1
00:00:09,379 --> 00:00:12,754
<i>Vorspannmusik</i>

2
00:00:12,754 --> 00:00:18,440
Gambius: Die Kinder Audioplayer Box die
Toniebox ist ein recht beliebtes und weit

3
00:00:18,440 --> 00:00:26,520
verbreitetes Modell mit Content Hosting
und Datensammelwut. Nun wir haben hier

4
00:00:26,520 --> 00:00:34,120
vier Sprecher: Gambrius, Moritz, Badbee
und Gekko die uns auf diese Thematik ein

5
00:00:34,120 --> 00:00:42,360
bisschen einführen werden und ein quasi
das erste Mal sich heuer und heute hier

6
00:00:42,360 --> 00:00:46,320
auf der Bühne treffen. Die waren bis jetzt
eigentlich vor vier Jahren zum erst mal

7
00:00:46,320 --> 00:00:50,280
online getroffen virtuell noch nie
physisch heute zum ersten Mal miteinander

8
00:00:50,280 --> 00:00:52,341
Alle auf der Bühne bitte schön.

9
00:00:52,341 --> 00:01:00,528
<i>Applaus</i>

10
00:01:00,528 --> 00:01:04,383
Moritz: Danke schön danke schön danke schön. Ich
hoffe ihr seid wirklich wegen Tonies hier

11
00:01:04,383 --> 00:01:09,271
und nicht wegen dem iPhone researcher Hack
der in Saal 1 läuft, ihr habt euch nicht

12
00:01:09,271 --> 00:01:16,414
verlaufen ne wow echt viele Leute heute
hier. Willkommen zu dem Tonies Talk. Wer

13
00:01:16,414 --> 00:01:23,480
kennt die TonieBox, einmal Hand hoch! Ok,
wer hat eine TonieBox zu Hause und hat

14
00:01:23,480 --> 00:01:31,321
keine Kinder? <i>Lautes hey, lachen</i> Ok das wird
sich ändern, weil wir haben doch recht viel

15
00:01:31,321 --> 00:01:35,504
Gefallen an dieser tollen Box gefunden.
Ich brauche gar nicht so viel erklären was

16
00:01:35,504 --> 00:01:40,121
das ist, also eine für die, die es noch
nicht kennen: ein Kinder Audio

17
00:01:40,121 --> 00:01:45,750
Abspielgerät, welches ohne Display
auskommt, in Summe nur zwei Knöpfe hat die

18
00:01:45,750 --> 00:01:51,170
beiden Ohren zu Lautstärkeregulierung. Es
gibt diese schleichartigen Figuren wo ein

19
00:01:51,170 --> 00:01:56,496
kleiner NFC Chip drin versteckt ist, so
viel kann ich schon mal Spoilern, und kein

20
00:01:56,496 --> 00:02:01,651
ganzes Tonband drin ist, welches wenn es
auf die Box aufgesetzt wird das passende

21
00:02:01,651 --> 00:02:07,709
Hörspiel abspielt. Diese Figuren kann man
im Handel erhält für 15 16 € kaufen. Ob

22
00:02:07,709 --> 00:02:13,086
man die Lizenz damit kauft, das weiß ich
jetzt gerade nicht, aber man kann

23
00:02:13,086 --> 00:02:17,043
zumindest das Hörbuch damit hören. Wir
möchten euch mal ein bisschen damit

24
00:02:17,043 --> 00:02:21,547
durchführen, was der Gedanke dieses Talks
einfach ist, wo wir gesagt haben warum

25
00:02:21,547 --> 00:02:26,662
wollen wir über diese Toniebox sprechen.
Jetzt habe ich vorhin diese Figur erwähnt.

26
00:02:26,662 --> 00:02:31,700
Es ist leider Gottes die einzige
Abspielmöglichkeit diesen Inhalt der für

27
00:02:31,700 --> 00:02:37,225
diese Figur angedacht ist auf dieser Box
abzuspielen. Das heißt man kann jetzt

28
00:02:37,225 --> 00:02:42,660
nicht frei wählen welche Inhalte man
abseits von eigenen CDs, die vielleicht im

29
00:02:42,660 --> 00:02:47,103
Vorfeld gekauft wurden oder bei mir in der
Vergangenheit meine Benjamin Blümchen

30
00:02:47,103 --> 00:02:51,353
Sammlung die ich ja auch bereits
irgendwann mal gekauft bekommen habe für

31
00:02:51,353 --> 00:02:56,339
meine Kinder in der nächsten Generation
auf der Toniebox abzuspielen. So gibt es

32
00:02:56,339 --> 00:03:02,159
zwar die Möglichkeit mit kreativ Tonis zu
arbeiten, die kann man für 12 € kaufen und

33
00:03:02,159 --> 00:03:07,333
mit insgesamt 90 Minuten bespielen, aber
man ist immer in diesem Tonie Universum

34
00:03:07,333 --> 00:03:11,847
gefangen und ist natürlich dann auch in
der Abhängigkeit der Firma Tonies. Das

35
00:03:11,847 --> 00:03:16,861
heißt: sollte was jetzt gerade die machen
gerade Aktiengang, das heißt ist gerade

36
00:03:16,861 --> 00:03:22,482
unwahrscheinlich, aber sollte diese Firma
Tonis irgendwann mal Insolvenz anmelden

37
00:03:22,482 --> 00:03:27,868
oder Konkurs anmelden, dann wären all
diese Funktionen der Tonies nicht mehr

38
00:03:27,868 --> 00:03:32,381
gegeben, weil die ganze Box rein Cloud
basiert ist und sämtliche Inhalte über

39
00:03:32,381 --> 00:03:36,692
eine App gesteuert werden eine
Weboberfläche gesteuert werden und aus der

40
00:03:36,692 --> 00:03:41,690
Cloud geladen werden und keinerlei
unabhängige Möglichkeiten gegeben sind.

41
00:03:41,690 --> 00:03:46,505
Last uns mal ein bisschen auf die Hardware
eingehen. An der Stelle würde ich mal

42
00:03:46,505 --> 00:03:50,291
Moritz übergeben der uns ein bisschen was
über die Hardware Variation erzählt.

43
00:03:50,291 --> 00:03:54,908
Moritz: Danke schön ja hallo. Ich geb
einen kurzen Überblick über die Hardware

44
00:03:54,908 --> 00:03:58,940
der Toniebox und wenn man da rein guckt,
was man da eigentlich findet. So also ist

45
00:03:58,940 --> 00:04:02,499
relativ über übersichtlich aufgebaut, wenn
man jetzt also die die Toniebox

46
00:04:02,499 --> 00:04:07,226
auseinander nimmt, dann sieht man da drin
auf der links oben den Akku, da drunter

47
00:04:07,226 --> 00:04:12,459
den den Lautsprecher, in der Mitte das die
die Platine das PCB dann rechts daneben

48
00:04:12,459 --> 00:04:17,660
sind die die Pushbuttons, die in den Ohren
versteckt sind, für die Lautstärkeregelung

49
00:04:17,660 --> 00:04:23,574
und der das PCB rechts daneben ist die NFC
Antenne. Genau das Toniebox PCB ist relativ

50
00:04:23,574 --> 00:04:29,368
übersichtlich gehalten. Es ein vier
lagenboard was nur einseitig bestückt ist

51
00:04:29,368 --> 00:04:34,263
auf der Rückseite hat es 82 Testpunkte die
alle nett beschrieben so zumindest

52
00:04:34,263 --> 00:04:39,294
durchnummeriert sind und eine Onboard WLAN
Antenne. Sonst macht es eigentlich alles

53
00:04:39,294 --> 00:04:42,666
einen sehr soliden Eindruck. Die Hardware
ist schön also ist sehr

54
00:04:42,666 --> 00:04:46,662
reparaturfreundlich, also falls man da
irendwie was zerforscht haben sollte lässt

55
00:04:46,662 --> 00:04:53,270
sich das alles relativ gut wieder in Gang
setzen. Genau jetzt gucken wir uns mal das

56
00:04:53,270 --> 00:05:00,270
PCB im Detail an. Wir haben also hier. Das
schwarze ist der Microcontroller. Bei der

57
00:05:00,270 --> 00:05:06,706
ersten Version ist das ein ti-Chip. Dann
haben wir den RFID Chip, ein

58
00:05:06,706 --> 00:05:13,132
Beschleunigungssensor, da für damit man
dagegenhauen kann und die Box das merkt,

59
00:05:13,132 --> 00:05:17,445
der Audioochip der ist auf der linken
Seite und ein kleiner Flash und natürlich

60
00:05:17,445 --> 00:05:22,307
die SD-Karte, also zumindest den SD-
kartenhalter sehen wir dort. So dann

61
00:05:22,307 --> 00:05:28,640
gibt's für den ganzen Stromfu gibt's also
ein Laderegler dcwandler und diverse LDO

62
00:05:28,640 --> 00:05:33,723
für die für die Spannungsversorgung, für
die Spannungsversorgung

63
00:05:33,723 --> 00:05:38,664
Herald: der Ton ist allgemein
Moritz: Weg Spannungs

64
00:05:38,664 --> 00:05:43,344
Herald: 12 1 2
Moritz: Sag mal tot hier ist alles tot

65
00:05:43,344 --> 00:05:47,824
hallo hallo nee
Herald: alles torein

66
00:05:47,824 --> 00:05:59,406
M: ne nein doch <i>pause</i> alles klar dann
warten wir kurz. <i>lachen</i>

67
00:05:59,406 --> 00:06:05,977
y: war das ja aber ich möchte das nicht
strapazieren

68
00:06:05,977 --> 00:06:12,843
M: unterlassungsk ja genau so und dann
gibt's als als Interfaces im weitesten

69
00:06:12,843 --> 00:06:18,163
Sinne gibt's eine RGB LED, den
Kopfförherausgang den Akkustecker unten,

70
00:06:18,163 --> 00:06:24,207
den Stecker für die Ohren in der Mitte und
den Lautsprecherkonnektor oben und für das

71
00:06:24,207 --> 00:06:28,386
freundliche zu forschen gibt's das debug
Interface das so ein Tech Connect

72
00:06:28,386 --> 00:06:32,943
Interface ist das ist auf der Rückseite
der Platine. So dann schauen wir als

73
00:06:32,943 --> 00:06:37,654
nächstes Mal, was eigentlich mit den was
es mit den Mikrokontrollern auf sich hat.

74
00:06:37,654 --> 00:06:41,544
Also es gibt drei unterschiedliche
Mikrocontroller. Die Urversion war die mit

75
00:06:41,544 --> 00:06:49,000
dem TI 3200 dann hat die Chipkrise auch
bei bei Tonie zugeschlagen und es gab eine

76
00:06:49,000 --> 00:06:56,766
Box oder wenige Boxen mit dem CC 3235 und
jetzt die aktuellen Boxen sind mit

77
00:06:56,766 --> 00:07:03,563
einem ESP 32 Chip aus gerüstet und werden
damit geschippt. So ah ja guck mal, da

78
00:07:03,563 --> 00:07:09,031
sieht man's, ja also genau das ist der der
cc32 so das ist also wir nennen es Version

79
00:07:09,031 --> 00:07:15,611
1 und Version 2 der der Hardware. Die
Version 3 ist relativ selten so und das

80
00:07:15,611 --> 00:07:22,169
ist die aktuelle Version 4 für den mit dem
ESP 32 Chip. So ein paar Details dazu

81
00:07:22,169 --> 00:07:27,989
genau. Dass S sehr sehr häufig verbreitet
sind, hatte ich schon gesagt, sie sind

82
00:07:27,989 --> 00:07:32,032
über die Tech Connect Schnittstelle kann
man den den Flash Auslesen der dort

83
00:07:32,032 --> 00:07:36,923
unverschlüsselt bzw unsigniert ist man
kann das cc3200 Tool zum Lesen und

84
00:07:36,923 --> 00:07:42,791
Schreiben benutzen und wir haben mit der
Hackiebox eine Custom Firmware und ein

85
00:07:42,791 --> 00:07:50,040
Custom Bootloader implementiert. Die
hackiebox NG. So der CC 3235 ist selten

86
00:07:50,040 --> 00:07:55,218
die Tech Connect oder die
Debugschnittstelle ist gesperrt. Wir

87
00:07:55,218 --> 00:07:59,820
können zwar über eine sop8 Klammer auf den
Flash zugreifen und da finden Finden

