WEBVTT
00:00:09.379 --> 00:00:12.754
Vorspannmusik
00:00:12.754 --> 00:00:18.440
Gambius: Die Kinder Audioplayer Box die
Toniebox ist ein recht beliebtes und weit
00:00:18.440 --> 00:00:26.520
verbreitetes Modell mit Content Hosting
und Datensammelwut. Nun wir haben hier
00:00:26.520 --> 00:00:34.120
vier Sprecher: Gambrius, Moritz, Badbee
und Gekko die uns auf diese Thematik ein
00:00:34.120 --> 00:00:42.360
bisschen einführen werden und ein quasi
das erste Mal sich heuer und heute hier
00:00:42.360 --> 00:00:46.320
auf der Bühne treffen. Die waren bis jetzt
eigentlich vor vier Jahren zum erst mal
00:00:46.320 --> 00:00:50.280
online getroffen virtuell noch nie
physisch heute zum ersten Mal miteinander
00:00:50.280 --> 00:00:52.341
Alle auf der Bühne bitte schön.
00:00:52.341 --> 00:01:00.528
Applaus
00:01:00.528 --> 00:01:04.383
Moritz: Danke schön danke schön danke schön. Ich
hoffe ihr seid wirklich wegen Tonies hier
00:01:04.383 --> 00:01:09.271
und nicht wegen dem iPhone researcher Hack
der in Saal 1 läuft, ihr habt euch nicht
00:01:09.271 --> 00:01:16.414
verlaufen ne wow echt viele Leute heute
hier. Willkommen zu dem Tonies Talk. Wer
00:01:16.414 --> 00:01:23.480
kennt die TonieBox, einmal Hand hoch! Ok,
wer hat eine TonieBox zu Hause und hat
00:01:23.480 --> 00:01:31.321
keine Kinder? Lautes hey, lachen Ok das wird
sich ändern, weil wir haben doch recht viel
00:01:31.321 --> 00:01:35.504
Gefallen an dieser tollen Box gefunden.
Ich brauche gar nicht so viel erklären was
00:01:35.504 --> 00:01:40.121
das ist, also eine für die, die es noch
nicht kennen: ein Kinder Audio
00:01:40.121 --> 00:01:45.750
Abspielgerät, welches ohne Display
auskommt, in Summe nur zwei Knöpfe hat die
00:01:45.750 --> 00:01:51.170
beiden Ohren zu Lautstärkeregulierung. Es
gibt diese schleichartigen Figuren wo ein
00:01:51.170 --> 00:01:56.496
kleiner NFC Chip drin versteckt ist, so
viel kann ich schon mal Spoilern, und kein
00:01:56.496 --> 00:02:01.651
ganzes Tonband drin ist, welches wenn es
auf die Box aufgesetzt wird das passende
00:02:01.651 --> 00:02:07.709
Hörspiel abspielt. Diese Figuren kann man
im Handel erhält für 15 16 € kaufen. Ob
00:02:07.709 --> 00:02:13.086
man die Lizenz damit kauft, das weiß ich
jetzt gerade nicht, aber man kann
00:02:13.086 --> 00:02:17.043
zumindest das Hörbuch damit hören. Wir
möchten euch mal ein bisschen damit
00:02:17.043 --> 00:02:21.547
durchführen, was der Gedanke dieses Talks
einfach ist, wo wir gesagt haben warum
00:02:21.547 --> 00:02:26.662
wollen wir über diese Toniebox sprechen.
Jetzt habe ich vorhin diese Figur erwähnt.
00:02:26.662 --> 00:02:31.700
Es ist leider Gottes die einzige
Abspielmöglichkeit diesen Inhalt der für
00:02:31.700 --> 00:02:37.225
diese Figur angedacht ist auf dieser Box
abzuspielen. Das heißt man kann jetzt
00:02:37.225 --> 00:02:42.660
nicht frei wählen welche Inhalte man
abseits von eigenen CDs, die vielleicht im
00:02:42.660 --> 00:02:47.103
Vorfeld gekauft wurden oder bei mir in der
Vergangenheit meine Benjamin Blümchen
00:02:47.103 --> 00:02:51.353
Sammlung die ich ja auch bereits
irgendwann mal gekauft bekommen habe für
00:02:51.353 --> 00:02:56.339
meine Kinder in der nächsten Generation
auf der Toniebox abzuspielen. So gibt es
00:02:56.339 --> 00:03:02.159
zwar die Möglichkeit mit kreativ Tonis zu
arbeiten, die kann man für 12 € kaufen und
00:03:02.159 --> 00:03:07.333
mit insgesamt 90 Minuten bespielen, aber
man ist immer in diesem Tonie Universum
00:03:07.333 --> 00:03:11.847
gefangen und ist natürlich dann auch in
der Abhängigkeit der Firma Tonies. Das
00:03:11.847 --> 00:03:16.861
heißt: sollte was jetzt gerade die machen
gerade Aktiengang, das heißt ist gerade
00:03:16.861 --> 00:03:22.482
unwahrscheinlich, aber sollte diese Firma
Tonis irgendwann mal Insolvenz anmelden
00:03:22.482 --> 00:03:27.868
oder Konkurs anmelden, dann wären all
diese Funktionen der Tonies nicht mehr
00:03:27.868 --> 00:03:32.381
gegeben, weil die ganze Box rein Cloud
basiert ist und sämtliche Inhalte über
00:03:32.381 --> 00:03:36.692
eine App gesteuert werden eine
Weboberfläche gesteuert werden und aus der
00:03:36.692 --> 00:03:41.690
Cloud geladen werden und keinerlei
unabhängige Möglichkeiten gegeben sind.
00:03:41.690 --> 00:03:46.505
Last uns mal ein bisschen auf die Hardware
eingehen. An der Stelle würde ich mal
00:03:46.505 --> 00:03:50.291
Moritz übergeben der uns ein bisschen was
über die Hardware Variation erzählt.
00:03:50.291 --> 00:03:54.908
Moritz: Danke schön ja hallo. Ich geb
einen kurzen Überblick über die Hardware
00:03:54.908 --> 00:03:58.940
der Toniebox und wenn man da rein guckt,
was man da eigentlich findet. So also ist
00:03:58.940 --> 00:04:02.499
relativ über übersichtlich aufgebaut, wenn
man jetzt also die die Toniebox
00:04:02.499 --> 00:04:07.226
auseinander nimmt, dann sieht man da drin
auf der links oben den Akku, da drunter
00:04:07.226 --> 00:04:12.459
den den Lautsprecher, in der Mitte das die
die Platine das PCB dann rechts daneben
00:04:12.459 --> 00:04:17.660
sind die die Pushbuttons, die in den Ohren
versteckt sind, für die Lautstärkeregelung
00:04:17.660 --> 00:04:23.574
und der das PCB rechts daneben ist die NFC
Antenne. Genau das Toniebox PCB ist relativ
00:04:23.574 --> 00:04:29.368
übersichtlich gehalten. Es ein vier
lagenboard was nur einseitig bestückt ist
00:04:29.368 --> 00:04:34.263
auf der Rückseite hat es 82 Testpunkte die
alle nett beschrieben so zumindest
00:04:34.263 --> 00:04:39.294
durchnummeriert sind und eine Onboard WLAN
Antenne. Sonst macht es eigentlich alles
00:04:39.294 --> 00:04:42.666
einen sehr soliden Eindruck. Die Hardware
ist schön also ist sehr
00:04:42.666 --> 00:04:46.662
reparaturfreundlich, also falls man da
irendwie was zerforscht haben sollte lässt
00:04:46.662 --> 00:04:53.270
sich das alles relativ gut wieder in Gang
setzen. Genau jetzt gucken wir uns mal das
00:04:53.270 --> 00:05:00.270
PCB im Detail an. Wir haben also hier. Das
schwarze ist der Microcontroller. Bei der
00:05:00.270 --> 00:05:06.706
ersten Version ist das ein ti-Chip. Dann
haben wir den RFID Chip, ein
00:05:06.706 --> 00:05:13.132
Beschleunigungssensor, da für damit man
dagegenhauen kann und die Box das merkt,
00:05:13.132 --> 00:05:17.445
der Audioochip der ist auf der linken
Seite und ein kleiner Flash und natürlich
00:05:17.445 --> 00:05:22.307
die SD-Karte, also zumindest den SD-
kartenhalter sehen wir dort. So dann
00:05:22.307 --> 00:05:28.640
gibt's für den ganzen Stromfu gibt's also
ein Laderegler dcwandler und diverse LDO
00:05:28.640 --> 00:05:33.723
für die für die Spannungsversorgung, für
die Spannungsversorgung
00:05:33.723 --> 00:05:38.664
Herald: der Ton ist allgemein
Moritz: Weg Spannungs
00:05:38.664 --> 00:05:43.344
Herald: 12 1 2
Moritz: Sag mal tot hier ist alles tot
00:05:43.344 --> 00:05:47.824
hallo hallo nee
Herald: alles torein
00:05:47.824 --> 00:05:59.406
M: ne nein doch pause alles klar dann
warten wir kurz. lachen
00:05:59.406 --> 00:06:05.977
y: war das ja aber ich möchte das nicht
strapazieren
00:06:05.977 --> 00:06:12.843
M: unterlassungsk ja genau so und dann
gibt's als als Interfaces im weitesten
00:06:12.843 --> 00:06:18.163
Sinne gibt's eine RGB LED, den
Kopfförherausgang den Akkustecker unten,
00:06:18.163 --> 00:06:24.207
den Stecker für die Ohren in der Mitte und
den Lautsprecherkonnektor oben und für das
00:06:24.207 --> 00:06:28.386
freundliche zu forschen gibt's das debug
Interface das so ein Tech Connect
00:06:28.386 --> 00:06:32.943
Interface ist das ist auf der Rückseite
der Platine. So dann schauen wir als
00:06:32.943 --> 00:06:37.654
nächstes Mal, was eigentlich mit den was
es mit den Mikrokontrollern auf sich hat.
00:06:37.654 --> 00:06:41.544
Also es gibt drei unterschiedliche
Mikrocontroller. Die Urversion war die mit
00:06:41.544 --> 00:06:49.000
dem TI 3200 dann hat die Chipkrise auch
bei bei Tonie zugeschlagen und es gab eine
00:06:49.000 --> 00:06:56.766
Box oder wenige Boxen mit dem CC 3235 und
jetzt die aktuellen Boxen sind mit
00:06:56.766 --> 00:07:03.563
einem ESP 32 Chip aus gerüstet und werden
damit geschippt. So ah ja guck mal, da
00:07:03.563 --> 00:07:09.031
sieht man's, ja also genau das ist der der
cc32 so das ist also wir nennen es Version
00:07:09.031 --> 00:07:15.611
1 und Version 2 der der Hardware. Die
Version 3 ist relativ selten so und das
00:07:15.611 --> 00:07:22.169
ist die aktuelle Version 4 für den mit dem
ESP 32 Chip. So ein paar Details dazu
00:07:22.169 --> 00:07:27.989
genau. Dass S sehr sehr häufig verbreitet
sind, hatte ich schon gesagt, sie sind
00:07:27.989 --> 00:07:32.032
über die Tech Connect Schnittstelle kann
man den den Flash Auslesen der dort
00:07:32.032 --> 00:07:36.923
unverschlüsselt bzw unsigniert ist man
kann das cc3200 Tool zum Lesen und
00:07:36.923 --> 00:07:42.791
Schreiben benutzen und wir haben mit der
Hackiebox eine Custom Firmware und ein
00:07:42.791 --> 00:07:50.040
Custom Bootloader implementiert. Die
hackiebox NG. So der CC 3235 ist selten
00:07:50.040 --> 00:07:55.218
die Tech Connect oder die
Debugschnittstelle ist gesperrt. Wir
00:07:55.218 --> 00:07:59.820
können zwar über eine sop8 Klammer auf den
Flash zugreifen und da finden Finden
00:07:59.820 --> 00:08:03.974
findet man dann dass die Zertifikate
unverschlüsselt sind die FirmWare jedoch
00:08:03.974 --> 00:08:10.777
signiert und verschlüsselt ist und mit dem
cc32 Tool kann man die den flashstamp
00:08:10.777 --> 00:08:18.060
manipulieren und anschauen. So das ist
genau die aktuelle Box. Die hat also
00:08:18.060 --> 00:08:25.276
eine UART Schnittstelle.Man kann es sehr
komfortabel mit dem ESP Tool anfassen und
00:08:25.276 --> 00:08:34.161
Hat das Tonie ist den sacht abgedreht?
lacht Ja ich befürchte das Gelächter
00:08:34.161 --> 00:08:41.424
Jetzt wieder genau dann mache ich hier
noch schnell durch. Genau es gibt eine
00:08:41.424 --> 00:08:46.820
Proof of Concept Firmware auf Basis des
ESP winno und wir haben eine eigenständige
00:08:46.820 --> 00:08:51.846
Open Source Ersatzfirmware, die also schon
die meisten Funktionen der Originalfmware
00:08:51.846 --> 00:08:56.344
implementiert die wir teddybox nennen.
