlichen Dank an die Tonieboxer .[br]Kurze Entschuldigung wegen den Audio

0:49:26.827,0:49:31.907
Ausfällen das sind stille Feueralarme da[br]wird die PA im Saal einfach herunter

0:49:31.907,0:49:35.956
geregelt für die nächsten 5 bis 10[br]Sekunden, das Stream hört es nicht. Also

0:49:35.956,0:49:39.740
für die, die sich im Stream dann gewundert[br]haben, was jetzt auf der Bühne los war,

0:49:39.740,0:49:45.303
das wäre die Erklärung. Entschuldigung.[br]So, wir hätten jetzt Zeit, einiges an Zeit

0:49:45.303,0:49:51.055
für Fragen an die vier Tonieboxer, an die[br]Mikros oder wenn... Ja! Da hinten im

0:49:51.055,0:49:56.471
Internet gibt schon die erste Frage, sonst[br]auf rein, bitte raus geholt. Engel: Also

0:49:56.471,0:50:02.279
die erste Frage aus dem Internet ist, kann[br]man z.B die Firmware von vergleichbaren

0:50:02.279,0:50:07.848
Open Source RFID Audio Playern z.B ESP[br]uino auf der Hardware laufen lassen, habt

0:50:07.848,0:50:12.388
ihr das mal probiert?[br]M: Ja ich habe Espuino portiert testweise

0:50:12.388,0:50:19.058
um bisschen mich mit der Hardware vertraut[br]zu machen und es läuft rudimentär, aber

0:50:19.058,0:50:24.839
nicht wirklich stabil. Deswegen sind wir[br]dabei Teddy Box umzusetzen und eine eigene

0:50:24.839,0:50:29.633
Firmware aufzusetzen die a) die original[br]Firmware repliziert und b) weitere

0:50:29.633,0:50:34.547
Features z.B für die Inklusion dann bietet[br]um per Ble beispielsweise in Fernbedienung

0:50:34.547,0:50:37.462
noch einzubinden.[br]Gambrios: Aber grundsätzlich muss man

0:50:37.462,0:50:42.149
sagen, espuino läuft, man muss dann ein[br]bisschen tweaken und das anpassen und da

0:50:42.149,0:50:47.255
kann man noch mal betonen, ich glaube ich[br]es gibt keine Hardware espino Box, die so

0:50:47.255,0:50:51.874
günstig und so vollkommen ist, wie die[br]Toniebox . Die kriegt man teilweise für 79

0:50:51.874,0:50:55.727
€, man hat ein Lademanagement,[br]Ladestation, schönes Case. Da sind

0:50:55.727,0:51:02.195
sämtliche Bastellösungen, die man dort[br]findet, wesentlich kostenintensiver.

0:51:02.195,0:51:07.600
Engel: Gut danke. Mikrofon numo 4 bitte[br]rechts hinten.

0:51:07.600,0:51:13.110
Frage: Hört man ja okay. Ihr hat es ja[br]gesagt, ihr habt auch die firmware davon

0:51:13.110,0:51:17.963
reverse engineert. Wenn ihr die Version[br]vom ESP 32 reverse engineert habt, mit

0:51:17.963,0:51:22.620
welcher Software, weil gitra hat nicht so[br]gute Unterstützung für extenser und wäre

0:51:22.620,0:51:25.381
gut zu wissen, welche Software ihr dafür[br]benutzt habt.

0:51:25.381,0:51:29.563
M: Also bei der ESP 32 Box ist nicht so[br]viel Zeit in reverse engineering auf

0:51:29.563,0:51:34.333
Software Ebene geflossen, aber trotzdem[br]gab es dafür ID pro, ich nutze ID pro ein

0:51:34.333,0:51:39.685
Plugin für die Extensor Microcontroller.[br]Das war glaub python Plugin meine ich.

0:51:39.685,0:51:43.960
Zumindest läuft bei mir. Und damit habe[br]ich dann auch mal reingeschaut, aber wie

0:51:43.960,0:51:47.204
gesagt, das war mal so reingucken und die[br]Funktionalität war im Endeffekt das

0:51:47.204,0:51:51.755
gleiche, wie bei den ccbxen.[br]B: Die so mit gidra, ja mit gidra das

0:51:51.755,0:51:56.320
geht recht gut. Da ist jetzt die[br]Peripherie ist nicht angebunden, das heißt

0:51:56.320,0:52:01.060
da muss man ein bisschen schauen, bisschen[br]die Datenblätter lesen aber das geht dann

0:52:01.060,0:52:05.480
eigentlich recht gut. Und dank der Debug-[br]Funktion mit eindeutigen IDs, kann man