88
00:07:59,820 --> 00:08:03,974
findet man dann dass die Zertifikate
unverschlüsselt sind die FirmWare jedoch

89
00:08:03,974 --> 00:08:10,777
signiert und verschlüsselt ist und mit dem
cc32 Tool kann man die den flashstamp

90
00:08:10,777 --> 00:08:18,060
manipulieren und anschauen. So das ist
genau die aktuelle Box. Die hat also

91
00:08:18,060 --> 00:08:25,276
eine UART Schnittstelle.Man kann es sehr
komfortabel mit dem ESP Tool anfassen und

92
00:08:25,276 --> 00:08:34,161
Hat das Tonie ist den sacht abgedreht?
<i>lacht</i> Ja ich befürchte das <i>Gelächter</i>

93
00:08:34,161 --> 00:08:41,424
Jetzt wieder genau dann mache ich hier
noch schnell durch. Genau es gibt eine

94
00:08:41,424 --> 00:08:46,820
Proof of Concept Firmware auf Basis des
ESP winno und wir haben eine eigenständige

95
00:08:46,820 --> 00:08:51,846
Open Source Ersatzfirmware, die also schon
die meisten Funktionen der Originalfmware

96
00:08:51,846 --> 00:08:56,344
implementiert die wir teddybox nennen.
Damit bin ich bei der Hardware durch und

97
00:08:56,344 --> 00:09:01,076
gebe wieder zurück an den gambrios.
G: Super, ich danke dir ich hoffe mal

98
00:09:01,076 --> 00:09:06,551
nicht dass Tonies hier uns den Saft abdreht
mit den Audio Themen. Kurz mal zu

99
00:09:06,551 --> 00:09:12,669
Funktionsweise, wie funktioniert die
tonybox? Anders als der irglaube meiner

100
00:09:12,669 --> 00:09:18,212
Eltern ist nicht in der Figur der
Audioinhalt gespeichert. Der Audioinhalt

101
00:09:18,212 --> 00:09:23,358
kommt wirklich aus der Cloud, das sehen
wir mal rechts dargestellt, der NFC Chip

102
00:09:23,358 --> 00:09:28,160
identifiziert diesen nur, die Toniebox
reicht die Information an die Cloud durch

103
00:09:28,160 --> 00:09:32,340
und sie wird damit versorgt. Aber sie hat
auch eine SD-Karte, die haben wir vorhin

104
00:09:32,340 --> 00:09:37,228
schon mal kurz auf dem PAD genau ist den
Halter. In der Regel ist das eine 8 GB

105
00:09:37,228 --> 00:09:42,649
Karte, wo die einzelnen Audioofiles die
schon einmal geladen wurden, mit einer

106
00:09:42,649 --> 00:09:46,966
Figur auch im Offline Modus nachher
verfügbar gestellt werden, sie ist also

107
00:09:46,966 --> 00:09:51,902
nicht vorgeladen, sondern muss immer über
übers WLAN und über die über die Cloud

108
00:09:51,902 --> 00:10:00,887
bestückt werden. Ungefähr 45 bis 65 MB hat
ein Audiohörbuch der auf einer zu einer

109
00:10:00,887 --> 00:10:09,071
toniefigur zugeordnet ist. Die Übertragung
der Inhalte folgt halt so, dass diese

110
00:10:09,071 --> 00:10:14,691
Figur aufgesetzt wird, die sogenannte UID
des NFC Chips ausgelesen wird, da kommen

111
00:10:14,691 --> 00:10:19,895
wir gleich noch mal zu. Wenn der Inhalt
nicht auf der SD-Karte ist, wird der

112
00:10:19,895 --> 00:10:26,474
Ladeprozess aus dem aus der Cloud
gestartet und dort gespeichert. Zum

113
00:10:26,474 --> 00:10:32,553
Funktionsprinzip des NFC Chips. Weil hier
doch ein bisschen spezieller unterwegs

114
00:10:32,553 --> 00:10:39,505
sind. Unten links sehen wir den Chip, der
in den Figuren verbaut ist. Das ist ein ca

115
00:10:39,505 --> 00:10:47,993
10 mm langer feritstab mit einer Kupfer
Draht umwickelten Antenne um genau zu sein

116
00:10:47,993 --> 00:10:57,329
21 Wicklung und auf der Kopf auf der
Stirnseite ist der kleine NXP icode

117
00:10:57,329 --> 00:11:04,806
Slx Strich 2 Chip verbaut, der eine
besondere Rolle hier spielt, weil er

118
00:11:04,806 --> 00:11:08,715
erstmal so gar nicht erkannt werden kann.
Das heißt in der Vergangenheit hat man

119
00:11:08,715 --> 00:11:12,675
versucht mit verschiedensten NFC
Lesegeräten an diese Figur heranzugehen

120
00:11:12,675 --> 00:11:16,615
und wollte die dann auslesen und hat aber
erstmal nicht feststellen können was drin

121
00:11:16,615 --> 00:11:22,252
ist zu der Funktion des privacy modes
kommen wir gleich noch mal detailliert,

122
00:11:22,252 --> 00:11:26,846
aber hier noch mal eben kurz auch der
Vergleich. Wir haben uns natürlich dann

123
00:11:26,846 --> 00:11:33,144
irgendwann versucht eigene srwx Chips zu
besorgen um vielleicht mit eigenen custom

124
00:11:33,144 --> 00:11:38,940
Tags zu arbeiten, haben dort auch
natürlich in die Herstellerindustrie nach

125
00:11:38,940 --> 00:11:44,539
China die Finger ausgestreckt, haben dort
allerhand Varianten durchgetestet, die

126
00:11:44,539 --> 00:11:52,321
alle nicht funktionierten, bis wir dann
den SrwXL Tag als einzigen nutzbaren Chip

127
00:11:52,321 --> 00:11:57,300
identifiziert hatten, haben aber auf dem
Weg dahin, auf der odissey dahin auch

128
00:11:57,300 --> 00:12:02,934
gefälschte SrwXL Chips bekommen, die wir
in unserem Prozess bei der Analyse später

129
00:12:02,934 --> 00:12:08,293
auch identifizieren konnten, fand auch NXP
sehr interessant, den wir auch welche

130
00:12:08,293 --> 00:12:12,875
davon zur Verfügung gestellt haben. Jetzt
gerade in den Medien geht's ja um her NXP

131
00:12:12,875 --> 00:12:17,872
ist über die letzten Jahre über ein
längeren Zeitraum von Hackern infiltriert

132
00:12:17,872 --> 00:12:22,003
worden, die sich dort die neuesten
Datenheets und Daten der Chips

133
00:12:22,003 --> 00:12:25,926
runtergeladen haben um dann auch
dementsprechend gefälschte Kopien selber

134
00:12:25,926 --> 00:12:30,297
herzustellen. Also das ist uns auch über
ein Weg gekreuzt rechts in blauen Balken

135
00:12:30,297 --> 00:12:35,362
sieht man mal den Vergleich der beiden
Chips. Im Mikroskop erkennt man in der

136
00:12:35,362 --> 00:12:42,460
Bauform Unterschiede aber erstmal nicht
weiter spannend nur das als Randbemerkung.

137
00:12:42,460 --> 00:12:49,160
So an der Stelle habe ich den privacy Mode
schon mal erklärt Gego erzähl uns was

138
00:12:49,160 --> 00:12:54,608
darüber. Geggo: Genau der privacy Mode
klingt sehr luminös. Das ist ein spezieller

139
00:12:54,608 --> 00:13:00,397
Modus bei diesen slix I Chips, bei denen
der Chips in einen Mod versetzt wird. Das

140
00:13:00,397 --> 00:13:05,780
heißt der reagiert auf nichts auf nichts
außer die Kommandos zum entspnen aus dem

141
00:13:05,780 --> 00:13:11,630
privacy Mode. Die Kryptographie nein so
will ich das gar nicht nennen die Methode

142
00:13:11,630 --> 00:13:21,156
dahinter ist sehr speziell, sehr hohe
Sicherheitsstufe nicht. Man fragt einen

143
00:13:21,156 --> 00:13:25,774
eine random number an und schickt dann
eine Antwort zurück. Das ist so sicher wie

144
00:13:25,774 --> 00:13:29,546
an der Tür ein geheimes Passwort sagen um
und dann vorher noch eins addieren oder

145
00:13:29,546 --> 00:13:35,919
so. Diesen Modus verwendet der TonieChip
oder der Chip in den Tonie Figuren um sich

146
00:13:35,919 --> 00:13:41,020
unsichtbar zu machen vor irgendwelchen
Zugriffen mit dem Handy. So was macht die

147
00:13:41,020 --> 00:13:46,034
Toniebox? Sie kennt diese Methode sie fragt
erst mal diesen random an schickt dann

148
00:13:46,034 --> 00:13:52,001
diesen super geheimen Passwort Code mit
XOR verschlüsselt zurück und dann ist der

149
00:13:52,001 --> 00:13:57,145
tag zugreifbar wie jeder andere Tag nfcv
Tags, die man so kaufen kann. Dann

150
00:13:57,145 --> 00:14:02,013
passiert ein kleines Prozedera, es wird
die UID abgefragt ein paar andere Werte

151
00:14:02,013 --> 00:14:08,033
und der Speicherinhalt der Figur, das sind
acht Blöcke die der Chip eigentlich hat.

152
00:14:08,033 --> 00:14:12,840
Die Box frägt aber 9 Blöcke ab der 9.
Block ist nur dafür da um festzustellen ob

153
00:14:12,840 --> 00:14:16,557
es ein Fake tag ist die dann auf dem neten
dann doch noch irgendwelche Daten

154
00:14:16,557 --> 00:14:20,901
Antworten, also heißt die Tonies haben da
schon ein kleinen Check reingebaut, dass

155
00:14:20,901 --> 00:14:25,226
nicht die beliebigsten Fake tags da
verwendet werden können. Gut, die UID wird

156
00:14:25,226 --> 00:14:30,051
gespeichert und der Blog Content dann
speichert Box die Figur wieder und wird

157
00:14:30,051 --> 00:14:34,371
nur noch über Präsenzdetektion geschaut,
ist diese Figur noch drauf. Beim

158
00:14:34,371 --> 00:14:39,551
Aufstellen auf die Box passiert das ganze
und bin in einer halben Sekunde spielt die

159
00:14:39,551 --> 00:14:43,672
Box die Musik ab. Was passiert wenn man
jetzt während dem Auslesen einfach die

160
00:14:43,672 --> 00:14:47,244
Figur wegzieht? Das haben wir auch
festgestellt, ja dann ist diese Figur

161
00:14:47,244 --> 00:14:54,035
lesbar wie jeder andere NFC Tag. Das heißt
man geht einfach nur her *lachen im

162
00:14:54,035 --> 00:15:02,315
Publikum, anschließende Applaus* so.
X: Das hat das hat jetzt nicht viel mit

163
00:15:02,315 --> 00:15:08,879
Hacken zu tun.
Y: also das ist doch doch das kann jedes

164
00:15:08,879 --> 00:15:11,149
Kind.
<i>1. Person: lächelt</i>: Ob das so gedacht

165
00:15:11,149 --> 00:15:14,476
war oder ob das so geplant war von der
Firma, die das entwickelt hat, wir haben

166
00:15:14,476 --> 00:15:18,996
keine Ahnung. Auf jeden Fall funny, danach
kann man das Ding mit dem Handy auslesen

167
00:15:18,996 --> 00:15:23,457
aber man kann nichts emulieren.
Person Z: Es gab mal kurz das Gerücht, wir

168
00:15:23,457 --> 00:15:27,560
hätten mit einer Klopfmethode den NXP
Sicherheitschip geknackt. Ganz so ist es

169
00:15:27,560 --> 00:15:33,543
nicht. Also ja gut danach schaut die Box
nur noch ist diese Figur da und das macht

170
00:15:33,543 --> 00:15:38,680
sie dann mit dem addressed Mode get random
egal gut. Wenn wir uns dann diesen tag der

171
00:15:38,680 --> 00:15:43,495
jetzt magischerweise entschlüsselt ist mal
genauer anschauen proxmark, der Einer oder

172
00:15:43,495 --> 00:15:48,531
Andere kennt es, kann man per sys Info mal
gucken was steht da so in diesem in der

173
00:15:48,531 --> 00:15:53,438
UID drin DSF ID die ganzen Dinger egal. Da
kommt die UID ja das ist jetzt eine geixte

174
00:15:53,438 --> 00:15:57,380
UID von dem echten Tonie von mir und wenn
man dann noch den Memory dumpt, dann hat

175
00:15:57,380 --> 00:16:01,355
man noch die 8 Blöcke da unten mit den
entsprechenden Speicherinhalt und wir

176
00:16:01,355 --> 00:16:06,484
können sagen, was in dieser Figur steht
nein es ist nicht die Musik es ist die UID

177
00:16:06,484 --> 00:16:11,598
die von NXP rein gelasert wurde auch immer
wurde und 32 Byte Dateninhalt. Jetzt

178
00:16:11,598 --> 00:16:16,586
können man natürlich schauen ist es
random. Also wir haben keine Struktur

179
00:16:16,586 --> 00:16:20,848
gefunden. Man könnte jetzt auch tausende
Tonis irgendwo auslesen, würde keiner tun.