Damit bin ich bei der Hardware durch und
00:08:56.344 --> 00:09:01.076
gebe wieder zurück an den gambrios.
G: Super, ich danke dir ich hoffe mal
00:09:01.076 --> 00:09:06.551
nicht dass Tonies hier uns den Saft abdreht
mit den Audio Themen. Kurz mal zu
00:09:06.551 --> 00:09:12.669
Funktionsweise, wie funktioniert die
tonybox? Anders als der irglaube meiner
00:09:12.669 --> 00:09:18.212
Eltern ist nicht in der Figur der
Audioinhalt gespeichert. Der Audioinhalt
00:09:18.212 --> 00:09:23.358
kommt wirklich aus der Cloud, das sehen
wir mal rechts dargestellt, der NFC Chip
00:09:23.358 --> 00:09:28.160
identifiziert diesen nur, die Toniebox
reicht die Information an die Cloud durch
00:09:28.160 --> 00:09:32.340
und sie wird damit versorgt. Aber sie hat
auch eine SD-Karte, die haben wir vorhin
00:09:32.340 --> 00:09:37.228
schon mal kurz auf dem PAD genau ist den
Halter. In der Regel ist das eine 8 GB
00:09:37.228 --> 00:09:42.649
Karte, wo die einzelnen Audioofiles die
schon einmal geladen wurden, mit einer
00:09:42.649 --> 00:09:46.966
Figur auch im Offline Modus nachher
verfügbar gestellt werden, sie ist also
00:09:46.966 --> 00:09:51.902
nicht vorgeladen, sondern muss immer über
übers WLAN und über die über die Cloud
00:09:51.902 --> 00:10:00.887
bestückt werden. Ungefähr 45 bis 65 MB hat
ein Audiohörbuch der auf einer zu einer
00:10:00.887 --> 00:10:09.071
toniefigur zugeordnet ist. Die Übertragung
der Inhalte folgt halt so, dass diese
00:10:09.071 --> 00:10:14.691
Figur aufgesetzt wird, die sogenannte UID
des NFC Chips ausgelesen wird, da kommen
00:10:14.691 --> 00:10:19.895
wir gleich noch mal zu. Wenn der Inhalt
nicht auf der SD-Karte ist, wird der
00:10:19.895 --> 00:10:26.474
Ladeprozess aus dem aus der Cloud
gestartet und dort gespeichert. Zum
00:10:26.474 --> 00:10:32.553
Funktionsprinzip des NFC Chips. Weil hier
doch ein bisschen spezieller unterwegs
00:10:32.553 --> 00:10:39.505
sind. Unten links sehen wir den Chip, der
in den Figuren verbaut ist. Das ist ein ca
00:10:39.505 --> 00:10:47.993
10 mm langer feritstab mit einer Kupfer
Draht umwickelten Antenne um genau zu sein
00:10:47.993 --> 00:10:57.329
21 Wicklung und auf der Kopf auf der
Stirnseite ist der kleine NXP icode
00:10:57.329 --> 00:11:04.806
Slx Strich 2 Chip verbaut, der eine
besondere Rolle hier spielt, weil er
00:11:04.806 --> 00:11:08.715
erstmal so gar nicht erkannt werden kann.
Das heißt in der Vergangenheit hat man
00:11:08.715 --> 00:11:12.675
versucht mit verschiedensten NFC
Lesegeräten an diese Figur heranzugehen
00:11:12.675 --> 00:11:16.615
und wollte die dann auslesen und hat aber
erstmal nicht feststellen können was drin
00:11:16.615 --> 00:11:22.252
ist zu der Funktion des privacy modes
kommen wir gleich noch mal detailliert,
00:11:22.252 --> 00:11:26.846
aber hier noch mal eben kurz auch der
Vergleich. Wir haben uns natürlich dann
00:11:26.846 --> 00:11:33.144
irgendwann versucht eigene srwx Chips zu
besorgen um vielleicht mit eigenen custom
00:11:33.144 --> 00:11:38.940
Tags zu arbeiten, haben dort auch
natürlich in die Herstellerindustrie nach
00:11:38.940 --> 00:11:44.539
China die Finger ausgestreckt, haben dort
allerhand Varianten durchgetestet, die
00:11:44.539 --> 00:11:52.321
alle nicht funktionierten, bis wir dann
den SrwXL Tag als einzigen nutzbaren Chip
00:11:52.321 --> 00:11:57.300
identifiziert hatten, haben aber auf dem
Weg dahin, auf der odissey dahin auch
00:11:57.300 --> 00:12:02.934
gefälschte SrwXL Chips bekommen, die wir
in unserem Prozess bei der Analyse später
00:12:02.934 --> 00:12:08.293
auch identifizieren konnten, fand auch NXP
sehr interessant, den wir auch welche
00:12:08.293 --> 00:12:12.875
davon zur Verfügung gestellt haben. Jetzt
gerade in den Medien geht's ja um her NXP
00:12:12.875 --> 00:12:17.872
ist über die letzten Jahre über ein
längeren Zeitraum von Hackern infiltriert
00:12:17.872 --> 00:12:22.003
worden, die sich dort die neuesten
Datenheets und Daten der Chips
00:12:22.003 --> 00:12:25.926
runtergeladen haben um dann auch
dementsprechend gefälschte Kopien selber
00:12:25.926 --> 00:12:30.297
herzustellen. Also das ist uns auch über
ein Weg gekreuzt rechts in blauen Balken
00:12:30.297 --> 00:12:35.362
sieht man mal den Vergleich der beiden
Chips. Im Mikroskop erkennt man in der
00:12:35.362 --> 00:12:42.460
Bauform Unterschiede aber erstmal nicht
weiter spannend nur das als Randbemerkung.
00:12:42.460 --> 00:12:49.160
So an der Stelle habe ich den privacy Mode
schon mal erklärt Gego erzähl uns was
00:12:49.160 --> 00:12:54.608
darüber. Geggo: Genau der privacy Mode
klingt sehr luminös. Das ist ein spezieller
00:12:54.608 --> 00:13:00.397
Modus bei diesen slix I Chips, bei denen
der Chips in einen Mod versetzt wird. Das
00:13:00.397 --> 00:13:05.780
heißt der reagiert auf nichts auf nichts
außer die Kommandos zum entspnen aus dem
00:13:05.780 --> 00:13:11.630
privacy Mode. Die Kryptographie nein so
will ich das gar nicht nennen die Methode
00:13:11.630 --> 00:13:21.156
dahinter ist sehr speziell, sehr hohe
Sicherheitsstufe nicht. Man fragt einen
00:13:21.156 --> 00:13:25.774
eine random number an und schickt dann
eine Antwort zurück. Das ist so sicher wie
00:13:25.774 --> 00:13:29.546
an der Tür ein geheimes Passwort sagen um
und dann vorher noch eins addieren oder
00:13:29.546 --> 00:13:35.919
so. Diesen Modus verwendet der TonieChip
oder der Chip in den Tonie Figuren um sich
00:13:35.919 --> 00:13:41.020
unsichtbar zu machen vor irgendwelchen
Zugriffen mit dem Handy. So was macht die
00:13:41.020 --> 00:13:46.034
Toniebox? Sie kennt diese Methode sie fragt
erst mal diesen random an schickt dann
00:13:46.034 --> 00:13:52.001
diesen super geheimen Passwort Code mit
XOR verschlüsselt zurück und dann ist der
00:13:52.001 --> 00:13:57.145
tag zugreifbar wie jeder andere Tag nfcv
Tags, die man so kaufen kann. Dann
00:13:57.145 --> 00:14:02.013
passiert ein kleines Prozedera, es wird
die UID abgefragt ein paar andere Werte
00:14:02.013 --> 00:14:08.033
und der Speicherinhalt der Figur, das sind
acht Blöcke die der Chip eigentlich hat.
00:14:08.033 --> 00:14:12.840
Die Box frägt aber 9 Blöcke ab der 9.
Block ist nur dafür da um festzustellen ob
00:14:12.840 --> 00:14:16.557
es ein Fake tag ist die dann auf dem neten
dann doch noch irgendwelche Daten
00:14:16.557 --> 00:14:20.901
Antworten, also heißt die Tonies haben da
schon ein kleinen Check reingebaut, dass
00:14:20.901 --> 00:14:25.226
nicht die beliebigsten Fake tags da
verwendet werden können. Gut, die UID wird
00:14:25.226 --> 00:14:30.051
gespeichert und der Blog Content dann
speichert Box die Figur wieder und wird
00:14:30.051 --> 00:14:34.371
nur noch über Präsenzdetektion geschaut,
ist diese Figur noch drauf. Beim
00:14:34.371 --> 00:14:39.551
Aufstellen auf die Box passiert das ganze
und bin in einer halben Sekunde spielt die
00:14:39.551 --> 00:14:43.672
Box die Musik ab. Was passiert wenn man
jetzt während dem Auslesen einfach die
00:14:43.672 --> 00:14:47.244
Figur wegzieht? Das haben wir auch
festgestellt, ja dann ist diese Figur
00:14:47.244 --> 00:14:54.035
lesbar wie jeder andere NFC Tag. Das heißt
man geht einfach nur her *lachen im
00:14:54.035 --> 00:15:02.315
Publikum, anschließende Applaus* so.
X: Das hat das hat jetzt nicht viel mit
00:15:02.315 --> 00:15:08.879
Hacken zu tun.
Y: also das ist doch doch das kann jedes
00:15:08.879 --> 00:15:11.149
Kind.
1. Person: lächelt: Ob das so gedacht
00:15:11.149 --> 00:15:14.476
war oder ob das so geplant war von der
Firma, die das entwickelt hat, wir haben
00:15:14.476 --> 00:15:18.996
keine Ahnung. Auf jeden Fall funny, danach
kann man das Ding mit dem Handy auslesen
00:15:18.996 --> 00:15:23.457
aber man kann nichts emulieren.