0:52:05.480,0:52:09.601
jetzt auch immer schauen: okay es kommt[br]eine DB Nachricht, dann kann ich im coding

0:52:09.601,0:52:13.525
einfach mal gucken.[br]M: Und die CC Boxen habe ich auch mit id

0:52:13.525,0:52:18.290
Approval reverse engeniert.[br]Angel: Ok und schon geht's weiter mit

0:52:18.290,0:52:24.106
Mikrofon num 2.[br]Frage: Die Frage wäre wenn man diese rtnl

0:52:24.106,0:52:29.332
Domäne einfach nur blockiert, verhält sich[br]da die Toniebox irgendwie komisch im

0:52:29.332,0:52:32.641
Originalmodus oder ist einfach happy, dass[br]ich es nicht erreichen kann.

0:52:32.641,0:52:36.563
B: Es geht einfach weiter also ist ist[br]datenschutzfreundlich umgesetzt, wenn man

0:52:36.563,0:52:39.720
das denn weiß, kann man die blockieren,[br]dann hat man Ruhe.

0:52:39.720,0:52:44.300
Engel: Okay danke Mikrofon num 1.[br]Frage: Danke für den Vortrag. Sehe ich

0:52:44.300,0:52:48.596
jetzt richtig dass jetzt quasi dadurch[br]auch einzelne Lieder der Tonie sperren

0:52:48.596,0:52:53.762
könntet und man so einen schönen Filter[br]hätte, falls ein Lied irgendwann sehr

0:52:53.762,0:53:00.800
nervt? <i>fröhliches Lachen, Applaus</i>[br]G: Also direkt zu sagen wir sperren Track

0:53:00.800,0:53:08.187
Nummer 5 von dem Tonie, wird wahrscheinlich[br]schwer umzusetzen sein. Aber wenn du den

0:53:08.187,0:53:12.505
audioinhalt nimmst und einfach den Track 5[br]Audio Part rauslöscht und wieder auf deine

0:53:12.505,0:53:15.356
Box drauf bringst, dann ist das sehr wohl[br]machbar.

0:53:15.356,0:53:21.190
M: Hier sei auch erwähnt hier se auch[br]erwähnt bitte die Box dann am besten im

0:53:21.190,0:53:26.627
offlineemus betreiben dann ist sowohl das[br]Datenschutzthema abgehakt als auch custom

0:53:26.627,0:53:31.067
Content ohne Einschränkung möglich.[br]Engel: Mikrofon numo 4.

0:53:31.067,0:53:35.810
Frage: Ja, Ihr habt eine Datenanfrage an[br]Tonie geschickt, stand ihr dann noch weiter

0:53:35.810,0:53:39.490
mit den im Kontakt wegen dem Box ID[br]matching oder eine Beschwerde an die

0:53:39.490,0:53:43.061
Datenschutz Aufsichtsbehörde, vielleicht[br]irgendwas in der Richtung? Dass das

0:53:43.061,0:53:44.880
zukünftig vielleicht nicht mehr so sein[br]wird.

0:53:44.880,0:53:48.860
G: hoffentlich nein, also zum ersten Teil[br]der Frage. Ja ich habe noch eine Anfrage

0:53:48.860,0:53:52.343
gestellt, habe ihnen auch erklärt, von[br]welcher Domäne ich Kandidaten hätte, also

0:53:52.343,0:53:56.734
wo die RTL Lock und so. Weiter die haben[br]auch dann, muss man auch sagen hut ab,

0:53:56.734,0:54:01.350
zwei externe Juristen, die diese Anfrage[br]beantworten sollten für eine Stunde für

0:54:01.350,0:54:05.950
mich abgestellt. Das Gespräch war ok,[br]sie konnten aber im Endeffekt nichts sagen

0:54:05.950,0:54:10.898
außer nein. Das ist alles dsgvo konform und[br]nein das ist alles anonym, nein SSIDs

0:54:10.898,0:54:15.466
übertragen sind keine personbezogen oder[br]personenbeziehbaren oder indirekt

0:54:15.466,0:54:20.587
personenbezogene Daten. Dass da gibt's[br]kein Urteil zu, damit ist es nicht

0:54:20.587,0:54:25.396
personbezogen. Ok von dem her war das[br]der einzige Kontakt den wir da hatten. Ich

0:54:25.396,0:54:29.331
habe noch mal eine Nachfrage zu der[br]Nachfrage gestellt ob ich denn jemand

0:54:29.331,0:54:34.010
bekommen könnte der Aussage kräftig ist.[br]Da kam jetzt aber leider ist jetzt auch