180
00:16:20,848 --> 00:16:22,781
Person dd: ne diesen Aufwand würde
niemand treiben

181
00:16:22,781 --> 00:16:25,780
Geko: Nee würde niemand treiben und dann
würde mal feststellen, es ist eigentlich

182
00:16:25,780 --> 00:16:30,802
von Zufallsdaten nicht zu unterscheiden
oder ausgeklügelter Hash. Aber damit haben

183
00:16:30,802 --> 00:16:35,970
wir die Figur identifiziert und können
dann loslegen mit den üblichen Tools. Mit

184
00:16:35,970 --> 00:16:40,517
einem was wie mit proxmark oder FLIper Zero
aber ganz so einfach ist es doch nicht.

185
00:16:40,517 --> 00:16:43,782
Wir haben doch gerade was gelernt über den
privacy Mode, den muss man erstmal

186
00:16:43,782 --> 00:16:47,285
deaktivieren oder dann auch drauf
reagieren. Aber gut dann bauen wir das

187
00:16:47,285 --> 00:16:51,505
Ganze mal eben nach im proxmark 3
bekanntes Hardware Hacker Tool NFC Hacker

188
00:16:51,505 --> 00:16:57,042
Tool war die Unlock Funktion nicht
implementiert, man kann auch nicht die

189
00:16:57,042 --> 00:17:01,390
Kommandos einzeln senden und dann selber
mal schon im Taschenrechner diesen

190
00:17:01,390 --> 00:17:06,982
hochsicheren kryptografischen Vorgang
nachimplementieren, weil das Feld des NFC

191
00:17:06,982 --> 00:17:13,080
tags muss aktiv bleiben für die Abfrage
des Randoms und dem Setzen des Passwords.

192
00:17:13,080 --> 00:17:19,632
Gut kein Aufwand schell implementiert
eigenen fork vom glob ICEM Repo war von

193
00:17:19,632 --> 00:17:26,020
proxmk 3 implementiert. Dann nächste
Schritt emulieren, ja Specs runterhacken.

194
00:17:26,020 --> 00:17:30,790
Das also das kann jeder, also auch diesen
fork mal kurz erweitert um die slixl

195
00:17:30,790 --> 00:17:34,800
Emulation und auch das implementiert. Dann
kam so langsam dieses Flipper Zero Dings.

196
00:17:34,800 --> 00:17:38,173
Ich weiß nicht ob die eine oder andere das
kennen, das ist auch ganz lustiges

197
00:17:38,173 --> 00:17:43,239
Spielzeug für Hacker. Mensch der hat auch
irgendwas mit NFC Emulation und auslesen,

198
00:17:43,239 --> 00:17:47,307
passt, implementier mal auch. Also die
Unlock Funktion easy peasy einfach mal

199
00:17:47,307 --> 00:17:52,533
kurz nachimplementieren Feld Anlassen
alles okay? Bei der Emulation das hast

200
00:17:52,533 --> 00:17:59,044
dann anders aus. Der Chip der hier verbaut ist
kann kein Slicks emuliert, er kann auch

201
00:17:59,044 --> 00:18:04,900
nicht wirklich nfcv V implementieren außer
UID kann das Ding nichts, aber er kann den

202
00:18:04,900 --> 00:18:09,937
Pass through Modus. Pass through heißt man
moduliert vom Microcontroller aus die

203
00:18:09,937 --> 00:18:16,921
Feldstärke über opins und bekommt im
Umkehrschluss die Gegenmodulation des NFC

204
00:18:16,921 --> 00:18:25,196
Chips über iopin zurück. Das heißt ja man
fängt halt mal an warum nicht mach mal banging

205
00:18:25,196 --> 00:18:31,566
von ISO 15693 kling einfach dann sukzessiv merkt 
man schon Mensch gar nicht? *einzelne

206
00:18:31,566 --> 00:18:35,535
gelächter* So toll Microcontroller für die
ganzen millisekundenweise da komplett

207
00:18:35,535 --> 00:18:43,361
blocken iO tockeln und ganz ehrlich 256 Byte
Datentransfers was NFCV kann, das dauert

208
00:18:43,361 --> 00:18:48,452
schon seine Zeit. Dann habe ich halt
anfangen das ganze mit DMA unterstützt,

209
00:18:48,452 --> 00:18:53,531
kann man ein bisschen vorberechnen, aber
auch da hat sich festgestellt Mensch für

210
00:18:53,531 --> 00:18:59,147
256 Byte oder 255 by Speicherinhalt, wir
bräuchten 140 KB RAM nur vorberechnet, das

211
00:18:59,147 --> 00:19:04,008
kostet auch seine Zeit. Also war das
Ergebnis ein bisschen so Ringbuffer und

212
00:19:04,008 --> 00:19:08,797
just in time vorberechnen war dann doch
ein kleines Unterfangen und größerer Pull

213
00:19:08,797 --> 00:19:13,668
Request, die auch die Kollegen von Flipper
Zero death Team dann irgendwann Mitte

214
00:19:13,668 --> 00:19:17,590
dieses Jahres irgendwann endlich
abgesegnet haben. Rechts sieht man noch

215
00:19:17,590 --> 00:19:21,797
sagt mal Bild oben ein Original NXP Tag 
unten der Flippers Zero der

216
00:19:21,797 --> 00:19:26,987
da der Toniebox jo ich bin ein Benjamin 
Blümchen Tonie. <i>Einzelne Gelächter</i>

217
00:19:26,987 --> 00:19:37,362
Gut <i>Applaus</i>
damit haben wir ein Perk Unlock so die NFC

218
00:19:37,362 --> 00:19:39,531
Geschichte kann man emulieren 
kann man auslesen.

219
00:19:39,531 --> 00:19:42,478
Das ist schon eins der drei
Achsen die da die wir brauchen um

220
00:19:42,478 --> 00:19:45,648
lustige Dinge mit der Box zu machen.
G: Genau über die drei Achsen

221
00:19:45,648 --> 00:19:49,258
sprechen wir bisschen näher. NFC haben wir
jetzt gerade gelernt, können wir.

222
00:19:49,258 --> 00:19:54,133
Emulieren wir kennen die ganzen Daten wie
es rein und raus muss es gibt ja noch die

223
00:19:54,133 --> 00:19:59,301
SD-Karte. Was ist denn auf der SD-Karte
drauf? Also erstmal war ganz einfach uns

224
00:19:59,301 --> 00:20:03,664
gemacht worden es ist eine FAT 32
formatierte SD-Karte die wir ganz frei

225
00:20:03,664 --> 00:20:10,243
lesen konnten die Ordnerstruktur sah
relativ einfach aus: random Zahlen Namen,

226
00:20:10,243 --> 00:20:16,895
Ordnernamen wo eine Datei drin lag ohne
Endung auch mit uns erstmal random Nummer

227
00:20:16,895 --> 00:20:21,500
aussehend. Letztendlich haben wir aber
festgestellt, diese Zahlen sind gar nicht

228
00:20:21,500 --> 00:20:26,334
so random, die haben doch schon irgendwas
mit der UID zu tun. Also relativ einfach

229
00:20:26,334 --> 00:20:33,655
ist die UID im reverse Darstellung als
Ordnername verwendet worden und als

230
00:20:33,655 --> 00:20:39,472
Dateiname sodass rein über die Ordner und
Dateinamen Benennung die Zuordnung zu

231
00:20:39,472 --> 00:20:46,046
einem NFC tag gegeben ist. Das haben wir
vorhin gelernt, wir haben custom tags

232
00:20:46,046 --> 00:20:51,238
besorgt, die auch eine UID haben und der
erste Versuch war natürlich das mal

233
00:20:51,238 --> 00:20:58,267
umzubenennen und siehe da: im Offline
Modus ich nehme das mal vorweg konnte man

234
00:20:58,267 --> 00:21:02,731
die dann auch auch abspielen. Was ist denn
auf der SD-Karte noch drauf? die Datei

235
00:21:02,731 --> 00:21:09,551
selber die Datei selber wenn man sich die
anschaute fand man 4 KB Blöcke die

236
00:21:09,551 --> 00:21:16,630
verschiedenste Inhalte hatten der erste 4
KB Block war wirklich im protobuff

237
00:21:16,630 --> 00:21:24,688
gespeicherte Informationen passend zum
Tonie Daten wie Track Anzahl Sprungmarken

238
00:21:24,688 --> 00:21:31,578
zu den Audio Inhalten aber auch eine Audio
ID und Hashwert. Was wir dort nicht

239
00:21:31,578 --> 00:21:35,968
gefunden haben ist ein schöner
klartextname des Tonis oder der Geschichte

240
00:21:35,968 --> 00:21:40,230
oder vielleicht eine Artikelnummer oder
eine interne Nummer die den Inhalt

241
00:21:40,230 --> 00:21:46,575
identifizieren würde. Das gab es nicht. Es
gab nur die Audio ID was letztendlich beim

242
00:21:46,575 --> 00:21:53,120
Codieren des Audioinhaltes als Unix
Timestamp verwendet wurde. Das heißt, wir

243
00:21:53,120 --> 00:21:58,803
wussten wann ist der Audioinhalt erstellt
aber nicht welcher Inhalt. Die weiteren 4k

244
00:21:58,803 --> 00:22:04,093
Blöcke sind jeweils Opus Teile nicht
verändert einfach komplett hinten

245
00:22:04,093 --> 00:22:09,956
angehängt, das heißt einfachster Schritt
ersten 4k Block abschneiden und man konnte

246
00:22:09,956 --> 00:22:15,768
es ganz normal mit ein ock opusfähigen
Spieler abspielen ohne treckination weil

247
00:22:15,768 --> 00:22:19,838
die sind ja im ersten 4k Block. Mit diesen
Informationen haben wir uns dann

248
00:22:19,838 --> 00:22:25,360
hingesetzt und haben eigene Inhalte in
Opus umgewandelt und haben diese dann mit

249
00:22:25,360 --> 00:22:31,819
einem eigenen Header versehen und auf der
Toniebox getestet und siehe da, wir

250
00:22:31,819 --> 00:22:38,902
konnten auch das genauso darstellen und
abspielen. Was machen wir mit der

251
00:22:38,902 --> 00:22:44,346
Information? Was haben wir noch?
Entschuldigung ach das ging auch die OPus

252
00:22:44,346 --> 00:22:50,414
pages. Eine kleine Besonderheit diese AdOpus
pages mussten immer ein vollen 4k Block

253
00:22:50,414 --> 00:22:56,158
darstellen. Das heißt wir durften die Tonie
Datei nie irgendwo mit dem Audioinhalt

254
00:22:56,158 --> 00:23:00,533
enden lassen sondern wir muss en den
letzten Block immer noch auf 4k auffüllen,

255
00:23:00,533 --> 00:23:09,172
ansonsten hat die Box auch gestreickt. So
jetzt haben wir quasi das Dateiformat

256
00:23:09,172 --> 00:23:14,440
erkannt, ausgelesen, analysiert,
entschlüsselt würde ich nicht sagen, weil

257
00:23:14,440 --> 00:23:18,687
da war nicht viel verschlüsselt und wir
wissen wie die RFID Funktion

258
00:23:18,687 --> 00:23:23,952
funktionieren. Was machen wir jetzt mit
dem Wissen? Relativ simpel, lass uns eine