Person Z: Es gab mal kurz das Gerücht, wir
00:15:23.457 --> 00:15:27.560
hätten mit einer Klopfmethode den NXP
Sicherheitschip geknackt. Ganz so ist es
00:15:27.560 --> 00:15:33.543
nicht. Also ja gut danach schaut die Box
nur noch ist diese Figur da und das macht
00:15:33.543 --> 00:15:38.680
sie dann mit dem addressed Mode get random
egal gut. Wenn wir uns dann diesen tag der
00:15:38.680 --> 00:15:43.495
jetzt magischerweise entschlüsselt ist mal
genauer anschauen proxmark, der Einer oder
00:15:43.495 --> 00:15:48.531
Andere kennt es, kann man per sys Info mal
gucken was steht da so in diesem in der
00:15:48.531 --> 00:15:53.438
UID drin DSF ID die ganzen Dinger egal. Da
kommt die UID ja das ist jetzt eine geixte
00:15:53.438 --> 00:15:57.380
UID von dem echten Tonie von mir und wenn
man dann noch den Memory dumpt, dann hat
00:15:57.380 --> 00:16:01.355
man noch die 8 Blöcke da unten mit den
entsprechenden Speicherinhalt und wir
00:16:01.355 --> 00:16:06.484
können sagen, was in dieser Figur steht
nein es ist nicht die Musik es ist die UID
00:16:06.484 --> 00:16:11.598
die von NXP rein gelasert wurde auch immer
wurde und 32 Byte Dateninhalt. Jetzt
00:16:11.598 --> 00:16:16.586
können man natürlich schauen ist es
random. Also wir haben keine Struktur
00:16:16.586 --> 00:16:20.848
gefunden. Man könnte jetzt auch tausende
Tonis irgendwo auslesen, würde keiner tun.
00:16:20.848 --> 00:16:22.781
Person dd: ne diesen Aufwand würde
niemand treiben
00:16:22.781 --> 00:16:25.780
Geko: Nee würde niemand treiben und dann
würde mal feststellen, es ist eigentlich
00:16:25.780 --> 00:16:30.802
von Zufallsdaten nicht zu unterscheiden
oder ausgeklügelter Hash. Aber damit haben
00:16:30.802 --> 00:16:35.970
wir die Figur identifiziert und können
dann loslegen mit den üblichen Tools. Mit
00:16:35.970 --> 00:16:40.517
einem was wie mit proxmark oder FLIper Zero
aber ganz so einfach ist es doch nicht.
00:16:40.517 --> 00:16:43.782
Wir haben doch gerade was gelernt über den
privacy Mode, den muss man erstmal
00:16:43.782 --> 00:16:47.285
deaktivieren oder dann auch drauf
reagieren. Aber gut dann bauen wir das
00:16:47.285 --> 00:16:51.505
Ganze mal eben nach im proxmark 3
bekanntes Hardware Hacker Tool NFC Hacker
00:16:51.505 --> 00:16:57.042
Tool war die Unlock Funktion nicht
implementiert, man kann auch nicht die
00:16:57.042 --> 00:17:01.390
Kommandos einzeln senden und dann selber
mal schon im Taschenrechner diesen
00:17:01.390 --> 00:17:06.982
hochsicheren kryptografischen Vorgang
nachimplementieren, weil das Feld des NFC
00:17:06.982 --> 00:17:13.080
tags muss aktiv bleiben für die Abfrage
des Randoms und dem Setzen des Passwords.
00:17:13.080 --> 00:17:19.632
Gut kein Aufwand schell implementiert
eigenen fork vom glob ICEM Repo war von
00:17:19.632 --> 00:17:26.020
proxmk 3 implementiert. Dann nächste
Schritt emulieren, ja Specs runterhacken.
00:17:26.020 --> 00:17:30.790
Das also das kann jeder, also auch diesen
fork mal kurz erweitert um die slixl
00:17:30.790 --> 00:17:34.800
Emulation und auch das implementiert. Dann
kam so langsam dieses Flipper Zero Dings.
00:17:34.800 --> 00:17:38.173
Ich weiß nicht ob die eine oder andere das
kennen, das ist auch ganz lustiges
00:17:38.173 --> 00:17:43.239
Spielzeug für Hacker. Mensch der hat auch
irgendwas mit NFC Emulation und auslesen,
00:17:43.239 --> 00:17:47.307
passt, implementier mal auch. Also die
Unlock Funktion easy peasy einfach mal
00:17:47.307 --> 00:17:52.533
kurz nachimplementieren Feld Anlassen
alles okay? Bei der Emulation das hast
00:17:52.533 --> 00:17:59.044
dann anders aus. Der Chip der hier verbaut ist
kann kein Slicks emuliert, er kann auch
00:17:59.044 --> 00:18:04.900
nicht wirklich nfcv V implementieren außer
UID kann das Ding nichts, aber er kann den
00:18:04.900 --> 00:18:09.937
Pass through Modus. Pass through heißt man
moduliert vom Microcontroller aus die
00:18:09.937 --> 00:18:16.921
Feldstärke über opins und bekommt im
Umkehrschluss die Gegenmodulation des NFC
00:18:16.921 --> 00:18:25.196
Chips über iopin zurück. Das heißt ja man
fängt halt mal an warum nicht mach mal banging
00:18:25.196 --> 00:18:31.566
von ISO 15693 kling einfach dann sukzessiv merkt
man schon Mensch gar nicht? *einzelne
00:18:31.566 --> 00:18:35.535
gelächter* So toll Microcontroller für die
ganzen millisekundenweise da komplett
00:18:35.535 --> 00:18:43.361
blocken iO tockeln und ganz ehrlich 256 Byte
Datentransfers was NFCV kann, das dauert
00:18:43.361 --> 00:18:48.452
schon seine Zeit. Dann habe ich halt
anfangen das ganze mit DMA unterstützt,
00:18:48.452 --> 00:18:53.531
kann man ein bisschen vorberechnen, aber
auch da hat sich festgestellt Mensch für
00:18:53.531 --> 00:18:59.147
256 Byte oder 255 by Speicherinhalt, wir
bräuchten 140 KB RAM nur vorberechnet, das
00:18:59.147 --> 00:19:04.008
kostet auch seine Zeit. Also war das
Ergebnis ein bisschen so Ringbuffer und
00:19:04.008 --> 00:19:08.797
just in time vorberechnen war dann doch
ein kleines Unterfangen und größerer Pull
00:19:08.797 --> 00:19:13.668
Request, die auch die Kollegen von Flipper
Zero death Team dann irgendwann Mitte
00:19:13.668 --> 00:19:17.590
dieses Jahres irgendwann endlich
abgesegnet haben. Rechts sieht man noch
00:19:17.590 --> 00:19:21.797
sagt mal Bild oben ein Original NXP Tag
unten der Flippers Zero der
00:19:21.797 --> 00:19:26.987
da der Toniebox jo ich bin ein Benjamin
Blümchen Tonie. Einzelne Gelächter
00:19:26.987 --> 00:19:37.362
Gut Applaus
damit haben wir ein Perk Unlock so die NFC
00:19:37.362 --> 00:19:39.531
Geschichte kann man emulieren
kann man auslesen.
00:19:39.531 --> 00:19:42.478
Das ist schon eins der drei
Achsen die da die wir brauchen um
00:19:42.478 --> 00:19:45.648
lustige Dinge mit der Box zu machen.
G: Genau über die drei Achsen
00:19:45.648 --> 00:19:49.258
sprechen wir bisschen näher. NFC haben wir
jetzt gerade gelernt, können wir.
00:19:49.258 --> 00:19:54.133
Emulieren wir kennen die ganzen Daten wie
es rein und raus muss es gibt ja noch die
00:19:54.133 --> 00:19:59.301
SD-Karte. Was ist denn auf der SD-Karte
drauf? Also erstmal war ganz einfach uns
00:19:59.301 --> 00:20:03.664
gemacht worden es ist eine FAT 32
formatierte SD-Karte die wir ganz frei
00:20:03.664 --> 00:20:10.243
lesen konnten die Ordnerstruktur sah
relativ einfach aus: random Zahlen Namen,
00:20:10.243 --> 00:20:16.895
Ordnernamen wo eine Datei drin lag ohne
Endung auch mit uns erstmal random Nummer
00:20:16.895 --> 00:20:21.500
aussehend. Letztendlich haben wir aber
festgestellt, diese Zahlen sind gar nicht
00:20:21.500 --> 00:20:26.334
so random, die haben doch schon irgendwas
mit der UID zu tun. Also relativ einfach
00:20:26.334 --> 00:20:33.655
ist die UID im reverse Darstellung als
Ordnername verwendet worden und als
00:20:33.655 --> 00:20:39.472
Dateiname sodass rein über die Ordner und
Dateinamen Benennung die Zuordnung zu
00:20:39.472 --> 00:20:46.046
einem NFC tag gegeben ist. Das haben wir
vorhin gelernt, wir haben custom tags
00:20:46.046 --> 00:20:51.238
besorgt, die auch eine UID haben und der
erste Versuch war natürlich das mal
00:20:51.238 --> 00:20:58.267
umzubenennen und siehe da: im Offline
Modus ich nehme das mal vorweg konnte man
00:20:58.267 --> 00:21:02.731
die dann auch auch abspielen. Was ist denn
auf der SD-Karte noch drauf? die Datei
00:21:02.731 --> 00:21:09.551
selber die Datei selber wenn man sich die
anschaute fand man 4 KB Blöcke die
00:21:09.551 --> 00:21:16.630
verschiedenste Inhalte hatten der erste 4
KB Block war wirklich im protobuff
00:21:16.630 --> 00:21:24.688
gespeicherte Informationen passend zum
Tonie Daten wie Track Anzahl Sprungmarken
00:21:24.688 --> 00:21:31.578
zu den Audio Inhalten aber auch eine Audio
ID und Hashwert. Was wir dort nicht
00:21:31.578 --> 00:21:35.968
gefunden haben ist ein schöner
klartextname des Tonis oder der Geschichte
00:21:35.968 --> 00:21:40.230
oder vielleicht eine Artikelnummer oder
eine interne Nummer die den Inhalt
00:21:40.230 --> 00:21:46.575
identifizieren würde. Das gab es nicht. Es
gab nur die Audio ID was letztendlich beim
00:21:46.575 --> 00:21:53.120
Codieren des Audioinhaltes als Unix
Timestamp verwendet wurde. Das heißt, wir
00:21:53.120 --> 00:21:58.803
wussten wann ist der Audioinhalt erstellt
aber nicht welcher Inhalt. Die weiteren 4k
00:21:58.803 --> 00:22:04.093
Blöcke sind jeweils Opus Teile nicht
verändert einfach komplett hinten
00:22:04.093 --> 00:22:09.956
angehängt, das heißt einfachster Schritt
ersten 4k Block abschneiden und man konnte
00:22:09.956 --> 00:22:15.768
es ganz normal mit ein ock opusfähigen
Spieler abspielen ohne treckination weil
00:22:15.768 --> 00:22:19.838
die sind ja im ersten 4k Block. Mit diesen
Informationen haben wir uns dann
00:22:19.838 --> 00:22:25.360
hingesetzt und haben eigene Inhalte in
Opus umgewandelt und haben diese dann mit
00:22:25.360 --> 00:22:31.819
einem eigenen Header versehen und auf der
Toniebox getestet und siehe da, wir
00:22:31.819 --> 00:22:38.902
konnten auch das genauso darstellen und
abspielen. Was machen wir mit der
00:22:38.902 --> 00:22:44.346
Information? Was haben wir noch?