0:54:34.010,0:54:38.811
wieder vier Wochen her, kam nichts. M: Ja ich[br]habe ich habe parallel eine gestellt ein

0:54:38.811,0:54:42.662
Ticken später, da hatte ich auch noch mal[br]nachgefragt, aber da hatte ich auch bis

0:54:42.662,0:54:45.689
heute keine Antwort. Also mal schauen, was[br]dann noch kommt. Wäre interessant einfach

0:54:45.689,0:54:50.597
zu wissen auch mit m Austausch mal zu[br]gucken, aber es gibt aber noch zwei

0:54:50.597,0:54:56.668
interessante Aussagen zu den rtln Daten[br]und zwar auf Nachfrage, wo wir denn

0:54:56.668,0:55:00.944
jetzt diese ganzen mitgelogten Daten[br]sehen, hat man einmal gesagt na das wäre

0:55:00.944,0:55:04.891
schon ganz schön aufwendig die alle[br]rauszulassen, das sollten Sie jetzt nicht

0:55:04.891,0:55:10.050
machen und außerdem würden sie das als[br]Unternehmensdaten ansehen und damit ihr

0:55:10.050,0:55:16.363
Recht drauf behalten, weil sie anonym sind[br]bis auf der boxid anonym sind.

0:55:16.363,0:55:25.340
Engel: Ok danke, aus extern eine[br]Internetanfrage habe ich gesehen war da?

0:55:25.340,0:55:30.074
Nein. gut dann geht's weiter zu Mikrofon[br]numero 3.

0:55:30.074,0:55:35.396
Frage: Gibt's da ein Limit zu der sd-[br]kartengröße oder kann ich da eine 1

0:55:35.396,0:55:39.460
Terrabyte SD-Karte reinpacken?[br]Gambio: lso wir haben dort wir haben dort

0:55:39.460,0:55:43.510
selbst mit experimentiert, kommt drauf an[br]welche Box das ist die erste Box ist sehr

0:55:43.510,0:55:47.269
wählerisch geht bis zu 64 GB getestet von[br]uns

0:55:47.269,0:55:52.230
M: 256 gegen ein[br]Gambio: Aber nicht mit jeder SD-Karte also

0:55:52.230,0:55:57.280
herstellerabhängig Empfindlichkeit. Die ESP32[br]ist da weniger wählerisch, die nimmt mehr

0:55:57.280,0:56:01.008
Karten auch da findet ihr im Wiki bei uns[br]eine Übersicht an SD-Karten, die wir

0:56:01.008,0:56:06.675
getestet haben. Aber letztendlich ist die[br]Größe wahrscheinlich irrelevant.

0:56:06.675,0:56:13.480
Frage: Unterstützt andere systeme? Nein[br]Fat32 waren die alle formatiert auch dort

0:56:13.480,0:56:16.669
ganz einfach nur die normale Windows[br]Formatierung.

0:56:16.669,0:56:20.425
Engel: Okay aber jetzt hat sich das[br]Internet gemeldet.

0:56:20.425,0:56:25.024
InternetEngel: Ja richtig, das Internet[br]möchte wissen: werden die Logs im

0:56:25.024,0:56:29.885
offlinemodus gesammelt und werden sie dann[br]eventuell übertragen wenn die Box wieder

0:56:29.885,0:56:32.464
online ist?[br]Antwort: Nein die Logs werden Echtzeit

0:56:32.464,0:56:36.282
übertragen sofern die Verbindung möglich[br]ist. Wenn keine Verbindung möglich ist

0:56:36.282,0:56:40.068
dann, wird nichts übertragen, nichts[br]gespeichert. Da gibt's kein Cash oder

0:56:40.068,0:56:45.142
irgendwas also, wenn ihr die Box offline[br]betreibt. Wenn solange keine Daten erfasst

0:56:45.142,0:56:50.963
oder danach auch übertragen das ist dann[br]für den Zeitpunkt wird alles dann ja nur

0:56:50.963,0:56:56.118
in dem Moment übertragen.[br]Engel: Gut Mikrofon numo 2.

0:56:56.118,0:57:02.755
Frage: Ja dieser RFID privacy Modus, ist[br]das speziell von Tonie oder ist das

0:57:02.755,0:57:05.679
irgendein Standard ich habe davon noch nie[br]gehört?