259
00:23:23,952 --> 00:23:29,113
Software bauen, die anderen Leuten
ermöglicht eigene Inhalte auf die Box zu

260
00:23:29,113 --> 00:23:36,136
bringen. Das heißt unser erster step war
Teddy Bench. Bevor wir jetzt reingehen. Um

261
00:23:36,136 --> 00:23:42,152
das zu benutzen müssen wir aber erstmal
Zugriff zur SD-Karte bekommen. Jetzt

262
00:23:42,152 --> 00:23:46,087
zeigen wir euch mal kurz wie die toniebox
aufgebaut ist und wie schnell man den

263
00:23:46,087 --> 00:23:56,137
Zugriff auf die SD-Karte bekommen kann.
Das ist ein Bayonettverschluss,

264
00:23:56,137 --> 00:24:01,186
idealerweise drückt man den auf dem
Fliesenboden und dreht den um 15°, dann

265
00:24:01,186 --> 00:24:06,190
springt der auf mit einer Schraube
gesichert. Also hier großes Kompliment an

266
00:24:06,190 --> 00:24:11,194
die Produkte Produktdesigner. Ich habe
selten ein so leicht wartbares Produkt in

267
00:24:11,194 --> 00:24:20,520
den Händen gehabt. <i>Applaus</i>
<i>einzelne Gelächter</i>

268
00:24:20,520 --> 00:24:23,370
Nein das darf man ja mal gerne
erwähnen, weil das sind ja versteckte

269
00:24:23,370 --> 00:24:28,140
Sachen in dem Produkt ihr seht
zerstörungsfrei ohne Klebeaktion oder

270
00:24:28,140 --> 00:24:35,062
clipaktion ist dieses Produkt schnell
erreichbar. SD-Karte raus und wie vorhin

271
00:24:35,062 --> 00:24:40,804
schon gesagt, in den nächsten SD-Karten
Leser oder direkt in Rechner reinstecken

272
00:24:40,804 --> 00:24:45,552
um dann die Inhalte zu bearbeiten. Aber
welche Inhalte haben wir denn? Ich habe

273
00:24:45,552 --> 00:24:49,922
vorhin gesagt, auf dieser Karte sind jetzt
haufenweise einzelne dateils Dateien die

274
00:24:49,922 --> 00:24:56,220
wir jetzt aber gerade nicht ansprechen
können also sind wir angefangen haben eine

275
00:24:56,220 --> 00:25:02,783
Datenbank aufgebaut. ** Über alle Audio
IDs und Hashwerte die wir finden konnten

276
00:25:02,783 --> 00:25:08,852
und haben die dann den Artikelnummern von
den Tonies und den den echten Namen

277
00:25:08,852 --> 00:25:22,686
zugeordnet. Mittlerweile haben wir dort
1100 Tonis drin. <i>Applaus</i>

278
00:25:22,686 --> 00:25:27,600
Ich weiß nicht bei uns gibt's einen Müller
der diese großen Regale hat mit den Tonis,

279
00:25:27,600 --> 00:25:32,268
ich habe da noch nie 1100 Stück gesehen.
Das liegt daran, weil Tonis mittlerweile

280
00:25:32,268 --> 00:25:37,748
so erfolgreich ist, die sind in der UK
mittlerweile sehr etabliert, in den

281
00:25:37,748 --> 00:25:41,680
Staaten, in den USA sehr sehr gut
etabliert, in Frankreich etabliert.

282
00:25:41,680 --> 00:25:46,636
Mittlerweile gibt es auch eine Hong Kong
Edition. Das heißt da kommen schon relativ

283
00:25:46,636 --> 00:25:51,131
viele gleiche Tonis auch in verschiedenen
Sprachen selbst zwischen den

284
00:25:51,131 --> 00:25:55,710
amerikanischen und englischen Tonis gibt
es Unterschiede und diese Information

285
00:25:55,710 --> 00:26:00,051
haben wir erstmal zusammeng gesammelt und
sind auch dort erstmal unser Community

286
00:26:00,051 --> 00:26:05,820
dankbar dass die uns dort unterstützen die
Hashwerte und die Audio IDs zu bekommen.

287
00:26:05,820 --> 00:26:11,435
Diese Information nutzen wir jetzt um in
unserer Software auch die richtigen Icons

288
00:26:11,435 --> 00:26:18,036
darzustellen <i>Gelächter im Publikum,
einzelne Applaus</i> Das heißt die Software

289
00:26:18,036 --> 00:26:25,581
liest die SD-Karte aus, zeigt den
kompletten Content an und lässt uns dann

290
00:26:25,581 --> 00:26:31,460
etliche Dinge hiermit machen. Zum einen
einfacher Schritt die UID Zuordnung die

291
00:26:31,460 --> 00:26:36,494
Verlinkung zwischen dem NFC Tag und dem
audioofile zu verändern. Ihr seht das

292
00:26:36,494 --> 00:26:41,522
jetzt gerade hier unten die tags fangen
alle mit dem e00403 an, das ist die

293
00:26:41,522 --> 00:26:48,960
Identifikation des Standards des nfxtags
und dahinter die Bites sind dann die

294
00:26:48,960 --> 00:26:56,673
eindeutige Zuordnung aus der Tonie
Cloud. Das heißt all diese IDs werden bei

295
00:26:56,673 --> 00:27:02,404
Produktion schon in der Cloud zu einem
audiospiel zugeordnet und wir können jetzt

296
00:27:02,404 --> 00:27:11,365
hiermit die Tonies komplett neu zuordnen
verlinken. So jetzt haben wir vorhin über

297
00:27:11,365 --> 00:27:19,260
die Privacy Mode gesprochen. Wir haben
deswegen hier auch in der teddybench eine

298
00:27:19,260 --> 00:27:24,341
Integration des proxmarks ermöglicht, der
wird einfach per USB angeschlossen und zur

299
00:27:24,341 --> 00:27:29,761
Identifikation der UID kann man jetzt
einfach das Tag auf dem proxmarkt Lesen.

300
00:27:29,761 --> 00:27:36,484
Die Software liest den die passende UID
aus, ordnet die jetzt dem Audio Teil zu,

301
00:27:36,484 --> 00:27:43,395
die SD-Karte, steckt man zurück in die
Toniebox und kann dann erfolgreich mit

302
00:27:43,395 --> 00:27:50,748
einem custom tag... Audio haben wir nicht,
ne? neu . Macht nichts aber ihr würdet

303
00:27:50,748 --> 00:27:57,441
jetzt ein schönes bayerisches Kinderlied
hören, was so definitiv nicht von Tonies

304
00:27:57,441 --> 00:28:02,896
angeboten wird aber es funktioniert, das
kann ich hier versichern. Das ist ein

305
00:28:02,896 --> 00:28:08,194
Stück eines Kinderzuges wo ein NFC Tech
drunter geklebt wurde und die Box spielt

306
00:28:08,194 --> 00:28:17,509
das einwandfrei ab.
<i>Applaus</i>

307
00:28:17,509 --> 00:28:21,925
Wir selber sind, haben wir vorhin schon
gehört, heute zum ersten Mal physisch

308
00:28:21,925 --> 00:28:26,896
zusammen. Wir sind organisiert in einer
telegram chatgruppe, die mittlerweile über

309
00:28:26,896 --> 00:28:32,760
800 Community Mitglieder hat, die dort
fleißig am Basteln sind. Hier sind einige

310
00:28:32,760 --> 00:28:39,231
Beispiele so haben wir z.B. die paw Patrol
Figuren im Angebot gehabt oder wurden

311
00:28:39,231 --> 00:28:47,918
gebastelt bevor Tonie diese als offizielle
Figuren vorstellen konnte. <i>lachen</i> Des

312
00:28:47,918 --> 00:28:56,507
Weiteren wer einmal mit 40 Tonis in Urlaub
gefahren ist weiß wie viel Volumen die im

313
00:28:56,507 --> 00:29:01,613
Auto einnehmen ja? Wenn die Kinder die
alle mitschleppen wollen. Da kam dann die

314
00:29:01,613 --> 00:29:07,020
Idee auf einen travel Tonie oder ein
Cointech zu entwickeln, da hat man einfach

315
00:29:07,020 --> 00:29:12,557
eine 40 mm Münzhülse die Münzsamler sonst
verwenden genommen, hat dort ein dieser

316
00:29:12,557 --> 00:29:18,260
NFC Tex reingemacht und hat dann, das
sieht man in der Mitte und der blaue Ring,

317
00:29:18,260 --> 00:29:23,380
hat dann kleine Discs mit Magnet drin, die
genau die Funktion dann unterwegs

318
00:29:23,380 --> 00:29:27,101
übernehmen einfach mit demselben Inhalt
des Originaltonis verlinkt, den man ja zu

319
00:29:27,101 --> 00:29:33,290
Hause hat und kann dann unterwegs auch
platzsparender sein. Hier sieht man noch

320
00:29:33,290 --> 00:29:37,667
mal den Travel Tonie, der hier unten
zerlegt ist, sind einfach diese

321
00:29:37,667 --> 00:29:42,697
durchsichtigen coinex. Wir haben aber auch
viele laserfiguren oder 3D druckfiguren

322
00:29:42,697 --> 00:29:48,936
gesehen so hat da jeder seine eigene
Bastelmethode um seine Tex schön zu

323
00:29:48,936 --> 00:29:55,700
verpacken für die Kinder. So jetzt haben
wir zwei Aspekte gehört, aber es gab ja

324
00:29:55,700 --> 00:29:59,444
noch die Cloud. Darüber würden wir auch
noch mal kurz gerne sprechen.

325
00:29:59,444 --> 00:30:01,543
G: Ja bit nehme ich mal
M: Danke

326
00:30:01,543 --> 00:30:07,021
G: Genau, die Cloud ist eigentlich recht
simple aufgebaut, wenn man es einmal

327
00:30:07,021 --> 00:30:11,230
verstanden hat. Der Weg dahin war ziemlich
steinig aber im Endeffekt ist es einfach

328
00:30:11,230 --> 00:30:17,735
nur https, wo die Authentifizierung über
ein Kleinzertifikat passiert, das ist ein

329
00:30:17,735 --> 00:30:23,152
Ersatz für Benutzername Passwort und
zusätzlich prüft die Box ob das Gegenüber

330
00:30:23,152 --> 00:30:27,110
wirklich der Tonie Server ist,
dementsprechend können wir uns nicht

331
00:30:27,110 --> 00:30:31,328
einfach dazwischen klemmen. Das haben wir
aber mit dem ausgetauschten Zertifikat

332
00:30:31,328 --> 00:30:36,892
dann hinbekommen. Und der erste Teil der
Schnittstelle der ist erstmal über get

333
00:30:36,892 --> 00:30:41,409
ziemlich simpel, einmal kriegen wir die
aktuelle Uhrzeit vom Server zurück, dann

334
00:30:41,409 --> 00:30:46,277
haben wir die Möglichkeit Firmwareupdates
zu laden dann, hatten wir eben drüber

335
00:30:46,277 --> 00:30:49,787
gesprochen, dass die Tonifigur ein
Speicherinhalt hat und dieser

336
00:30:49,787 --> 00:30:54,431
Speicherinhalt wird als Passwort verwendet
um den Toni über die V2 Content

337
00:30:54,431 --> 00:30:59,603
Schnittstelle herunterzuladen und
andererseits in dem eigenen Account über

338
00:30:59,603 --> 00:31:03,267
claim dann im Account anzuzeigen, wenn man
die App öffnet dass man den Toni auch

339
00:31:03,267 --> 00:31:08,974
sieht. Weiterhin gibt's noch die V1
Schnittstelle ohne Authentifizierung um

340
00:31:08,974 --> 00:31:14,660
System Sounds herunterzuladen. Und im
dritten Block, da ist am interessantesten

341
00:31:14,660 --> 00:31:19,624
der freshness check das ist das, wenn was
passiert wenn man ein Uhr lange drückt die

342
00:31:19,624 --> 00:31:25,084
Box ein bisschen rödelt und dann sagt: oh
ja oder ein Ping macht. Damit prüft die

343
00:31:25,084 --> 00:31:30,671
Box welche Inhalt auf der Box sind und
markiert die Inhalte die nicht aktuell

344
00:31:30,671 --> 00:31:34,383
sind zum Löschen. Das kennt man wenn man
kreativ Toni hat, den aktualisiert dann