Entschuldigung ach das ging auch die OPus
00:22:44.346 --> 00:22:50.414
pages. Eine kleine Besonderheit diese AdOpus
pages mussten immer ein vollen 4k Block
00:22:50.414 --> 00:22:56.158
darstellen. Das heißt wir durften die Tonie
Datei nie irgendwo mit dem Audioinhalt
00:22:56.158 --> 00:23:00.533
enden lassen sondern wir muss en den
letzten Block immer noch auf 4k auffüllen,
00:23:00.533 --> 00:23:09.172
ansonsten hat die Box auch gestreickt. So
jetzt haben wir quasi das Dateiformat
00:23:09.172 --> 00:23:14.440
erkannt, ausgelesen, analysiert,
entschlüsselt würde ich nicht sagen, weil
00:23:14.440 --> 00:23:18.687
da war nicht viel verschlüsselt und wir
wissen wie die RFID Funktion
00:23:18.687 --> 00:23:23.952
funktionieren. Was machen wir jetzt mit
dem Wissen? Relativ simpel, lass uns eine
00:23:23.952 --> 00:23:29.113
Software bauen, die anderen Leuten
ermöglicht eigene Inhalte auf die Box zu
00:23:29.113 --> 00:23:36.136
bringen. Das heißt unser erster step war
Teddy Bench. Bevor wir jetzt reingehen. Um
00:23:36.136 --> 00:23:42.152
das zu benutzen müssen wir aber erstmal
Zugriff zur SD-Karte bekommen. Jetzt
00:23:42.152 --> 00:23:46.087
zeigen wir euch mal kurz wie die toniebox
aufgebaut ist und wie schnell man den
00:23:46.087 --> 00:23:56.137
Zugriff auf die SD-Karte bekommen kann.
Das ist ein Bayonettverschluss,
00:23:56.137 --> 00:24:01.186
idealerweise drückt man den auf dem
Fliesenboden und dreht den um 15°, dann
00:24:01.186 --> 00:24:06.190
springt der auf mit einer Schraube
gesichert. Also hier großes Kompliment an
00:24:06.190 --> 00:24:11.194
die Produkte Produktdesigner. Ich habe
selten ein so leicht wartbares Produkt in
00:24:11.194 --> 00:24:20.520
den Händen gehabt. Applaus
einzelne Gelächter
00:24:20.520 --> 00:24:23.370
Nein das darf man ja mal gerne
erwähnen, weil das sind ja versteckte
00:24:23.370 --> 00:24:28.140
Sachen in dem Produkt ihr seht
zerstörungsfrei ohne Klebeaktion oder
00:24:28.140 --> 00:24:35.062
clipaktion ist dieses Produkt schnell
erreichbar. SD-Karte raus und wie vorhin
00:24:35.062 --> 00:24:40.804
schon gesagt, in den nächsten SD-Karten
Leser oder direkt in Rechner reinstecken
00:24:40.804 --> 00:24:45.552
um dann die Inhalte zu bearbeiten. Aber
welche Inhalte haben wir denn? Ich habe
00:24:45.552 --> 00:24:49.922
vorhin gesagt, auf dieser Karte sind jetzt
haufenweise einzelne dateils Dateien die
00:24:49.922 --> 00:24:56.220
wir jetzt aber gerade nicht ansprechen
können also sind wir angefangen haben eine
00:24:56.220 --> 00:25:02.783
Datenbank aufgebaut. ** Über alle Audio
IDs und Hashwerte die wir finden konnten
00:25:02.783 --> 00:25:08.852
und haben die dann den Artikelnummern von
den Tonies und den den echten Namen
00:25:08.852 --> 00:25:22.686
zugeordnet. Mittlerweile haben wir dort
1100 Tonis drin. Applaus
00:25:22.686 --> 00:25:27.600
Ich weiß nicht bei uns gibt's einen Müller
der diese großen Regale hat mit den Tonis,
00:25:27.600 --> 00:25:32.268
ich habe da noch nie 1100 Stück gesehen.
Das liegt daran, weil Tonis mittlerweile
00:25:32.268 --> 00:25:37.748
so erfolgreich ist, die sind in der UK
mittlerweile sehr etabliert, in den
00:25:37.748 --> 00:25:41.680
Staaten, in den USA sehr sehr gut
etabliert, in Frankreich etabliert.
00:25:41.680 --> 00:25:46.636
Mittlerweile gibt es auch eine Hong Kong
Edition. Das heißt da kommen schon relativ
00:25:46.636 --> 00:25:51.131
viele gleiche Tonis auch in verschiedenen
Sprachen selbst zwischen den
00:25:51.131 --> 00:25:55.710
amerikanischen und englischen Tonis gibt
es Unterschiede und diese Information
00:25:55.710 --> 00:26:00.051
haben wir erstmal zusammeng gesammelt und
sind auch dort erstmal unser Community
00:26:00.051 --> 00:26:05.820
dankbar dass die uns dort unterstützen die
Hashwerte und die Audio IDs zu bekommen.
00:26:05.820 --> 00:26:11.435
Diese Information nutzen wir jetzt um in
unserer Software auch die richtigen Icons
00:26:11.435 --> 00:26:18.036
darzustellen Gelächter im Publikum,
einzelne Applaus Das heißt die Software
00:26:18.036 --> 00:26:25.581
liest die SD-Karte aus, zeigt den
kompletten Content an und lässt uns dann
00:26:25.581 --> 00:26:31.460
etliche Dinge hiermit machen. Zum einen
einfacher Schritt die UID Zuordnung die
00:26:31.460 --> 00:26:36.494
Verlinkung zwischen dem NFC Tag und dem
audioofile zu verändern. Ihr seht das
00:26:36.494 --> 00:26:41.522
jetzt gerade hier unten die tags fangen
alle mit dem e00403 an, das ist die
00:26:41.522 --> 00:26:48.960
Identifikation des Standards des nfxtags
und dahinter die Bites sind dann die
00:26:48.960 --> 00:26:56.673
eindeutige Zuordnung aus der Tonie
Cloud. Das heißt all diese IDs werden bei
00:26:56.673 --> 00:27:02.404
Produktion schon in der Cloud zu einem
audiospiel zugeordnet und wir können jetzt
00:27:02.404 --> 00:27:11.365
hiermit die Tonies komplett neu zuordnen
verlinken. So jetzt haben wir vorhin über
00:27:11.365 --> 00:27:19.260
die Privacy Mode gesprochen. Wir haben
deswegen hier auch in der teddybench eine
00:27:19.260 --> 00:27:24.341
Integration des proxmarks ermöglicht, der
wird einfach per USB angeschlossen und zur
00:27:24.341 --> 00:27:29.761
Identifikation der UID kann man jetzt
einfach das Tag auf dem proxmarkt Lesen.
00:27:29.761 --> 00:27:36.484
Die Software liest den die passende UID
aus, ordnet die jetzt dem Audio Teil zu,
00:27:36.484 --> 00:27:43.395
die SD-Karte, steckt man zurück in die
Toniebox und kann dann erfolgreich mit
00:27:43.395 --> 00:27:50.748
einem custom tag... Audio haben wir nicht,
ne? neu . Macht nichts aber ihr würdet
00:27:50.748 --> 00:27:57.441
jetzt ein schönes bayerisches Kinderlied
hören, was so definitiv nicht von Tonies
00:27:57.441 --> 00:28:02.896
angeboten wird aber es funktioniert, das
kann ich hier versichern. Das ist ein
00:28:02.896 --> 00:28:08.194
Stück eines Kinderzuges wo ein NFC Tech
drunter geklebt wurde und die Box spielt
00:28:08.194 --> 00:28:17.509
das einwandfrei ab.
Applaus
00:28:17.509 --> 00:28:21.925
Wir selber sind, haben wir vorhin schon
gehört, heute zum ersten Mal physisch
00:28:21.925 --> 00:28:26.896
zusammen. Wir sind organisiert in einer
telegram chatgruppe, die mittlerweile über
00:28:26.896 --> 00:28:32.760
800 Community Mitglieder hat, die dort
fleißig am Basteln sind. Hier sind einige
00:28:32.760 --> 00:28:39.231
Beispiele so haben wir z.B. die paw Patrol
Figuren im Angebot gehabt oder wurden
00:28:39.231 --> 00:28:47.918
gebastelt bevor Tonie diese als offizielle
Figuren vorstellen konnte. lachen Des
00:28:47.918 --> 00:28:56.507
Weiteren wer einmal mit 40 Tonis in Urlaub
gefahren ist weiß wie viel Volumen die im
00:28:56.507 --> 00:29:01.613
Auto einnehmen ja? Wenn die Kinder die
alle mitschleppen wollen. Da kam dann die
00:29:01.613 --> 00:29:07.020
Idee auf einen travel Tonie oder ein
Cointech zu entwickeln, da hat man einfach
00:29:07.020 --> 00:29:12.557
eine 40 mm Münzhülse die Münzsamler sonst
verwenden genommen, hat dort ein dieser
00:29:12.557 --> 00:29:18.260
NFC Tex reingemacht und hat dann, das
sieht man in der Mitte und der blaue Ring,
00:29:18.260 --> 00:29:23.380
hat dann kleine Discs mit Magnet drin, die
genau die Funktion dann unterwegs
00:29:23.380 --> 00:29:27.101
übernehmen einfach mit demselben Inhalt
des Originaltonis verlinkt, den man ja zu
00:29:27.101 --> 00:29:33.290
Hause hat und kann dann unterwegs auch
platzsparender sein. Hier sieht man noch
00:29:33.290 --> 00:29:37.667
mal den Travel Tonie, der hier unten
zerlegt ist, sind einfach diese
00:29:37.667 --> 00:29:42.697
durchsichtigen coinex. Wir haben aber auch
viele laserfiguren oder 3D druckfiguren
00:29:42.697 --> 00:29:48.936
gesehen so hat da jeder seine eigene
Bastelmethode um seine Tex schön zu
00:29:48.936 --> 00:29:55.700
verpacken für die Kinder. So jetzt haben
wir zwei Aspekte gehört, aber es gab ja
00:29:55.700 --> 00:29:59.444
noch die Cloud. Darüber würden wir auch
noch mal kurz gerne sprechen.