0:57:05.679,0:57:09.540
Antwort: Das ist ein Standard, der wird[br]regulär in der Bekleidungsmittelindustrie

0:57:09.540,0:57:14.526
verwendet und zwar bei der[br]Berufsbekleidung. Derjenige, der mal im

0:57:14.526,0:57:19.311
Betriebsrat tätig war oder in großen[br]Konzernen mit dem Betriebsrat drüber

0:57:19.311,0:57:22.716
gesprochen hat, die sind sehr darüber aus[br]dass die Mitarbeiter nicht irgendwie

0:57:22.716,0:57:26.966
anderweitig getrackt werden können und das[br]könnte man natürlich machen, wenn man

0:57:26.966,0:57:31.510
Hosen mit NFC Tag hat die wieder den[br]Mitarbeitern zugeordnet werden müssen. Und

0:57:31.510,0:57:36.718
insofern kann man diese speziellen[br]klamottenent Tags quasi deaktivieren so

0:57:36.718,0:57:42.860
dass der Arbeitgeber dort kein Tracking[br]der der Hose vor vornehmen kann und nur

0:57:42.860,0:57:47.692
der Wäschekonzern dementsprechend eine[br]Zuordnung zum Mitarbeiter wenn er die

0:57:47.692,0:57:51.369
zurück in den Schrank LT vornehmen kann[br]und dafür sind die damals entwickelt

0:57:51.369,0:57:56.460
worden die benutzen mittlerweile einen[br]neueren Standard SL SX2 der auch besser

0:57:56.460,0:58:02.374
verfügbar ist aber damit und von dem es[br]mittlerweile auch chinesische Magic Tags

0:58:02.374,0:58:07.772
gibt wo man die UID ändern kann so dass[br]man theoretisch ein Clon eines Tonies

0:58:07.772,0:58:14.038
herstellen könnte was aber vom slixl nicht[br]der Fall ist und wir haben es vorhin ein

0:58:14.038,0:58:19.611
mal kurz erwähnt damit die slixx2 Chips[br]nicht verwendet werden können die in Summe

0:58:19.611,0:58:25.896
28 Speicherblöcke haben fragt Ton fragt[br]die tonyibox ganz exp zieht den neunten

0:58:25.896,0:58:31.736
Speicherblock ab wo eine Fehlermeldung[br]bestimmte Fehlermeldung zurückkommen, muss

0:58:31.736,0:58:36.872
weil der SLI XL Chip nur acht Blöcke hat,[br]damit stellen Sie sicher dass wirklich

0:58:36.872,0:58:41.476
dieser recht schwer zu erhaltender Chip[br]nur verwendet werden kann mit diesen

0:58:41.476,0:58:46.028
Eigenschaften, aber es ist keine für Tonis[br]entwickelte Funktion.

0:58:46.028,0:58:50.269
Engel: Danke, eine letzte Frage und die[br]ist bei Mikrofon 1.

0:58:50.269,0:58:55.120
Frage: Servus, würdet ihr sagen dass die[br]Toniebox an sich ein cooles Produkt? Ist

0:58:55.120,0:58:59.564
also und Software nur seltsame corparate[br]Entscheidungen dahinter stehen und man...

0:58:59.564,0:59:03.600
Antwort: Ist W auf jeden Fall eindeutig[br]Hardware top, wie gesagt, ich selber setze

0:59:03.600,0:59:07.800
sie fast 100% original ein, ich entwickelt[br]viel damit habe da Spaß dran. Meine

0:59:07.800,0:59:12.440
Tochter hat dafür viele Tonieboxen. <i>alle 4[br]lachen</i> Dementsprechend das Produkt hat

0:59:12.440,0:59:15.440
mich vorher nicht überzeugt, ich habe[br]gesagt, möchte ich nicht haben. Dann habe

0:59:15.440,0:59:19.600
ich mich mehr damit beschäftigt und dann[br]sind wir zusammen gekommen und jetzt ist

0:59:19.600,0:59:24.360
das einfach das Top Produkt.[br]Gambio: Also es spricht nichts gegen die

0:59:24.360,0:59:29.080
Tonies Firma, wir stehen voll hinter dem[br]Konzept. Die Firma selber hat eine tolle

0:59:29.080,0:59:32.480
Story, die sie erzählen. Sie haben ein[br]tolles Produkt, was sich auch toll

0:59:32.480,0:59:37.960
anfühlt. Aus dem Grunde sind wir auch[br]großer Tonis Fan, es ist nur die Sache

0:59:37.960,0:59:43.520
dass wir privat halt ein Hobby haben, was[br]auch den Hintergrund abfragt ne und und

0:59:43.520,0:59:47.203
macht Spaß. Engel. Gut danke schön!

0:59:47.203,0:59:51.083
<i>Lachen, Applaus</i>

0:59:51.083,0:59:58.430
<i>37c3 Abspannmusik</i>

0:59:58.430,1:00:10.000
Untertitel von vielen vielen Freiwilligen und dem[br]C3Subtitles Team erstellt. Mach mit und hilf uns!