345
00:31:34,383 --> 00:31:39,080
drückt man das einmal stellt ihn drauf und
hat den neuen Inhalt dann verfügbar. Ja

346
00:31:39,080 --> 00:31:43,972
und das war's auch schon. Wir haben jetzt
die toni box komplett verstanden und

347
00:31:43,972 --> 00:31:48,312
stehen jetzt alle Türen offen. Da haben
wir uns gedacht, was machen wir denn jetzt

348
00:31:48,312 --> 00:31:53,511
mit unserem ganzen wissen? Ja wir bauen
eigene Cloud ein bisschen C mit Prise

349
00:31:53,511 --> 00:31:58,739
Docker und schon haben wir unseren eigenen
Toni Box Cloud Server, der sich zwischen

350
00:31:58,739 --> 00:32:04,069
die Toniebox Cloud und die eigentliche Box
hängt. Sieht dann beispielsweise so aus,

351
00:32:04,069 --> 00:32:10,038
natürlich die Tonis Jason wieder im
Einsatz ne. Die Nutzung ist für jemand der

352
00:32:10,038 --> 00:32:16,226
technisch das hinbekommt recht einfach.
Man muss nur die Zertifikate von der Box

353
00:32:16,226 --> 00:32:22,635
herunterladen und die Certificate
Authority durch des Teddy Cloud Servers

354
00:32:22,635 --> 00:32:29,729
ersetzen und dementsprechend kann man dann
entweder eigene Inhalte über eine taf-

355
00:32:29,729 --> 00:32:35,278
Datei die man entweder über Ted teddybench
generiert oder über das Webinterface

356
00:32:35,278 --> 00:32:40,145
anlegt an die Toniebox ausspielen.
Zusätzlich gibt es auch eine passthrow,

357
00:32:40,145 --> 00:32:44,839
Funktion das heißt man kann original Tonie
aufstellen, die der Inhalt wird in unser

358
00:32:44,839 --> 00:32:50,797
eigenen Teddy Cloud gespeichert und an die
Box weitergereicht. Und noch als kleines

359
00:32:50,797 --> 00:32:56,195
Goodie haben wir noch eine esp32 Firmware
Patch Funktion drin, dafür brauchen wir

360
00:32:56,195 --> 00:33:00,320
aber trotzdem physischen Zugang zur Box.
Das funktioniert nicht einfach über übers

361
00:33:00,320 --> 00:33:04,320
Netz. Es wäre schön wenn es so wäre, aber
das geht zum aktuellen Zeitpunkt no leider

362
00:33:04,320 --> 00:33:08,680
noch nicht. Dann ist uns aufgefallen, wo
wir uns die Firmware ein bisschen

363
00:33:08,680 --> 00:33:13,880
angesehen haben. Es gibt noch eine zweite
Domaine neben der Proton für die

364
00:33:13,880 --> 00:33:19,560
Datenkommunikation nämlich rtnl und diese
Funktion wird überall in der Firmware

365
00:33:19,560 --> 00:33:26,160
aufgerufen wirklich überall. Und man
drückt das Ohr, es geht request aus, man

366
00:33:26,160 --> 00:33:30,360
stellt die Toni auf, es geht request raus,
man dreht die Box um, es geht ein Request

367
00:33:30,360 --> 00:33:34,600
raus. Also wirklich alles mögliche geht
darüber, das ist alles fein verschlüsselt

368
00:33:36,320 --> 00:33:42,480
ja, beim Einrichten werden interessante
Daten übertragen, ja. Aber wir dachten wir

369
00:33:42,480 --> 00:33:48,200
uns, wir haben die Daten doch schon,
machen wir was damit und binden die Box

370
00:33:48,200 --> 00:33:52,980
einfach mal in Home assistant ein und in
mqtt.

371
00:33:52,980 --> 00:34:00,960
<i>Lachen, Applaus</i>

372
00:34:00,960 --> 00:34:05,920
So jetzt noch mal kurz das ganze in
Aktion: ne die erste wird aufgespielt,

373
00:34:05,920 --> 00:34:10,480
Inhalt wird angezeigt. Als kleines goodi
wird der Name unten noch auf dem LCD

374
00:34:10,480 --> 00:34:15,960
Display angezeigt. <i>Einige Gelächter,
applaus</i> Der nächste Tonie, das gleiche

375
00:34:15,960 --> 00:34:20,920
Spiel, jetzt noch das Klo. Ich weiß nicht,
wer wer das kennt, ist ein super lustiger

376
00:34:20,920 --> 00:34:28,520
Tonie und da gehen die LEDs noch mit an und
als kleine Spielerei ein custom TEAG, der

377
00:34:28,520 --> 00:34:32,360
kein Inhalt abspielt aber in Home
assistant dann eigene Inhalte triggert,

378
00:34:32,360 --> 00:34:36,240
über Spotify was abspielt und man kann
dann sogar die Lautstärke über die Ohren

379
00:34:36,240 --> 00:34:49,160
von seiner Anlage dann regeln, wenn man
das möchte. <i>Lachen, Applaus</i> Ja dann

380
00:34:49,160 --> 00:34:53,400
übergebe ich mal an Gekko Thema
Datenschutz. Bei so vielen Daten ist das

381
00:34:53,400 --> 00:34:56,400
sicherlich interessant.
Gekko: Das ist alles ganz safe das ist

382
00:34:56,400 --> 00:35:00,911
alles https-verschlüsselt. <i>einzelne Gelächter</i> 
<i>Gelächter</i>

383
00:35:00,911 --> 00:35:03,520
Ja gut
also Scherz bei Seite. Tonis hat ja auch

384
00:35:03,520 --> 00:35:08,080
ein eine Datenschutzerklärung, die haben
uns dann mal genauer angeschaut und in der

385
00:35:08,080 --> 00:35:11,360
Datenschutzerklärung steht eine ganze
Menge. Aber bevor wir auf die

386
00:35:11,360 --> 00:35:14,800
Datenschutzerklärung gehen wollen noch mal
rekapitulieren. Wir haben zwei Domains

387
00:35:14,800 --> 00:35:20,160
irgendwas mit protde TBS to da sind die
Inhalte drauf und dieses gerade erwähnte

388
00:35:20,160 --> 00:35:25,520
rtnl da ist dann irgendwie protobff
codiert alles was da im Endeffekt in einem

389
00:35:25,520 --> 00:35:29,720
log file oder Terminal erscheinen würde
irgendwie wird es darüber genudelt. Aber

390
00:35:29,720 --> 00:35:35,000
alles DSGV konform und in Deutschland
gehostet bei Hezner glaube ich also von dem

391
00:35:35,000 --> 00:35:39,080
her sollte eigentlich da überall Siegel
dran sein. Nur ist es ein bisschen komisch,

392
00:35:39,080 --> 00:35:42,720
man stellt ein Tonie auf es wird in die
Cloud geloggt, ändert die Lautstärke, das

393
00:35:42,720 --> 00:35:48,280
wird in die Cloud geloggt, man drückt
irgendwie klopft auf die Box um Titel zu

394
00:35:48,280 --> 00:35:52,560
skippen, es geht in die Cloud. WLAN
Information gehen in die Cloud, also da

395
00:35:52,560 --> 00:35:57,280
kann man wirklich froh sein, dass das Ding
kein Mikrofon hat. <i>gelächter</i> Weil ich

396
00:35:57,280 --> 00:36:04,000
wäre mir nicht sicher was da so passiert.
Datenschutzerklärung: eine Wall of Text,

397
00:36:04,000 --> 00:36:08,600
aber das interessante aus diesem ganzen
Katalog da ist im Endeffekt dieser

398
00:36:08,600 --> 00:36:12,800
Abschnitt. Da wird ganz deutlich erklärt
was passiert bei der Betriebnahme der

399
00:36:12,800 --> 00:36:16,920
erstmaligen, beim Anschalten, beim
Aufstellen eines Tonies, beim skippen. Also

400
00:36:16,920 --> 00:36:21,600
wenn man da auf die Box klopft und das
nächste Lied herzuholen, da wird irgendwas

401
00:36:21,600 --> 00:36:29,040
übertragen. Alles mit Client Zertifikat,
IP-Adresse Timestamp. Beim nutzen genau

402
00:36:29,040 --> 00:36:34,720
hier, noch Ladestation anschließen etc.
Und beim Einrichten wird dann WLAN

403
00:36:34,720 --> 00:36:39,280
Information irgendwas mit SSIDs wird
geloggt die verfügbaren Netze ist aber bei der

404
00:36:39,280 --> 00:36:44,280
Einrichtung also ganz dick fett markiert
Einrichtung, also alles safe mein Gott,

405
00:36:44,280 --> 00:36:49,520
das eine Mal passt schon. Und alle
Informationen werden, steht so, anonym

406
00:36:49,520 --> 00:36:55,080
ermittelt. Sie werden anonym ermittelt,
sobald man aber seine toniebox ID nennt,

407
00:36:55,080 --> 00:37:00,120
kann man es plötzlich mit der Person wier
zuordnen. Also aus der IT oder aus

408
00:37:00,120 --> 00:37:03,080
Informatik ich kenne ich den Begriff
anonym aus einer anderen Ecke. Für mich

409
00:37:03,080 --> 00:37:08,480
ist es Pseudonym, pseudonomisiert, nicht
anonym, aber okay. Ich kenne mich da nicht so

410
00:37:08,480 --> 00:37:11,480
aus. Gut also er noch mal angeschaut, was
haben wir denn in dieser Tonie Cloud?

411
00:37:11,480 --> 00:37:16,800
Irgendwie so real name Box ID etc. Machen
wir doch mal eine Anfrage und gucken was

412
00:37:16,800 --> 00:37:21,160
da so kommt von Tonies und die haben da
auch promt binnen vier Wochen die

413
00:37:21,160 --> 00:37:26,240
Information hier zusammengetragen und mir
erklärt was ich schon wusste, also meine

414
00:37:26,240 --> 00:37:30,760
E-Mail Adresse, mein Name, der angegeben
wurde, die Tonies die ich habe, okay passt.

415
00:37:30,760 --> 00:37:34,640
Aber was ist jetzt mit dem anderen Zeug,
da war doch noch was? Egal aber das ist

416
00:37:34,640 --> 00:37:38,920
hier DSG konform das Hammer Haken dran,
passt, alles gut gemacht. Aber noch mal,

417
00:37:38,920 --> 00:37:42,800
wir haben doch noch Informationen. Wie
jetzt, irgendwas mit WLAN ist es, IDs

418
00:37:42,800 --> 00:37:47,520
Tastendrücke etc.? Was ist damit? Noch mal
explizit eine Anfrage gemacht. Nein, wo

419
00:37:47,520 --> 00:37:52,120
sind diese Informationen von diesem Server
die mir genannt haben? Da kamm die

420
00:37:52,120 --> 00:37:56,720
Rückmeldung: ja ne Moment, das ist alles
anonym! Jede Zeile in dieser Datenbank,

421
00:37:56,720 --> 00:38:03,000
ich nehme mal an die sieht so aus, wie
hier dargestellt, ist nur mit einem Box ID

422
00:38:03,000 --> 00:38:07,000
Dingens verknüpft, nicht mit meinem
Realnamen. Damit ist es nicht

423
00:38:07,000 --> 00:38:15,360
personbezogen, sondern anonym. <i>lachen</i> Ja
okay, gut, also das ist Dsgvo konform <i>einzelne Gelächter</i>

424
00:38:16,080 --> 00:38:21,200
keine Ahnung ich kenne mich da nicht so
aus, müssen wir halt mal glauben. Aber

425
00:38:21,200 --> 00:38:24,520
jetzt noch mal Informatiker oder man muss
ja Informatik studiert haben um zu

426
00:38:24,520 --> 00:38:27,360
verstehen, mensch da gibt's ja die
Möglichkeit Tabellen zu kombiniert irgend

427
00:38:27,360 --> 00:38:36,360
so SQL <i>lachen</i>, outer join, okay aber wie
gesagt, das ist dies DSGVO konform und wir

428
00:38:36,360 --> 00:38:40,480
sind keine Anwälte, wir sind keine
Juristen, wir kennen uns damit nicht aus.