00:29:59.444 --> 00:30:01.543
G: Ja bit nehme ich mal
M: Danke
00:30:01.543 --> 00:30:07.021
G: Genau, die Cloud ist eigentlich recht
simple aufgebaut, wenn man es einmal
00:30:07.021 --> 00:30:11.230
verstanden hat. Der Weg dahin war ziemlich
steinig aber im Endeffekt ist es einfach
00:30:11.230 --> 00:30:17.735
nur https, wo die Authentifizierung über
ein Kleinzertifikat passiert, das ist ein
00:30:17.735 --> 00:30:23.152
Ersatz für Benutzername Passwort und
zusätzlich prüft die Box ob das Gegenüber
00:30:23.152 --> 00:30:27.110
wirklich der Tonie Server ist,
dementsprechend können wir uns nicht
00:30:27.110 --> 00:30:31.328
einfach dazwischen klemmen. Das haben wir
aber mit dem ausgetauschten Zertifikat
00:30:31.328 --> 00:30:36.892
dann hinbekommen. Und der erste Teil der
Schnittstelle der ist erstmal über get
00:30:36.892 --> 00:30:41.409
ziemlich simpel, einmal kriegen wir die
aktuelle Uhrzeit vom Server zurück, dann
00:30:41.409 --> 00:30:46.277
haben wir die Möglichkeit Firmwareupdates
zu laden dann, hatten wir eben drüber
00:30:46.277 --> 00:30:49.787
gesprochen, dass die Tonifigur ein
Speicherinhalt hat und dieser
00:30:49.787 --> 00:30:54.431
Speicherinhalt wird als Passwort verwendet
um den Toni über die V2 Content
00:30:54.431 --> 00:30:59.603
Schnittstelle herunterzuladen und
andererseits in dem eigenen Account über
00:30:59.603 --> 00:31:03.267
claim dann im Account anzuzeigen, wenn man
die App öffnet dass man den Toni auch
00:31:03.267 --> 00:31:08.974
sieht. Weiterhin gibt's noch die V1
Schnittstelle ohne Authentifizierung um
00:31:08.974 --> 00:31:14.660
System Sounds herunterzuladen. Und im
dritten Block, da ist am interessantesten
00:31:14.660 --> 00:31:19.624
der freshness check das ist das, wenn was
passiert wenn man ein Uhr lange drückt die
00:31:19.624 --> 00:31:25.084
Box ein bisschen rödelt und dann sagt: oh
ja oder ein Ping macht. Damit prüft die
00:31:25.084 --> 00:31:30.671
Box welche Inhalt auf der Box sind und
markiert die Inhalte die nicht aktuell
00:31:30.671 --> 00:31:34.383
sind zum Löschen. Das kennt man wenn man
kreativ Toni hat, den aktualisiert dann
00:31:34.383 --> 00:31:39.080
drückt man das einmal stellt ihn drauf und
hat den neuen Inhalt dann verfügbar. Ja
00:31:39.080 --> 00:31:43.972
und das war's auch schon. Wir haben jetzt
die toni box komplett verstanden und
00:31:43.972 --> 00:31:48.312
stehen jetzt alle Türen offen. Da haben
wir uns gedacht, was machen wir denn jetzt
00:31:48.312 --> 00:31:53.511
mit unserem ganzen wissen? Ja wir bauen
eigene Cloud ein bisschen C mit Prise
00:31:53.511 --> 00:31:58.739
Docker und schon haben wir unseren eigenen
Toni Box Cloud Server, der sich zwischen
00:31:58.739 --> 00:32:04.069
die Toniebox Cloud und die eigentliche Box
hängt. Sieht dann beispielsweise so aus,
00:32:04.069 --> 00:32:10.038
natürlich die Tonis Jason wieder im
Einsatz ne. Die Nutzung ist für jemand der
00:32:10.038 --> 00:32:16.226
technisch das hinbekommt recht einfach.
Man muss nur die Zertifikate von der Box
00:32:16.226 --> 00:32:22.635
herunterladen und die Certificate
Authority durch des Teddy Cloud Servers
00:32:22.635 --> 00:32:29.729
ersetzen und dementsprechend kann man dann
entweder eigene Inhalte über eine taf-
00:32:29.729 --> 00:32:35.278
Datei die man entweder über Ted teddybench
generiert oder über das Webinterface
00:32:35.278 --> 00:32:40.145
anlegt an die Toniebox ausspielen.
Zusätzlich gibt es auch eine passthrow,
00:32:40.145 --> 00:32:44.839
Funktion das heißt man kann original Tonie
aufstellen, die der Inhalt wird in unser
00:32:44.839 --> 00:32:50.797
eigenen Teddy Cloud gespeichert und an die
Box weitergereicht. Und noch als kleines
00:32:50.797 --> 00:32:56.195
Goodie haben wir noch eine esp32 Firmware
Patch Funktion drin, dafür brauchen wir
00:32:56.195 --> 00:33:00.320
aber trotzdem physischen Zugang zur Box.
Das funktioniert nicht einfach über übers
00:33:00.320 --> 00:33:04.320
Netz. Es wäre schön wenn es so wäre, aber
das geht zum aktuellen Zeitpunkt no leider
00:33:04.320 --> 00:33:08.680
noch nicht. Dann ist uns aufgefallen, wo
wir uns die Firmware ein bisschen
00:33:08.680 --> 00:33:13.880
angesehen haben. Es gibt noch eine zweite
Domaine neben der Proton für die
00:33:13.880 --> 00:33:19.560
Datenkommunikation nämlich rtnl und diese
Funktion wird überall in der Firmware
00:33:19.560 --> 00:33:26.160
aufgerufen wirklich überall. Und man
drückt das Ohr, es geht request aus, man
00:33:26.160 --> 00:33:30.360
stellt die Toni auf, es geht request raus,
man dreht die Box um, es geht ein Request
00:33:30.360 --> 00:33:34.600
raus. Also wirklich alles mögliche geht
darüber, das ist alles fein verschlüsselt
00:33:36.320 --> 00:33:42.480
ja, beim Einrichten werden interessante
Daten übertragen, ja. Aber wir dachten wir
00:33:42.480 --> 00:33:48.200
uns, wir haben die Daten doch schon,
machen wir was damit und binden die Box
00:33:48.200 --> 00:33:52.980
einfach mal in Home assistant ein und in
mqtt.
00:33:52.980 --> 00:34:00.960
Lachen, Applaus
00:34:00.960 --> 00:34:05.920
So jetzt noch mal kurz das ganze in
Aktion: ne die erste wird aufgespielt,
00:34:05.920 --> 00:34:10.480
Inhalt wird angezeigt. Als kleines goodi
wird der Name unten noch auf dem LCD
00:34:10.480 --> 00:34:15.960
Display angezeigt. Einige Gelächter,
applaus Der nächste Tonie, das gleiche
00:34:15.960 --> 00:34:20.920
Spiel, jetzt noch das Klo. Ich weiß nicht,
wer wer das kennt, ist ein super lustiger
00:34:20.920 --> 00:34:28.520
Tonie und da gehen die LEDs noch mit an und
als kleine Spielerei ein custom TEAG, der
00:34:28.520 --> 00:34:32.360
kein Inhalt abspielt aber in Home
assistant dann eigene Inhalte triggert,
00:34:32.360 --> 00:34:36.240
über Spotify was abspielt und man kann
dann sogar die Lautstärke über die Ohren
00:34:36.240 --> 00:34:49.160
von seiner Anlage dann regeln, wenn man
das möchte. Lachen, Applaus Ja dann
00:34:49.160 --> 00:34:53.400
übergebe ich mal an Gekko Thema
Datenschutz. Bei so vielen Daten ist das
00:34:53.400 --> 00:34:56.400
sicherlich interessant.
Gekko: Das ist alles ganz safe das ist
00:34:56.400 --> 00:35:00.911
alles https-verschlüsselt. einzelne Gelächter
Gelächter
00:35:00.911 --> 00:35:03.520
Ja gut
also Scherz bei Seite. Tonis hat ja auch
00:35:03.520 --> 00:35:08.080
ein eine Datenschutzerklärung, die haben
uns dann mal genauer angeschaut und in der
00:35:08.080 --> 00:35:11.360
Datenschutzerklärung steht eine ganze
Menge. Aber bevor wir auf die
00:35:11.360 --> 00:35:14.800
Datenschutzerklärung gehen wollen noch mal
rekapitulieren. Wir haben zwei Domains
00:35:14.800 --> 00:35:20.160
irgendwas mit protde TBS to da sind die
Inhalte drauf und dieses gerade erwähnte
00:35:20.160 --> 00:35:25.520
rtnl da ist dann irgendwie protobff
codiert alles was da im Endeffekt in einem
00:35:25.520 --> 00:35:29.720
log file oder Terminal erscheinen würde
irgendwie wird es darüber genudelt. Aber
00:35:29.720 --> 00:35:35.000
alles DSGV konform und in Deutschland
gehostet bei Hezner glaube ich also von dem
00:35:35.000 --> 00:35:39.080
her sollte eigentlich da überall Siegel
dran sein. Nur ist es ein bisschen komisch,
00:35:39.080 --> 00:35:42.720
man stellt ein Tonie auf es wird in die
Cloud geloggt, ändert die Lautstärke, das
00:35:42.720 --> 00:35:48.280
wird in die Cloud geloggt, man drückt
irgendwie klopft auf die Box um Titel zu
00:35:48.280 --> 00:35:52.560
skippen, es geht in die Cloud. WLAN
Information gehen in die Cloud, also da
00:35:52.560 --> 00:35:57.280
kann man wirklich froh sein, dass das Ding
kein Mikrofon hat. gelächter Weil ich
00:35:57.280 --> 00:36:04.000
wäre mir nicht sicher was da so passiert.
Datenschutzerklärung: eine Wall of Text,
00:36:04.000 --> 00:36:08.600
aber das interessante aus diesem ganzen
Katalog da ist im Endeffekt dieser
00:36:08.600 --> 00:36:12.800
Abschnitt. Da wird ganz deutlich erklärt
was passiert bei der Betriebnahme der
00:36:12.800 --> 00:36:16.920
erstmaligen, beim Anschalten, beim
Aufstellen eines Tonies, beim skippen. Also
00:36:16.920 --> 00:36:21.600
wenn man da auf die Box klopft und das
nächste Lied herzuholen, da wird irgendwas
00:36:21.600 --> 00:36:29.040
übertragen. Alles mit Client Zertifikat,
IP-Adresse Timestamp. Beim nutzen genau
00:36:29.040 --> 00:36:34.720
hier, noch Ladestation anschließen etc.
Und beim Einrichten wird dann WLAN
00:36:34.720 --> 00:36:39.280
Information irgendwas mit SSIDs wird
geloggt die verfügbaren Netze ist aber bei der
00:36:39.280 --> 00:36:44.280
Einrichtung also ganz dick fett markiert
Einrichtung, also alles safe mein Gott,
00:36:44.280 --> 00:36:49.520
das eine Mal passt schon. Und alle
Informationen werden, steht so, anonym
00:36:49.520 --> 00:36:55.080
ermittelt. Sie werden anonym ermittelt,
sobald man aber seine toniebox ID nennt,
00:36:55.080 --> 00:37:00.120
kann man es plötzlich mit der Person wier
zuordnen. Also aus der IT oder aus
00:37:00.120 --> 00:37:03.080
Informatik ich kenne ich den Begriff
anonym aus einer anderen Ecke. Für mich
00:37:03.080 --> 00:37:08.480
ist es Pseudonym, pseudonomisiert, nicht
anonym, aber okay. Ich kenne mich da nicht so
00:37:08.480 --> 00:37:11.480
aus. Gut also er noch mal angeschaut, was
haben wir denn in dieser Tonie Cloud?
00:37:11.480 --> 00:37:16.800
Irgendwie so real name Box ID etc. Machen
wir doch mal eine Anfrage und gucken was
00:37:16.800 --> 00:37:21.160
da so kommt von Tonies und die haben da
auch promt binnen vier Wochen die
00:37:21.160 --> 00:37:26.240
Information hier zusammengetragen und mir
erklärt was ich schon wusste, also meine
00:37:26.240 --> 00:37:30.760
E-Mail Adresse, mein Name, der angegeben
wurde, die Tonies die ich habe, okay passt.
00:37:30.760 --> 00:37:34.640
Aber was ist jetzt mit dem anderen Zeug,
da war doch noch was? Egal aber das ist
00:37:34.640 --> 00:37:38.920
hier DSG konform das Hammer Haken dran,
passt, alles gut gemacht. Aber noch mal,
00:37:38.920 --> 00:37:42.800
wir haben doch noch Informationen. Wie
jetzt, irgendwas mit WLAN ist es, IDs
00:37:42.800 --> 00:37:47.520
Tastendrücke etc.? Was ist damit? Noch mal
explizit eine Anfrage gemacht. Nein, wo
00:37:47.520 --> 00:37:52.120
sind diese Informationen von diesem Server
die mir genannt haben? Da kamm die
00:37:52.120 --> 00:37:56.720
Rückmeldung: ja ne Moment, das ist alles
anonym! Jede Zeile in dieser Datenbank,
00:37:56.720 --> 00:38:03.000
ich nehme mal an die sieht so aus, wie
hier dargestellt, ist nur mit einem Box ID
00:38:03.000 --> 00:38:07.000
Dingens verknüpft, nicht mit meinem
Realnamen. Damit ist es nicht
00:38:07.000 --> 00:38:15.360
personbezogen, sondern anonym. lachen Ja
okay, gut, also das ist Dsgvo konform einzelne Gelächter
00:38:16.080 --> 00:38:21.200
keine Ahnung ich kenne mich da nicht so
aus, müssen wir halt mal glauben. Aber
00:38:21.200 --> 00:38:24.520
jetzt noch mal Informatiker oder man muss
ja Informatik studiert haben um zu
00:38:24.520 --> 00:38:27.360
verstehen, mensch da gibt's ja die
Möglichkeit Tabellen zu kombiniert irgend
00:38:27.360 --> 00:38:36.360
so SQL lachen, outer join, okay aber wie
gesagt, das ist dies DSGVO konform und wir
00:38:36.360 --> 00:38:40.480
sind keine Anwälte, wir sind keine
Juristen, wir kennen uns damit nicht aus.
00:38:40.480 --> 00:38:45.120
Von dem her mag das so sein, keine Ahnung.
Und uns ist noch was anderes aufgefallen,
00:38:45.120 --> 00:38:49.880
Esp32 Box im Betrieb nehmen, irgendwie sind
da immer Namen über diese rtnl Logs
00:38:49.880 --> 00:38:54.120
gekommen, die Moment, das hat doch nichts
mit mir zu tun, das waren doch SSIDs in
00:38:54.120 --> 00:39:00.960
der Nähe. Mensch ich probiere mal was.
einzelne Gelächter Es gibt mit ESP32,
00:39:00.960 --> 00:39:04.000
wenn man so ein eigenen Microcontroller
hinstelt, die Möglichkeit hier mal
00:39:04.000 --> 00:39:10.400
irgendwelche Fake SSIDs aufzubauen. Und
dann rödelt der dann tausende Fake SSIDs
00:39:10.400 --> 00:39:14.200
los. Machen wir das mal bei der Box. Was
passiert dann wenn die Box diese SSIDs
00:39:14.200 --> 00:39:19.760
sieht: BAM! Alle Informationen, die hier
so sieht, mein Gäste WLAN, ich habe die
00:39:19.760 --> 00:39:23.040
Box nie mit dem Gästewlan verbunden, aber
auch mit dieser "if you can read this",
00:39:23.040 --> 00:39:28.720
das kam alles über die debug Logs zum Tonie
Cloud Server. Aber keine Angst alles DSGVO
00:39:28.720 --> 00:39:35.080
konform und anonym. Gut sagt man na gut
aber wer jetzt da keine Lust drauf hat
00:39:35.080 --> 00:39:38.000
diese Information irgendwie DAU und
preiszugeben der darf ja natürlich gerne
00:39:38.000 --> 00:39:47.240
auch Alternativen nutzen und da haben wir
ja lachen da haben wir ja dann auch noch
00:39:47.240 --> 00:39:51.640
ein paar kleine Alternativen vorbereitet,
die wir noch mal kurz antiasern bitte: die
00:39:51.640 --> 00:39:56.560
hackiebox und...
G: Ich nehme den hackiebox und hackiebox
00:39:56.560 --> 00:40:01.640
hatten wir eben ja schon angesprochen. Wir
haben für die CC 3200 Variante eine eigene
00:40:01.640 --> 00:40:05.760
Firmware geschrieben und ein eigenen
Bootloader. Fangen wir mit der Custom
00:40:05.760 --> 00:40:09.840
Firmware einfach mal an. Das ist mehr oder
weniger Proof of Concept, damit kann man
00:40:09.840 --> 00:40:15.080
Dateien auf die Box hoch und runterladen,
auf den Flash aber auch auf die microSD.
00:40:15.080 --> 00:40:18.720
Das ist halt ganz praktisch man möchte die
Box nicht immer öffnen den Tech Connector
00:40:18.720 --> 00:40:24.960
dran stecken um eine Datei auf Flash
irgendwie auszutauschen. Und zusätzlich
00:40:24.960 --> 00:40:28.960
ist es ganz praktisch Box zu reparieren,
weil man kann gucken, funktioniert die
00:40:28.960 --> 00:40:34.400
Audio Schnittstelle, funktioniert der FD,
ist der Akku ok, dann kann ich in 24
00:40:34.400 --> 00:40:41.280
Stunden Test machen, gucken wie lange der
Akku hält so. Eben schon angesprochen, ein
00:40:41.280 --> 00:40:46.000
Bootloader wäre ganz praktisch. Den haben
wir dann auch implementiert. Da war dann
00:40:46.000 --> 00:40:51.360
die Idee, ok wir installieren erstmals im
Flash der Box einen Preloader der einfach
00:40:51.360 --> 00:40:56.560
nur eine Datei auf der Micro SD-karte lädt.
Das heißt in Zukunft kann jeder einfach
00:40:56.560 --> 00:41:00.480
dann die Micro SD-Karte raus und die
Dateien dementsprechend dort verändern und
00:41:00.480 --> 00:41:06.440
muss nicht mehr an den Flash. Ist erlaubt
einerseits das Booten der Originalfirmware
00:41:06.440 --> 00:41:10.680
andererseits kann man auch die Custom
Firmware starten und zusätzlich kann man
00:41:10.680 --> 00:41:15.000
dann wirklich live patching betreiben, das
heißt die Originalfirmware liegt dort, ich
00:41:15.000 --> 00:41:18.520
aktiviere die Patches, die ich haben will
in der Konfigurationsdatei, und kann dann
00:41:18.520 --> 00:41:22.520
beispielsweise sagen, ok der privacy
Mode soll abgeschaltet bleiben und nicht
00:41:22.520 --> 00:41:29.160
wieder eingeschaltet werden. Andererseits
haben wir ja auch andere Text sli die Sli
00:41:29.160 --> 00:41:33.880
Gruppe nenne ich einfach mal dann ist der
Check über die UID weg, da ist der Check
00:41:33.880 --> 00:41:36.680
über die acht Blöcke weg und
dementsprechend kann man alle Text
00:41:36.680 --> 00:41:43.440
verwenden. Man kann die Block, die Cloud
hard blockieren, wenn man das möchte, und
00:41:43.440 --> 00:41:49.440
man kann auch die URLs der Cloud und die
ca dementsprechend dynamisch einsetzen.
00:41:49.440 --> 00:41:54.240
Und das erlaut dann zwischen der Original-
Firmware mit der Originalcoud und der
00:41:54.240 --> 00:41:57.520
eigenen Cloud zu wechseln, wenn man das
möchte. Sollte die Cloud aktuell nicht
00:41:57.520 --> 00:42:00.040
funktionieren, das Kind sagt, ich möchte
jetzt aber unbedingt!, dann kann man mal
00:42:00.040 --> 00:42:03.680
eben rumswitchen, das ist ganz praktisch.
Man weiß ja, Kinder haben es meistens
00:42:03.680 --> 00:42:09.300
eilig. Und wenn man abends schlafen
möchte, muss die Toniebox laufen.
00:42:09.300 --> 00:42:14.400
gemurmel Der nächste Block geht übers
Modding und die Reparatur. Einfach mal
00:42:14.400 --> 00:42:19.560
paar Eindrücke. In der Mitte selbstgebaute
akupacks, rechts unten bisschen größer,
00:42:19.560 --> 00:42:24.640
damit die etwas länger hält, links ja das
typische Problem, wenn man die Box das
00:42:24.640 --> 00:42:27.080
erste mal auseinander nimmt, bisschen
ruppiger reißt, auch gerne mal so eine
00:42:27.080 --> 00:42:32.600
Buchse aus und da unterstützen wir gerne
mal bei der Reparatur, weil wir wissen
00:42:32.600 --> 00:42:40.480
halt mittlerweile wo die Kontakte liegen,
wo die lang laufen. Ja wir haben noch den
00:42:40.480 --> 00:42:47.240
Link, den RGB Ring rechts oben. Da haben
wir gleich noch ein Bild zu. Da hat einer
00:42:47.240 --> 00:42:50.000
aus der Community gesagt, okay ich bau ein
Ring ein, die Box soll noch schön
00:42:50.000 --> 00:42:57.680
leuchten. Und unten noch eine kleine debug
3D druckbox zum basteln. So das war noch
00:42:57.680 --> 00:43:02.000
ein Thema, das lag mir ganz besonders am
Herzen, wir hatten eine Anfrage aus der
00:43:02.000 --> 00:43:08.560
Community von Toro und der kleine Tochter
kann die Toniebox nicht 100% bedienen.
00:43:08.560 --> 00:43:14.400
Typischerweise muss man klopfen und kippen
um die Titel zu springen, oder zu spulen.
00:43:14.400 --> 00:43:18.040
Und durch die körperliche Einstränkung war
das einfach nicht möglich. Und dann haben
00:43:18.040 --> 00:43:23.120
wir zusammen geguckt wie können wir das
lösen, und da war die Idee ok,
00:43:23.120 --> 00:43:27.960
elektrisch kennt er sich aus, aber auf der
technischen Ebene von der Toniebox nicht,
00:43:27.960 --> 00:43:32.800
und dann haben wir eine Lösung gebastelt
um halt Microcontroller dort einzubauen
00:43:32.800 --> 00:43:37.760
und den Beschleunigungschip durch
Mikrocontroller zu ersetzen dor hat dann
00:43:37.760 --> 00:43:41.200
noch zwei Buttons eingebaut und
dementsprechend kann man dann durch kurzes
00:43:41.200 --> 00:43:45.000
Drücken zum nächsten Titel springen und
durch langes drücken dann spelen.
00:43:45.000 --> 00:43:58.880
umfangreiches applaus Hier haben wir
noch einen kurzen Ausblick zur zu gegos
00:43:58.880 --> 00:44:03.240
Bluetooth Mode. Da gibt's eine schöne
fertige Platine, mit der man dann bei der
00:44:03.240 --> 00:44:08.200
Toniebox Bluetooth nachrüsten kann. Da
muss man nur paar Käbelchen dran löten und
00:44:08.200 --> 00:44:12.720
dann funktioniert das auch schon. Ist auch
auf seinem Blog zu sehen, dementsprechend
00:44:12.720 --> 00:44:17.960
wer sich für interessiert, schaut einfach
mal rein. Und dann übergebe ich an Gambr.
00:44:17.960 --> 00:44:22.720
G: Ja, jetzt haben wir alle vier hier
schon gesprochen. Wir haben uns viel
00:44:22.720 --> 00:44:26.240
Gedanken dazu gemacht, wie wir denn
starten und da wir so viel Inhalt hatten,
00:44:26.240 --> 00:44:30.000
und jetzt nur die Ergebnisse zeigen
konnten der Zeit sei es geschuldet, haben
00:44:30.000 --> 00:44:35.000
wir auch eine vorherige Vorstellung
erstmal aufgeschoben. Ich möchte dennoch
00:44:35.000 --> 00:44:41.360
einmal kurz das Team vorstellen. Da haben
wir neben mir geggo, der an den ganzen
00:44:41.360 --> 00:44:46.720
reverse Software Reverse Engineering
Themen zusammen mit badby gearbeitet hat
00:44:46.720 --> 00:45:00.000
aber auch die ganze Hardware mit reverse
engineert hat. Applaus
00:45:00.000 --> 00:45:06.560
Daneben haben wir badbee. Badbee hat auch
viel an den custom software geschrieben
00:45:06.560 --> 00:45:11.240
und viel an den Hardware Reverse
Engineering Sessions dran teilgenommen und
00:45:11.240 --> 00:45:14.633
hat auch mit mir die Daten das
Datenmanagement gemacht, die Datenbank
00:45:14.633 --> 00:45:18.274
aufgebaut die ja in Teddy Bench auch mit
eingebunden ist, die wir vorhin gesehen
00:45:18.274 --> 00:45:24.748
haben.