429
00:38:40,480 --> 00:38:45,120
Von dem her mag das so sein, keine Ahnung.
Und uns ist noch was anderes aufgefallen,

430
00:38:45,120 --> 00:38:49,880
Esp32 Box im Betrieb nehmen, irgendwie sind
da immer Namen über diese rtnl Logs

431
00:38:49,880 --> 00:38:54,120
gekommen, die Moment, das hat doch nichts
mit mir zu tun, das waren doch SSIDs in

432
00:38:54,120 --> 00:39:00,960
der Nähe. Mensch ich probiere mal was.
<i>einzelne Gelächter</i> Es gibt mit ESP32,

433
00:39:00,960 --> 00:39:04,000
wenn man so ein eigenen Microcontroller
hinstelt, die Möglichkeit hier mal

434
00:39:04,000 --> 00:39:10,400
irgendwelche Fake SSIDs aufzubauen. Und
dann rödelt der dann tausende Fake SSIDs

435
00:39:10,400 --> 00:39:14,200
los. Machen wir das mal bei der Box. Was
passiert dann wenn die Box diese SSIDs

436
00:39:14,200 --> 00:39:19,760
sieht: BAM! Alle Informationen, die hier
so sieht, mein Gäste WLAN, ich habe die

437
00:39:19,760 --> 00:39:23,040
Box nie mit dem Gästewlan verbunden, aber
auch mit dieser "if you can read this",

438
00:39:23,040 --> 00:39:28,720
das kam alles über die debug Logs zum Tonie
Cloud Server. Aber keine Angst alles DSGVO

439
00:39:28,720 --> 00:39:35,080
konform und anonym. Gut sagt man na gut
aber wer jetzt da keine Lust drauf hat

440
00:39:35,080 --> 00:39:38,000
diese Information irgendwie DAU und
preiszugeben der darf ja natürlich gerne

441
00:39:38,000 --> 00:39:47,240
auch Alternativen nutzen und da haben wir
ja <i>lachen</i> da haben wir ja dann auch noch

442
00:39:47,240 --> 00:39:51,640
ein paar kleine Alternativen vorbereitet,
die wir noch mal kurz antiasern bitte: die

443
00:39:51,640 --> 00:39:56,560
hackiebox und...
G: Ich nehme den hackiebox und hackiebox

444
00:39:56,560 --> 00:40:01,640
hatten wir eben ja schon angesprochen. Wir
haben für die CC 3200 Variante eine eigene

445
00:40:01,640 --> 00:40:05,760
Firmware geschrieben und ein eigenen
Bootloader. Fangen wir mit der Custom

446
00:40:05,760 --> 00:40:09,840
Firmware einfach mal an. Das ist mehr oder
weniger Proof of Concept, damit kann man

447
00:40:09,840 --> 00:40:15,080
Dateien auf die Box hoch und runterladen,
auf den Flash aber auch auf die microSD.

448
00:40:15,080 --> 00:40:18,720
Das ist halt ganz praktisch man möchte die
Box nicht immer öffnen den Tech Connector

449
00:40:18,720 --> 00:40:24,960
dran stecken um eine Datei auf Flash
irgendwie auszutauschen. Und zusätzlich

450
00:40:24,960 --> 00:40:28,960
ist es ganz praktisch Box zu reparieren,
weil man kann gucken, funktioniert die

451
00:40:28,960 --> 00:40:34,400
Audio Schnittstelle, funktioniert der FD,
ist der Akku ok, dann kann ich in 24

452
00:40:34,400 --> 00:40:41,280
Stunden Test machen, gucken wie lange der
Akku hält so. Eben schon angesprochen, ein

453
00:40:41,280 --> 00:40:46,000
Bootloader wäre ganz praktisch. Den haben
wir dann auch implementiert. Da war dann

454
00:40:46,000 --> 00:40:51,360
die Idee, ok wir installieren erstmals im
Flash der Box einen Preloader der einfach

455
00:40:51,360 --> 00:40:56,560
nur eine Datei auf der Micro SD-karte lädt.
Das heißt in Zukunft kann jeder einfach

456
00:40:56,560 --> 00:41:00,480
dann die Micro SD-Karte raus und die
Dateien dementsprechend dort verändern und

457
00:41:00,480 --> 00:41:06,440
muss nicht mehr an den Flash. Ist erlaubt
einerseits das Booten der Originalfirmware

458
00:41:06,440 --> 00:41:10,680
andererseits kann man auch die Custom
Firmware starten und zusätzlich kann man

459
00:41:10,680 --> 00:41:15,000
dann wirklich live patching betreiben, das
heißt die Originalfirmware liegt dort, ich

460
00:41:15,000 --> 00:41:18,520
aktiviere die Patches, die ich haben will
in der Konfigurationsdatei, und kann dann

461
00:41:18,520 --> 00:41:22,520
beispielsweise sagen, ok der privacy
Mode soll abgeschaltet bleiben und nicht

462
00:41:22,520 --> 00:41:29,160
wieder eingeschaltet werden. Andererseits
haben wir ja auch andere Text sli die Sli

463
00:41:29,160 --> 00:41:33,880
Gruppe nenne ich einfach mal dann ist der
Check über die UID weg, da ist der Check

464
00:41:33,880 --> 00:41:36,680
über die acht Blöcke weg und
dementsprechend kann man alle Text

465
00:41:36,680 --> 00:41:43,440
verwenden. Man kann die Block, die Cloud
hard blockieren, wenn man das möchte, und

466
00:41:43,440 --> 00:41:49,440
man kann auch die URLs der Cloud und die
ca dementsprechend dynamisch einsetzen.

467
00:41:49,440 --> 00:41:54,240
Und das erlaut dann zwischen der Original-
Firmware mit der Originalcoud und der

468
00:41:54,240 --> 00:41:57,520
eigenen Cloud zu wechseln, wenn man das
möchte. Sollte die Cloud aktuell nicht

469
00:41:57,520 --> 00:42:00,040
funktionieren, das Kind sagt, ich möchte
jetzt aber unbedingt!, dann kann man mal

470
00:42:00,040 --> 00:42:03,680
eben rumswitchen, das ist ganz praktisch.
Man weiß ja, Kinder haben es meistens

471
00:42:03,680 --> 00:42:09,300
eilig. Und wenn man abends schlafen
möchte, muss die Toniebox laufen.

472
00:42:09,300 --> 00:42:14,400
<i>gemurmel</i> Der nächste Block geht übers
Modding und die Reparatur. Einfach mal

473
00:42:14,400 --> 00:42:19,560
paar Eindrücke. In der Mitte selbstgebaute
akupacks, rechts unten bisschen größer,

474
00:42:19,560 --> 00:42:24,640
damit die etwas länger hält, links ja das
typische Problem, wenn man die Box das

475
00:42:24,640 --> 00:42:27,080
erste mal auseinander nimmt, bisschen
ruppiger reißt, auch gerne mal so eine

476
00:42:27,080 --> 00:42:32,600
Buchse aus und da unterstützen wir gerne
mal bei der Reparatur, weil wir wissen

477
00:42:32,600 --> 00:42:40,480
halt mittlerweile wo die Kontakte liegen,
wo die lang laufen. Ja wir haben noch den

478
00:42:40,480 --> 00:42:47,240
Link, den RGB Ring rechts oben. Da haben
wir gleich noch ein Bild zu. Da hat einer

479
00:42:47,240 --> 00:42:50,000
aus der Community gesagt, okay ich bau ein
Ring ein, die Box soll noch schön

480
00:42:50,000 --> 00:42:57,680
leuchten. Und unten noch eine kleine debug
3D druckbox zum basteln. So das war noch

481
00:42:57,680 --> 00:43:02,000
ein Thema, das lag mir ganz besonders am
Herzen, wir hatten eine Anfrage aus der

482
00:43:02,000 --> 00:43:08,560
Community von Toro und der kleine Tochter
kann die Toniebox nicht 100% bedienen.

483
00:43:08,560 --> 00:43:14,400
Typischerweise muss man klopfen und kippen
um die Titel zu springen, oder zu spulen.

484
00:43:14,400 --> 00:43:18,040
Und durch die körperliche Einstränkung war
das einfach nicht möglich. Und dann haben

485
00:43:18,040 --> 00:43:23,120
wir zusammen geguckt wie können wir das
lösen, und da war die Idee ok,

486
00:43:23,120 --> 00:43:27,960
elektrisch kennt er sich aus, aber auf der
technischen Ebene von der Toniebox nicht,

487
00:43:27,960 --> 00:43:32,800
und dann haben wir eine Lösung gebastelt
um halt Microcontroller dort einzubauen

488
00:43:32,800 --> 00:43:37,760
und den Beschleunigungschip durch
Mikrocontroller zu ersetzen dor hat dann

489
00:43:37,760 --> 00:43:41,200
noch zwei Buttons eingebaut und
dementsprechend kann man dann durch kurzes

490
00:43:41,200 --> 00:43:45,000
Drücken zum nächsten Titel springen und
durch langes drücken dann spelen.

491
00:43:45,000 --> 00:43:58,880
<i>umfangreiches applaus</i> Hier haben wir
noch einen kurzen Ausblick zur zu gegos

492
00:43:58,880 --> 00:44:03,240
Bluetooth Mode. Da gibt's eine schöne
fertige Platine, mit der man dann bei der

493
00:44:03,240 --> 00:44:08,200
Toniebox Bluetooth nachrüsten kann. Da
muss man nur paar Käbelchen dran löten und

494
00:44:08,200 --> 00:44:12,720
dann funktioniert das auch schon. Ist auch
auf seinem Blog zu sehen, dementsprechend

495
00:44:12,720 --> 00:44:17,960
wer sich für interessiert, schaut einfach
mal rein. Und dann übergebe ich an Gambr.

496
00:44:17,960 --> 00:44:22,720
G: Ja, jetzt haben wir alle vier hier
schon gesprochen. Wir haben uns viel

497
00:44:22,720 --> 00:44:26,240
Gedanken dazu gemacht, wie wir denn
starten und da wir so viel Inhalt hatten,

498
00:44:26,240 --> 00:44:30,000
und jetzt nur die Ergebnisse zeigen
konnten der Zeit sei es geschuldet, haben

499
00:44:30,000 --> 00:44:35,000
wir auch eine vorherige Vorstellung
erstmal aufgeschoben. Ich möchte dennoch

500
00:44:35,000 --> 00:44:41,360
einmal kurz das Team vorstellen. Da haben
wir neben mir geggo, der an den ganzen

501
00:44:41,360 --> 00:44:46,720
reverse Software Reverse Engineering
Themen zusammen mit badby gearbeitet hat

502
00:44:46,720 --> 00:45:00,000
aber auch die ganze Hardware mit reverse
engineert hat. <i>Applaus</i>

503
00:45:00,000 --> 00:45:06,560
Daneben haben wir badbee. Badbee hat auch
viel an den custom software geschrieben

504
00:45:06,560 --> 00:45:11,240
und viel an den Hardware Reverse
Engineering Sessions dran teilgenommen und

505
00:45:11,240 --> 00:45:14,633
hat auch mit mir die Daten das
Datenmanagement gemacht, die Datenbank

506
00:45:14,633 --> 00:45:18,274
aufgebaut die ja in Teddy Bench auch mit
eingebunden ist, die wir vorhin gesehen

507
00:45:18,274 --> 00:45:24,748
haben. 
'<i>Applaus</i>

508
00:45:24,748 --> 00:45:32,360
Moritz ist derjenige der uns das
Reparieren der ganzen toniy Boxen erst

509
00:45:32,360 --> 00:45:38,960
ermöglicht hat. Er hat die meisten Chips
schon identifiziert gehabt bevor wir ihn

510
00:45:38,960 --> 00:45:43,360
getroffen haben, er kam mit einer super
Liste um die Ecke, ich glaube, wenn ich in

511
00:45:43,360 --> 00:45:47,880
deine Dateien schaue, habe ich glaube ich
ein komplettes PCB, was reverse engineiert

512
00:45:47,880 --> 00:45:52,560
ist. Und er ist derjenige der dafür
gesorgt hat, dass man auf Ebay keinerlei

513
00:45:52,560 --> 00:46:02,880
defekten Tonieboxen mehr findet. <i>alle
vier und das Publikum lachen</i> <i>Applaus</i>

514
00:46:02,880 --> 00:46:08,560
Als wir gestartet sind konnte man noch für
10 15 € allerlei Tonieboxen finden, die