'Applaus
00:45:24.748 --> 00:45:32.360
Moritz ist derjenige der uns das
Reparieren der ganzen toniy Boxen erst
00:45:32.360 --> 00:45:38.960
ermöglicht hat. Er hat die meisten Chips
schon identifiziert gehabt bevor wir ihn
00:45:38.960 --> 00:45:43.360
getroffen haben, er kam mit einer super
Liste um die Ecke, ich glaube, wenn ich in
00:45:43.360 --> 00:45:47.880
deine Dateien schaue, habe ich glaube ich
ein komplettes PCB, was reverse engineiert
00:45:47.880 --> 00:45:52.560
ist. Und er ist derjenige der dafür
gesorgt hat, dass man auf Ebay keinerlei
00:45:52.560 --> 00:46:02.880
defekten Tonieboxen mehr findet. alle
vier und das Publikum lachen Applaus
00:46:02.880 --> 00:46:08.560
Als wir gestartet sind konnte man noch für
10 15 € allerlei Tonieboxen finden, die
00:46:08.560 --> 00:46:13.400
angeknabberte Ohren oder sonstige
abgerissene Stecker hatten. Das hat uns
00:46:13.400 --> 00:46:17.360
auch bei unserer Bastelei sehr stark
geholfen. Mittlerweile ist das gegen Null
00:46:17.360 --> 00:46:21.640
gegangen, weil auch durch unsere
Dokumentation sehr viele
00:46:21.640 --> 00:46:26.520
Reparaturanleitung durch die Community und
durch diverse Youtube Videos und Seiten
00:46:26.520 --> 00:46:31.640
einfach gepublished wurden und dass auch
jeder zu Hause seine Box reparieren kann
00:46:31.640 --> 00:46:41.920
und damit weiterarbeiten kann. applaus
00:46:41.920 --> 00:46:47.000
Gut ich stelle mir ung
selber vor, ich habe nur die Kommunikation
00:46:47.000 --> 00:46:52.240
und das NFC Thema mit euch zusammen und
das ganze Datenmanagement gemacht, ich
00:46:52.240 --> 00:46:56.600
ziehe den Hut vor die Softwareeleistung,
die ihr erbracht habt. Da war ich
00:46:56.600 --> 00:47:00.550
Zuschauer und nur Kritiker und first
Tester, aber als Team haben wir es doch
00:47:00.550 --> 00:47:12.276
dann gemeinsam gut gemeistert.
Viele Applaus, Wows
00:47:12.276 --> 00:47:16.520
Und man schafft das
ganze natürlich nicht alleine, man braucht
00:47:16.520 --> 00:47:20.865
eine Community, die hilft und Unterstützer
hier. Ganz vielen Dank auch aus einem
00:47:20.865 --> 00:47:25.700
Revox telegram Channel Mitglied oder an
ein telegram Channel Mitglied blunazgul,
00:47:25.700 --> 00:47:30.268
der uns immer unterstützt hat mit Medien
mit Tonies etc, danke auch an nv1t ich
00:47:30.268 --> 00:47:35.624
hoffe ich spreche richtig aus, der auch
einen Talk hätte gehabt hätte über das
00:47:35.624 --> 00:47:40.385
Thema Audiooboxen und Reverse Engineering.
Den hat sich zurückgezogen, hat gesagt, er
00:47:40.385 --> 00:47:45.223
lässt uns hier den Vortritt, also vielen
lieben Dank an Dich! An die Firma Aronia
00:47:45.223 --> 00:47:50.217
AG die uns massiv unterstützt hat mit
Hardware, ohne die manche Aspekte hier
00:47:50.217 --> 00:47:55.640
nicht möglich gewesen wären, z.B das
Messen der Feldstärke um dann die ja
00:47:55.640 --> 00:48:01.185
kleinen Bugs, die man halt so in der
Software eben hat, rauszufinden auch an
00:48:01.185 --> 00:48:06.620
Lab 401, die einen Flipper Zero spendiert
haben um genau dieses ISO 15693 Thema zu
00:48:06.620 --> 00:48:11.962
pushen und dann auch vielen lieben Dank an
die ganze telegram Gruppe wie gesagt 800
00:48:11.962 --> 00:48:16.515
Leute und da hilft jeder jeden einen
besonderen Dank noch an Philipp der immer
00:48:16.515 --> 00:48:20.389
kurz vor Weihnachten kurz vor Weihnachten
die Fotos für den ganzen PCBs macht. Mehr
00:48:20.389 --> 00:48:23.983
so Stress, er hat keine Zeit, aber er
macht trotzdem. Er macht's trotzdem. Er ist
00:48:23.983 --> 00:48:28.020
eigentlich Fotograf, hat eigentlich immer
nichts zu viel zu tun andere drei lachen
00:48:28.020 --> 00:48:32.279
und dann kommt immer kurz vor Weihnachten,
ja mache ich dir. Und an den RFID friend
00:48:32.279 --> 00:48:36.359
der uns immer mit offen gelegten Text
versorgt und hier auch ja, wie es gerade
00:48:36.359 --> 00:48:40.120
erwähnt wurde, mit clons das ein oder
andere Mal auch ein Griff ins Klo hatte,
00:48:40.120 --> 00:48:43.711
aber uns dann doch immer die genuine Tex
die original NXP Tag liefert. Also da
00:48:43.711 --> 00:48:48.283
vielen Dank an alle die mit unterstützt
haben und hier noch ein paar Kontaktdaten.
00:48:48.283 --> 00:48:52.716
Also ihr könnt uns dann wenn Q&A session
zu kurz ist, wenn Fragen sind, könnt ihr
00:48:52.716 --> 00:48:56.864
uns kontaktieren. Macht Fotos, QRCode mit
allen Informationen und wir haben
00:48:56.864 --> 00:49:02.327
decktelefone. Wir sind teilweise bis die
ganze Woche oder na ja bis bis zu Ende na
00:49:02.327 --> 00:49:06.988
ja Tag 4, ja B Tag 4 da also Schut euch
nicht ruft uns an schreibt uns und dann
00:49:06.988 --> 00:49:13.753
war das soweit uns und ich übergeb an die
Q&A session Bitteschön.
00:49:13.753 --> 00:49:22.735
Applaus
00:49:22.735 --> 00:49:26.827
Engel: Ja herzlichen Dank an die Tonieboxer .
Kurze Entschuldigung wegen den Audio
00:49:26.827 --> 00:49:31.907
Ausfällen das sind stille Feueralarme da
wird die PA im Saal einfach herunter
00:49:31.907 --> 00:49:35.956
geregelt für die nächsten 5 bis 10
Sekunden, das Stream hört es nicht. Also
00:49:35.956 --> 00:49:39.740
für die, die sich im Stream dann gewundert
haben, was jetzt auf der Bühne los war,
00:49:39.740 --> 00:49:45.303
das wäre die Erklärung. Entschuldigung.
So, wir hätten jetzt Zeit, einiges an Zeit
00:49:45.303 --> 00:49:51.055
für Fragen an die vier Tonieboxer, an die
Mikros oder wenn... Ja! Da hinten im
00:49:51.055 --> 00:49:56.471
Internet gibt schon die erste Frage, sonst
auf rein, bitte raus geholt. Engel: Also
00:49:56.471 --> 00:50:02.279
die erste Frage aus dem Internet ist, kann
man z.B die Firmware von vergleichbaren
00:50:02.279 --> 00:50:07.848
Open Source RFID Audio Playern z.B ESP
uino auf der Hardware laufen lassen, habt
00:50:07.848 --> 00:50:12.388
ihr das mal probiert?
M: Ja ich habe Espuino portiert testweise
00:50:12.388 --> 00:50:19.058
um bisschen mich mit der Hardware vertraut
zu machen und es läuft rudimentär, aber
00:50:19.058 --> 00:50:24.839
nicht wirklich stabil. Deswegen sind wir
dabei Teddy Box umzusetzen und eine eigene
00:50:24.839 --> 00:50:29.633
Firmware aufzusetzen die a) die original
Firmware repliziert und b) weitere
00:50:29.633 --> 00:50:34.547
Features z.B für die Inklusion dann bietet
um per Ble beispielsweise in Fernbedienung
00:50:34.547 --> 00:50:37.462
noch einzubinden.
Gambrios: Aber grundsätzlich muss man
00:50:37.462 --> 00:50:42.149
sagen, espuino läuft, man muss dann ein
bisschen tweaken und das anpassen und da
00:50:42.149 --> 00:50:47.255
kann man noch mal betonen, ich glaube ich
es gibt keine Hardware espino Box, die so
00:50:47.255 --> 00:50:51.874
günstig und so vollkommen ist, wie die
Toniebox . Die kriegt man teilweise für 79
00:50:51.874 --> 00:50:55.727
€, man hat ein Lademanagement,
Ladestation, schönes Case. Da sind
00:50:55.727 --> 00:51:02.195
sämtliche Bastellösungen, die man dort
findet, wesentlich kostenintensiver.
00:51:02.195 --> 00:51:07.600
Engel: Gut danke. Mikrofon numo 4 bitte
rechts hinten.
00:51:07.600 --> 00:51:13.110
Frage: Hört man ja okay. Ihr hat es ja
gesagt, ihr habt auch die firmware davon
00:51:13.110 --> 00:51:17.963
reverse engineert. Wenn ihr die Version
vom ESP 32 reverse engineert habt, mit
00:51:17.963 --> 00:51:22.620
welcher Software, weil gitra hat nicht so
gute Unterstützung für extenser und wäre
00:51:22.620 --> 00:51:25.381
gut zu wissen, welche Software ihr dafür
benutzt habt.
00:51:25.381 --> 00:51:29.563
M: Also bei der ESP 32 Box ist nicht so
viel Zeit in reverse engineering auf
00:51:29.563 --> 00:51:34.333
Software Ebene geflossen, aber trotzdem
gab es dafür ID pro, ich nutze ID pro ein
00:51:34.333 --> 00:51:39.685
Plugin für die Extensor Microcontroller.
Das war glaub python Plugin meine ich.
00:51:39.685 --> 00:51:43.960
Zumindest läuft bei mir. Und damit habe
ich dann auch mal reingeschaut, aber wie
00:51:43.960 --> 00:51:47.204
gesagt, das war mal so reingucken und die
Funktionalität war im Endeffekt das
00:51:47.204 --> 00:51:51.755
gleiche, wie bei den ccbxen.
B: Die so mit gidra, ja mit gidra das
00:51:51.755 --> 00:51:56.320
geht recht gut. Da ist jetzt die
Peripherie ist nicht angebunden, das heißt
00:51:56.320 --> 00:52:01.060
da muss man ein bisschen schauen, bisschen
die Datenblätter lesen aber das geht dann
00:52:01.060 --> 00:52:05.480
eigentlich recht gut. Und dank der Debug-
Funktion mit eindeutigen IDs, kann man
00:52:05.480 --> 00:52:09.601
jetzt auch immer schauen: okay es kommt
eine DB Nachricht, dann kann ich im coding
00:52:09.601 --> 00:52:13.525
einfach mal gucken.
M: Und die CC Boxen habe ich auch mit id
00:52:13.525 --> 00:52:18.290
Approval reverse engeniert.