515
00:46:08,560 --> 00:46:13,400
angeknabberte Ohren oder sonstige
abgerissene Stecker hatten. Das hat uns

516
00:46:13,400 --> 00:46:17,360
auch bei unserer Bastelei sehr stark
geholfen. Mittlerweile ist das gegen Null

517
00:46:17,360 --> 00:46:21,640
gegangen, weil auch durch unsere
Dokumentation sehr viele

518
00:46:21,640 --> 00:46:26,520
Reparaturanleitung durch die Community und
durch diverse Youtube Videos und Seiten

519
00:46:26,520 --> 00:46:31,640
einfach gepublished wurden und dass auch
jeder zu Hause seine Box reparieren kann

520
00:46:31,640 --> 00:46:41,920
und damit weiterarbeiten kann. <i>applaus</i>

521
00:46:41,920 --> 00:46:47,000
Gut ich stelle mir ung
selber vor, ich habe nur die Kommunikation

522
00:46:47,000 --> 00:46:52,240
und das NFC Thema mit euch zusammen und
das ganze Datenmanagement gemacht, ich

523
00:46:52,240 --> 00:46:56,600
ziehe den Hut vor die Softwareeleistung,
die ihr erbracht habt. Da war ich

524
00:46:56,600 --> 00:47:00,550
Zuschauer und nur Kritiker und first
Tester, aber als Team haben wir es doch

525
00:47:00,550 --> 00:47:12,276
dann gemeinsam gut gemeistert.
<i>Viele Applaus, Wows</i>

526
00:47:12,276 --> 00:47:16,520
Und man schafft das
ganze natürlich nicht alleine, man braucht

527
00:47:16,520 --> 00:47:20,865
eine Community, die hilft und Unterstützer
hier. Ganz vielen Dank auch aus einem

528
00:47:20,865 --> 00:47:25,700
Revox telegram Channel Mitglied oder an
ein telegram Channel Mitglied blunazgul,

529
00:47:25,700 --> 00:47:30,268
der uns immer unterstützt hat mit Medien
mit Tonies etc, danke auch an nv1t ich

530
00:47:30,268 --> 00:47:35,624
hoffe ich spreche richtig aus, der auch
einen Talk hätte gehabt hätte über das

531
00:47:35,624 --> 00:47:40,385
Thema Audiooboxen und Reverse Engineering.
Den hat sich zurückgezogen, hat gesagt, er

532
00:47:40,385 --> 00:47:45,223
lässt uns hier den Vortritt, also vielen
lieben Dank an Dich! An die Firma Aronia

533
00:47:45,223 --> 00:47:50,217
AG die uns massiv unterstützt hat mit
Hardware, ohne die manche Aspekte hier

534
00:47:50,217 --> 00:47:55,640
nicht möglich gewesen wären, z.B das
Messen der Feldstärke um dann die ja

535
00:47:55,640 --> 00:48:01,185
kleinen Bugs, die man halt so in der
Software eben hat, rauszufinden auch an

536
00:48:01,185 --> 00:48:06,620
Lab 401, die einen Flipper Zero spendiert
haben um genau dieses ISO 15693 Thema zu

537
00:48:06,620 --> 00:48:11,962
pushen und dann auch vielen lieben Dank an
die ganze telegram Gruppe wie gesagt 800

538
00:48:11,962 --> 00:48:16,515
Leute und da hilft jeder jeden einen
besonderen Dank noch an Philipp der immer

539
00:48:16,515 --> 00:48:20,389
kurz vor Weihnachten kurz vor Weihnachten
die Fotos für den ganzen PCBs macht. Mehr

540
00:48:20,389 --> 00:48:23,983
so Stress, er hat keine Zeit, aber er
macht trotzdem. Er macht's trotzdem. Er ist

541
00:48:23,983 --> 00:48:28,020
eigentlich Fotograf, hat eigentlich immer
nichts zu viel zu tun <i>andere drei lachen</i>

542
00:48:28,020 --> 00:48:32,279
und dann kommt immer kurz vor Weihnachten,
ja mache ich dir. Und an den RFID friend

543
00:48:32,279 --> 00:48:36,359
der uns immer mit offen gelegten Text
versorgt und hier auch ja, wie es gerade

544
00:48:36,359 --> 00:48:40,120
erwähnt wurde, mit clons das ein oder
andere Mal auch ein Griff ins Klo hatte,

545
00:48:40,120 --> 00:48:43,711
aber uns dann doch immer die genuine Tex
die original NXP Tag liefert. Also da

546
00:48:43,711 --> 00:48:48,283
vielen Dank an alle die mit unterstützt
haben und hier noch ein paar Kontaktdaten.

547
00:48:48,283 --> 00:48:52,716
Also ihr könnt uns dann wenn Q&A session
zu kurz ist, wenn Fragen sind, könnt ihr

548
00:48:52,716 --> 00:48:56,864
uns kontaktieren. Macht Fotos, QRCode mit
allen Informationen und wir haben

549
00:48:56,864 --> 00:49:02,327
decktelefone. Wir sind teilweise bis die
ganze Woche oder na ja bis bis zu Ende na

550
00:49:02,327 --> 00:49:06,988
ja Tag 4, ja B Tag 4 da also Schut euch
nicht ruft uns an schreibt uns und dann

551
00:49:06,988 --> 00:49:13,753
war das soweit uns und ich übergeb an die
Q&A session Bitteschön.

552
00:49:13,753 --> 00:49:22,735
<i>Applaus</i>

553
00:49:22,735 --> 00:49:26,827
Engel: Ja herzlichen Dank an die Tonieboxer .
Kurze Entschuldigung wegen den Audio

554
00:49:26,827 --> 00:49:31,907
Ausfällen das sind stille Feueralarme da
wird die PA im Saal einfach herunter

555
00:49:31,907 --> 00:49:35,956
geregelt für die nächsten 5 bis 10
Sekunden, das Stream hört es nicht. Also

556
00:49:35,956 --> 00:49:39,740
für die, die sich im Stream dann gewundert
haben, was jetzt auf der Bühne los war,

557
00:49:39,740 --> 00:49:45,303
das wäre die Erklärung. Entschuldigung.
So, wir hätten jetzt Zeit, einiges an Zeit

558
00:49:45,303 --> 00:49:51,055
für Fragen an die vier Tonieboxer, an die
Mikros oder wenn... Ja! Da hinten im

559
00:49:51,055 --> 00:49:56,471
Internet gibt schon die erste Frage, sonst
auf rein, bitte raus geholt. Engel: Also

560
00:49:56,471 --> 00:50:02,279
die erste Frage aus dem Internet ist, kann
man z.B die Firmware von vergleichbaren

561
00:50:02,279 --> 00:50:07,848
Open Source RFID Audio Playern z.B ESP
uino auf der Hardware laufen lassen, habt

562
00:50:07,848 --> 00:50:12,388
ihr das mal probiert?
M: Ja ich habe Espuino portiert testweise

563
00:50:12,388 --> 00:50:19,058
um bisschen mich mit der Hardware vertraut
zu machen und es läuft rudimentär, aber

564
00:50:19,058 --> 00:50:24,839
nicht wirklich stabil. Deswegen sind wir
dabei Teddy Box umzusetzen und eine eigene

565
00:50:24,839 --> 00:50:29,633
Firmware aufzusetzen die a) die original
Firmware repliziert und b) weitere

566
00:50:29,633 --> 00:50:34,547
Features z.B für die Inklusion dann bietet
um per Ble beispielsweise in Fernbedienung

567
00:50:34,547 --> 00:50:37,462
noch einzubinden.
Gambrios: Aber grundsätzlich muss man

568
00:50:37,462 --> 00:50:42,149
sagen, espuino läuft, man muss dann ein
bisschen tweaken und das anpassen und da

569
00:50:42,149 --> 00:50:47,255
kann man noch mal betonen, ich glaube ich
es gibt keine Hardware espino Box, die so

570
00:50:47,255 --> 00:50:51,874
günstig und so vollkommen ist, wie die
Toniebox . Die kriegt man teilweise für 79

571
00:50:51,874 --> 00:50:55,727
€, man hat ein Lademanagement,
Ladestation, schönes Case. Da sind

572
00:50:55,727 --> 00:51:02,195
sämtliche Bastellösungen, die man dort
findet, wesentlich kostenintensiver.

573
00:51:02,195 --> 00:51:07,600
Engel: Gut danke. Mikrofon numo 4 bitte
rechts hinten.

574
00:51:07,600 --> 00:51:13,110
Frage: Hört man ja okay. Ihr hat es ja
gesagt, ihr habt auch die firmware davon

575
00:51:13,110 --> 00:51:17,963
reverse engineert. Wenn ihr die Version
vom ESP 32 reverse engineert habt, mit

576
00:51:17,963 --> 00:51:22,620
welcher Software, weil gitra hat nicht so
gute Unterstützung für extenser und wäre

577
00:51:22,620 --> 00:51:25,381
gut zu wissen, welche Software ihr dafür
benutzt habt.

578
00:51:25,381 --> 00:51:29,563
M: Also bei der ESP 32 Box ist nicht so
viel Zeit in reverse engineering auf

579
00:51:29,563 --> 00:51:34,333
Software Ebene geflossen, aber trotzdem
gab es dafür ID pro, ich nutze ID pro ein

580
00:51:34,333 --> 00:51:39,685
Plugin für die Extensor Microcontroller.
Das war glaub python Plugin meine ich.

581
00:51:39,685 --> 00:51:43,960
Zumindest läuft bei mir. Und damit habe
ich dann auch mal reingeschaut, aber wie

582
00:51:43,960 --> 00:51:47,204
gesagt, das war mal so reingucken und die
Funktionalität war im Endeffekt das

583
00:51:47,204 --> 00:51:51,755
gleiche, wie bei den ccbxen.
B: Die so mit gidra, ja mit gidra das

584
00:51:51,755 --> 00:51:56,320
geht recht gut. Da ist jetzt die
Peripherie ist nicht angebunden, das heißt

585
00:51:56,320 --> 00:52:01,060
da muss man ein bisschen schauen, bisschen
die Datenblätter lesen aber das geht dann

586
00:52:01,060 --> 00:52:05,480
eigentlich recht gut. Und dank der Debug-
Funktion mit eindeutigen IDs, kann man

587
00:52:05,480 --> 00:52:09,601
jetzt auch immer schauen: okay es kommt
eine DB Nachricht, dann kann ich im coding

588
00:52:09,601 --> 00:52:13,525
einfach mal gucken.
M: Und die CC Boxen habe ich auch mit id

589
00:52:13,525 --> 00:52:18,290
Approval reverse engeniert.
Engel: Ok und schon geht's weiter mit

590
00:52:18,290 --> 00:52:24,106
Mikrofon num 2.
Frage: Die Frage wäre wenn man diese rtnl

591
00:52:24,106 --> 00:52:29,332
Domäne einfach nur blockiert, verhält sich
da die Toniebox irgendwie komisch im

592
00:52:29,332 --> 00:52:32,641
Originalmodus oder ist einfach happy, dass
ich es nicht erreichen kann.

593
00:52:32,641 --> 00:52:36,563
B: Es geht einfach weiter also ist ist
datenschutzfreundlich umgesetzt, wenn man

594
00:52:36,563 --> 00:52:39,720
das denn weiß, kann man die blockieren,
dann hat man Ruhe.

595
00:52:39,720 --> 00:52:44,300
Engel: Okay danke Mikrofon num 1.
Frage: Danke für den Vortrag. Sehe ich

596
00:52:44,300 --> 00:52:48,596
jetzt richtig dass jetzt quasi dadurch
auch einzelne Lieder der Tonie sperren

597
00:52:48,596 --> 00:52:53,762
könntet und man so einen schönen Filter
hätte, falls ein Lied irgendwann sehr

598
00:52:53,762 --> 00:53:00,800
nervt? <i>fröhliches Lachen, Applaus</i>
G: Also direkt zu sagen wir sperren Track

599
00:53:00,800 --> 00:53:08,187
Nummer 5 von dem Tonie, wird wahrscheinlich
schwer umzusetzen sein. Aber wenn du den

600
00:53:08,187 --> 00:53:12,505
audioinhalt nimmst und einfach den Track 5
Audio Part rauslöscht und wieder auf deine

601
00:53:12,505 --> 00:53:15,356
Box drauf bringst, dann ist das sehr wohl
machbar.

602
00:53:15,356 --> 00:53:21,190
M: Hier sei auch erwähnt hier se auch
erwähnt bitte die Box dann am besten im

603
00:53:21,190 --> 00:53:26,627
offlineemus betreiben dann ist sowohl das
Datenschutzthema abgehakt als auch custom

604
00:53:26,627 --> 00:53:31,067
Content ohne Einschränkung möglich.
Engel: Mikrofon numo 4.

605
00:53:31,067 --> 00:53:35,810
Frage: Ja, Ihr habt eine Datenanfrage an
Tonie geschickt, stand ihr dann noch weiter

606
00:53:35,810 --> 00:53:39,490
mit den im Kontakt wegen dem Box ID
matching oder eine Beschwerde an die

607
00:53:39,490 --> 00:53:43,061
Datenschutz Aufsichtsbehörde, vielleicht
irgendwas in der Richtung? Dass das

608
00:53:43,061 --> 00:53:44,880
zukünftig vielleicht nicht mehr so sein
wird.

609
00:53:44,880 --> 00:53:48,860
G: hoffentlich nein, also zum ersten Teil
der Frage. Ja ich habe noch eine Anfrage

610
00:53:48,860 --> 00:53:52,343
gestellt, habe ihnen auch erklärt, von
welcher Domäne ich Kandidaten hätte, also

611
00:53:52,343 --> 00:53:56,734
wo die RTL Lock und so. Weiter die haben
auch dann, muss man auch sagen hut ab,

612
00:53:56,734 --> 00:54:01,350
zwei externe Juristen, die diese Anfrage
beantworten sollten für eine Stunde für

613
00:54:01,350 --> 00:54:05,950
mich abgestellt. Das Gespräch war ok,
sie konnten aber im Endeffekt nichts sagen

614
00:54:05,950 --> 00:54:10,898
außer nein. Das ist alles dsgvo konform und
nein das ist alles anonym, nein SSIDs

615
00:54:10,898 --> 00:54:15,466
übertragen sind keine personbezogen oder
personenbeziehbaren oder indirekt

616
00:54:15,466 --> 00:54:20,587
personenbezogene Daten. Dass da gibt's
kein Urteil zu, damit ist es nicht

617
00:54:20,587 --> 00:54:25,396
personbezogen. Ok von dem her war das
der einzige Kontakt den wir da hatten. Ich

618
00:54:25,396 --> 00:54:29,331
habe noch mal eine Nachfrage zu der
Nachfrage gestellt ob ich denn jemand

619
00:54:29,331 --> 00:54:34,010
bekommen könnte der Aussage kräftig ist.
Da kam jetzt aber leider ist jetzt auch

620
00:54:34,010 --> 00:54:38,811
wieder vier Wochen her, kam nichts. M: Ja ich
habe ich habe parallel eine gestellt ein

621
00:54:38,811 --> 00:54:42,662
Ticken später, da hatte ich auch noch mal
nachgefragt, aber da hatte ich auch bis

622
00:54:42,662 --> 00:54:45,689
heute keine Antwort. Also mal schauen, was
dann noch kommt. Wäre interessant einfach

623
00:54:45,689 --> 00:54:50,597
zu wissen auch mit m Austausch mal zu
gucken, aber es gibt aber noch zwei

624
00:54:50,597 --> 00:54:56,668
interessante Aussagen zu den rtln Daten
und zwar auf Nachfrage, wo wir denn

625
00:54:56,668 --> 00:55:00,944
jetzt diese ganzen mitgelogten Daten
sehen, hat man einmal gesagt na das wäre

626
00:55:00,944 --> 00:55:04,891
schon ganz schön aufwendig die alle
rauszulassen, das sollten Sie jetzt nicht

627
00:55:04,891 --> 00:55:10,050
machen und außerdem würden sie das als
Unternehmensdaten ansehen und damit ihr

628
00:55:10,050 --> 00:55:16,363
Recht drauf behalten, weil sie anonym sind
bis auf der boxid anonym sind.

629
00:55:16,363 --> 00:55:25,340
Engel: Ok danke, aus extern eine
Internetanfrage habe ich gesehen war da?

630
00:55:25,340 --> 00:55:30,074
Nein. gut dann geht's weiter zu Mikrofon
numero 3.

631
00:55:30,074 --> 00:55:35,396
Frage: Gibt's da ein Limit zu der sd-
kartengröße oder kann ich da eine 1

632
00:55:35,396 --> 00:55:39,460
Terrabyte SD-Karte reinpacken?
Gambio: lso wir haben dort wir haben dort

633
00:55:39,460 --> 00:55:43,510
selbst mit experimentiert, kommt drauf an
welche Box das ist die erste Box ist sehr

634
00:55:43,510 --> 00:55:47,269
wählerisch geht bis zu 64 GB getestet von
uns

635
00:55:47,269 --> 00:55:52,230
M: 256 gegen ein
Gambio: Aber nicht mit jeder SD-Karte also

636
00:55:52,230 --> 00:55:57,280
herstellerabhängig Empfindlichkeit. Die ESP32
ist da weniger wählerisch, die nimmt mehr

637
00:55:57,280 --> 00:56:01,008
Karten auch da findet ihr im Wiki bei uns
eine Übersicht an SD-Karten, die wir

638
00:56:01,008 --> 00:56:06,675
getestet haben. Aber letztendlich ist die
Größe wahrscheinlich irrelevant.

639
00:56:06,675 --> 00:56:13,480
Frage: Unterstützt andere systeme? Nein
Fat32 waren die alle formatiert auch dort

640
00:56:13,480 --> 00:56:16,669
ganz einfach nur die normale Windows
Formatierung.

641
00:56:16,669 --> 00:56:20,425
Engel: Ok aber jetzt hat sich das
Internet gemeldet.

642
00:56:20,425 --> 00:56:25,024
InternetEngel: Ja richtig, das Internet
möchte wissen: werden die Logs im

643
00:56:25,024 --> 00:56:29,885
offlinemodus gesammelt und werden sie dann
eventuell übertragen wenn die Box wieder

644
00:56:29,885 --> 00:56:32,464
online ist?
Antwort: Nein die Logs werden Echtzeit

645
00:56:32,464 --> 00:56:36,282
übertragen sofern die Verbindung möglich
ist. Wenn keine Verbindung möglich ist

646
00:56:36,282 --> 00:56:40,068
dann, wird nichts übertragen, nichts
gespeichert. Da gibt's kein Cash oder

647
00:56:40,068 --> 00:56:45,142
irgendwas also, wenn ihr die Box offline
betreibt. Wenn solange keine Daten erfasst

648
00:56:45,142 --> 00:56:50,963
oder danach auch übertragen das ist dann
für den Zeitpunkt wird alles dann ja nur

649
00:56:50,963 --> 00:56:56,118
in dem Moment übertragen.
Engel: Gut Mikrofon numo 2.

650
00:56:56,118 --> 00:57:02,755
Frage: Ja dieser RFID privacy Modus, ist
das speziell von Tonie oder ist das

651
00:57:02,755 --> 00:57:05,679
irgendein Standard ich habe davon noch nie
gehört?

652
00:57:05,679 --> 00:57:09,540
Antwort: Das ist ein Standard, der wird
regulär in der Bekleidungsmittelindustrie

653
00:57:09,540 --> 00:57:14,526
verwendet und zwar bei der
Berufsbekleidung. Derjenige, der mal im

654
00:57:14,526 --> 00:57:19,311
Betriebsrat tätig war oder in großen
Konzernen mit dem Betriebsrat drüber

655
00:57:19,311 --> 00:57:22,716
gesprochen hat, die sind sehr darüber aus
dass die Mitarbeiter nicht irgendwie

656
00:57:22,716 --> 00:57:26,966
anderweitig getrackt werden können und das
könnte man natürlich machen, wenn man

657
00:57:26,966 --> 00:57:31,510
Hosen mit NFC Tag hat die wieder den
Mitarbeitern zugeordnet werden müssen. Und

658
00:57:31,510 --> 00:57:36,718
insofern kann man diese speziellen
klamottenent Tags quasi deaktivieren so

659
00:57:36,718 --> 00:57:42,860
dass der Arbeitgeber dort kein Tracking
der der Hose vor vornehmen kann und nur

660
00:57:42,860 --> 00:57:47,692
der Wäschekonzern dementsprechend eine
Zuordnung zum Mitarbeiter wenn er die

661
00:57:47,692 --> 00:57:51,369
zurück in den Schrank LT vornehmen kann
und dafür sind die damals entwickelt

662
00:57:51,369 --> 00:57:56,460
worden die benutzen mittlerweile einen
neueren Standard SL SX2 der auch besser

663
00:57:56,460 --> 00:58:02,374
verfügbar ist aber damit und von dem es
mittlerweile auch chinesische Magic Tags

664
00:58:02,374 --> 00:58:07,772
gibt wo man die UID ändern kann so dass
man theoretisch ein Clon eines Tonies

665
00:58:07,772 --> 00:58:14,038
herstellen könnte was aber vom slixl nicht
der Fall ist und wir haben es vorhin ein

666
00:58:14,038 --> 00:58:19,611
mal kurz erwähnt damit die slixx2 Chips
nicht verwendet werden können die in Summe

667
00:58:19,611 --> 00:58:25,896
28 Speicherblöcke haben fragt Ton fragt
die tonyibox ganz exp zieht den neunten

668
00:58:25,896 --> 00:58:31,736
Speicherblock ab wo eine Fehlermeldung
bestimmte Fehlermeldung zurückkommen, muss

669
00:58:31,736 --> 00:58:36,872
weil der SLI XL Chip nur acht Blöcke hat,
damit stellen Sie sicher dass wirklich

670
00:58:36,872 --> 00:58:41,476
dieser recht schwer zu erhaltender Chip
nur verwendet werden kann mit diesen

671
00:58:41,476 --> 00:58:46,028
Eigenschaften, aber es ist keine für Tonis
entwickelte Funktion.

672
00:58:46,028 --> 00:58:50,269
Engel: Danke, eine letzte Frage und die
ist bei Mikrofon 1.

673
00:58:50,269 --> 00:58:55,120
Frage: Servus, würdet ihr sagen dass die
Toniebox an sich ein cooles Produkt? Ist

674
00:58:55,120 --> 00:58:59,564
also und Software nur seltsame corparate
Entscheidungen dahinter stehen und man...

675
00:58:59,564 --> 00:59:03,600
Antwort: Ist W auf jeden Fall eindeutig
Hardware top, wie gesagt, ich selber setze

676
00:59:03,600 --> 00:59:07,800
sie fast 100% original ein, ich entwickelt
viel damit habe da Spaß dran. Meine

677
00:59:07,800 --> 00:59:12,440
Tochter hat dafür viele Tonieboxen. <i>alle 4
lachen</i> Dementsprechend das Produkt hat

678
00:59:12,440 --> 00:59:15,440
mich vorher nicht überzeugt, ich habe
gesagt, möchte ich nicht haben. Dann habe

679
00:59:15,440 --> 00:59:19,600
ich mich mehr damit beschäftigt und dann
sind wir zusammen gekommen und jetzt ist

680
00:59:19,600 --> 00:59:24,360
das einfach das Top Produkt.
Gambio: Also es spricht nichts gegen die

681
00:59:24,360 --> 00:59:29,080
Tonies Firma, wir stehen voll hinter dem
Konzept. Die Firma selber hat eine tolle

682
00:59:29,080 --> 00:59:32,480
Story, die sie erzählen. Sie haben ein
tolles Produkt, was sich auch toll

683
00:59:32,480 --> 00:59:37,960
anfühlt. Aus dem Grunde sind wir auch
großer Tonis Fan, es ist nur die Sache

684
00:59:37,960 --> 00:59:43,520
dass wir privat halt ein Hobby haben, was
auch den Hintergrund abfragt ne und und

685
00:59:43,520 --> 00:59:47,203
macht Spaß. Engel. Gut danke schön!

686
00:59:47,203 --> 00:59:51,083
<i>Lachen, Applaus</i>

687
00:59:51,083 --> 00:59:58,430
<i>37c3 Abspannmusik</i>

688
00:59:58,430 --> 01:00:10,000
Untertitel von vielen vielen Freiwilligen und dem
C3Subtitles Team erstellt. Mach mit und hilf uns!