Engel: Ok und schon geht's weiter mit
00:52:18.290 --> 00:52:24.106
Mikrofon num 2.
Frage: Die Frage wäre wenn man diese rtnl
00:52:24.106 --> 00:52:29.332
Domäne einfach nur blockiert, verhält sich
da die Toniebox irgendwie komisch im
00:52:29.332 --> 00:52:32.641
Originalmodus oder ist einfach happy, dass
ich es nicht erreichen kann.
00:52:32.641 --> 00:52:36.563
B: Es geht einfach weiter also ist ist
datenschutzfreundlich umgesetzt, wenn man
00:52:36.563 --> 00:52:39.720
das denn weiß, kann man die blockieren,
dann hat man Ruhe.
00:52:39.720 --> 00:52:44.300
Engel: Okay danke Mikrofon num 1.
Frage: Danke für den Vortrag. Sehe ich
00:52:44.300 --> 00:52:48.596
jetzt richtig dass jetzt quasi dadurch
auch einzelne Lieder der Tonie sperren
00:52:48.596 --> 00:52:53.762
könntet und man so einen schönen Filter
hätte, falls ein Lied irgendwann sehr
00:52:53.762 --> 00:53:00.800
nervt? fröhliches Lachen, Applaus
G: Also direkt zu sagen wir sperren Track
00:53:00.800 --> 00:53:08.187
Nummer 5 von dem Tonie, wird wahrscheinlich
schwer umzusetzen sein. Aber wenn du den
00:53:08.187 --> 00:53:12.505
audioinhalt nimmst und einfach den Track 5
Audio Part rauslöscht und wieder auf deine
00:53:12.505 --> 00:53:15.356
Box drauf bringst, dann ist das sehr wohl
machbar.
00:53:15.356 --> 00:53:21.190
M: Hier sei auch erwähnt hier se auch
erwähnt bitte die Box dann am besten im
00:53:21.190 --> 00:53:26.627
offlineemus betreiben dann ist sowohl das
Datenschutzthema abgehakt als auch custom
00:53:26.627 --> 00:53:31.067
Content ohne Einschränkung möglich.
Engel: Mikrofon numo 4.
00:53:31.067 --> 00:53:35.810
Frage: Ja, Ihr habt eine Datenanfrage an
Tonie geschickt, stand ihr dann noch weiter
00:53:35.810 --> 00:53:39.490
mit den im Kontakt wegen dem Box ID
matching oder eine Beschwerde an die
00:53:39.490 --> 00:53:43.061
Datenschutz Aufsichtsbehörde, vielleicht
irgendwas in der Richtung? Dass das
00:53:43.061 --> 00:53:44.880
zukünftig vielleicht nicht mehr so sein
wird.
00:53:44.880 --> 00:53:48.860
G: hoffentlich nein, also zum ersten Teil
der Frage. Ja ich habe noch eine Anfrage
00:53:48.860 --> 00:53:52.343
gestellt, habe ihnen auch erklärt, von
welcher Domäne ich Kandidaten hätte, also
00:53:52.343 --> 00:53:56.734
wo die RTL Lock und so. Weiter die haben
auch dann, muss man auch sagen hut ab,
00:53:56.734 --> 00:54:01.350
zwei externe Juristen, die diese Anfrage
beantworten sollten für eine Stunde für
00:54:01.350 --> 00:54:05.950
mich abgestellt. Das Gespräch war ok,
sie konnten aber im Endeffekt nichts sagen
00:54:05.950 --> 00:54:10.898
außer nein. Das ist alles dsgvo konform und
nein das ist alles anonym, nein SSIDs
00:54:10.898 --> 00:54:15.466
übertragen sind keine personbezogen oder
personenbeziehbaren oder indirekt
00:54:15.466 --> 00:54:20.587
personenbezogene Daten. Dass da gibt's
kein Urteil zu, damit ist es nicht
00:54:20.587 --> 00:54:25.396
personbezogen. Ok von dem her war das
der einzige Kontakt den wir da hatten. Ich
00:54:25.396 --> 00:54:29.331
habe noch mal eine Nachfrage zu der
Nachfrage gestellt ob ich denn jemand
00:54:29.331 --> 00:54:34.010
bekommen könnte der Aussage kräftig ist.
Da kam jetzt aber leider ist jetzt auch
00:54:34.010 --> 00:54:38.811
wieder vier Wochen her, kam nichts. M: Ja ich
habe ich habe parallel eine gestellt ein
00:54:38.811 --> 00:54:42.662
Ticken später, da hatte ich auch noch mal
nachgefragt, aber da hatte ich auch bis
00:54:42.662 --> 00:54:45.689
heute keine Antwort. Also mal schauen, was
dann noch kommt. Wäre interessant einfach
00:54:45.689 --> 00:54:50.597
zu wissen auch mit m Austausch mal zu
gucken, aber es gibt aber noch zwei
00:54:50.597 --> 00:54:56.668
interessante Aussagen zu den rtln Daten
und zwar auf Nachfrage, wo wir denn
00:54:56.668 --> 00:55:00.944
jetzt diese ganzen mitgelogten Daten
sehen, hat man einmal gesagt na das wäre
00:55:00.944 --> 00:55:04.891
schon ganz schön aufwendig die alle
rauszulassen, das sollten Sie jetzt nicht
00:55:04.891 --> 00:55:10.050
machen und außerdem würden sie das als
Unternehmensdaten ansehen und damit ihr
00:55:10.050 --> 00:55:16.363
Recht drauf behalten, weil sie anonym sind
bis auf der boxid anonym sind.
00:55:16.363 --> 00:55:25.340
Engel: Ok danke, aus extern eine
Internetanfrage habe ich gesehen war da?
00:55:25.340 --> 00:55:30.074
Nein. gut dann geht's weiter zu Mikrofon
numero 3.
00:55:30.074 --> 00:55:35.396
Frage: Gibt's da ein Limit zu der sd-
kartengröße oder kann ich da eine 1
00:55:35.396 --> 00:55:39.460
Terrabyte SD-Karte reinpacken?
Gambio: lso wir haben dort wir haben dort
00:55:39.460 --> 00:55:43.510
selbst mit experimentiert, kommt drauf an
welche Box das ist die erste Box ist sehr
00:55:43.510 --> 00:55:47.269
wählerisch geht bis zu 64 GB getestet von
uns
00:55:47.269 --> 00:55:52.230
M: 256 gegen ein
Gambio: Aber nicht mit jeder SD-Karte also
00:55:52.230 --> 00:55:57.280
herstellerabhängig Empfindlichkeit. Die ESP32
ist da weniger wählerisch, die nimmt mehr
00:55:57.280 --> 00:56:01.008
Karten auch da findet ihr im Wiki bei uns
eine Übersicht an SD-Karten, die wir
00:56:01.008 --> 00:56:06.675
getestet haben. Aber letztendlich ist die
Größe wahrscheinlich irrelevant.
00:56:06.675 --> 00:56:13.480
Frage: Unterstützt andere systeme? Nein
Fat32 waren die alle formatiert auch dort
00:56:13.480 --> 00:56:16.669
ganz einfach nur die normale Windows
Formatierung.
00:56:16.669 --> 00:56:20.425
Engel: Ok aber jetzt hat sich das
Internet gemeldet.
00:56:20.425 --> 00:56:25.024
InternetEngel: Ja richtig, das Internet
möchte wissen: werden die Logs im
00:56:25.024 --> 00:56:29.885
offlinemodus gesammelt und werden sie dann
eventuell übertragen wenn die Box wieder
00:56:29.885 --> 00:56:32.464
online ist?
Antwort: Nein die Logs werden Echtzeit
00:56:32.464 --> 00:56:36.282
übertragen sofern die Verbindung möglich
ist. Wenn keine Verbindung möglich ist
00:56:36.282 --> 00:56:40.068
dann, wird nichts übertragen, nichts
gespeichert. Da gibt's kein Cash oder
00:56:40.068 --> 00:56:45.142
irgendwas also, wenn ihr die Box offline
betreibt. Wenn solange keine Daten erfasst
00:56:45.142 --> 00:56:50.963
oder danach auch übertragen das ist dann
für den Zeitpunkt wird alles dann ja nur
00:56:50.963 --> 00:56:56.118
in dem Moment übertragen.
Engel: Gut Mikrofon numo 2.
00:56:56.118 --> 00:57:02.755
Frage: Ja dieser RFID privacy Modus, ist
das speziell von Tonie oder ist das
00:57:02.755 --> 00:57:05.679
irgendein Standard ich habe davon noch nie
gehört?
00:57:05.679 --> 00:57:09.540
Antwort: Das ist ein Standard, der wird
regulär in der Bekleidungsmittelindustrie
00:57:09.540 --> 00:57:14.526
verwendet und zwar bei der
Berufsbekleidung. Derjenige, der mal im
00:57:14.526 --> 00:57:19.311
Betriebsrat tätig war oder in großen
Konzernen mit dem Betriebsrat drüber
00:57:19.311 --> 00:57:22.716
gesprochen hat, die sind sehr darüber aus
dass die Mitarbeiter nicht irgendwie
00:57:22.716 --> 00:57:26.966
anderweitig getrackt werden können und das
könnte man natürlich machen, wenn man
00:57:26.966 --> 00:57:31.510
Hosen mit NFC Tag hat die wieder den
Mitarbeitern zugeordnet werden müssen. Und
00:57:31.510 --> 00:57:36.718
insofern kann man diese speziellen
klamottenent Tags quasi deaktivieren so
00:57:36.718 --> 00:57:42.860
dass der Arbeitgeber dort kein Tracking
der der Hose vor vornehmen kann und nur
00:57:42.860 --> 00:57:47.692
der Wäschekonzern dementsprechend eine
Zuordnung zum Mitarbeiter wenn er die
00:57:47.692 --> 00:57:51.369
zurück in den Schrank LT vornehmen kann
und dafür sind die damals entwickelt
00:57:51.369 --> 00:57:56.460
worden die benutzen mittlerweile einen
neueren Standard SL SX2 der auch besser
00:57:56.460 --> 00:58:02.374
verfügbar ist aber damit und von dem es
mittlerweile auch chinesische Magic Tags
00:58:02.374 --> 00:58:07.772
gibt wo man die UID ändern kann so dass
man theoretisch ein Clon eines Tonies
00:58:07.772 --> 00:58:14.038
herstellen könnte was aber vom slixl nicht
der Fall ist und wir haben es vorhin ein
00:58:14.038 --> 00:58:19.611
mal kurz erwähnt damit die slixx2 Chips
nicht verwendet werden können die in Summe
00:58:19.611 --> 00:58:25.896
28 Speicherblöcke haben fragt Ton fragt
die tonyibox ganz exp zieht den neunten
00:58:25.896 --> 00:58:31.736
Speicherblock ab wo eine Fehlermeldung
bestimmte Fehlermeldung zurückkommen, muss
00:58:31.736 --> 00:58:36.872
weil der SLI XL Chip nur acht Blöcke hat,
damit stellen Sie sicher dass wirklich
00:58:36.872 --> 00:58:41.476
dieser recht schwer zu erhaltender Chip
nur verwendet werden kann mit diesen
00:58:41.476 --> 00:58:46.028
Eigenschaften, aber es ist keine für Tonis
entwickelte Funktion.
00:58:46.028 --> 00:58:50.269
Engel: Danke, eine letzte Frage und die
ist bei Mikrofon 1.
00:58:50.269 --> 00:58:55.120
Frage: Servus, würdet ihr sagen dass die
Toniebox an sich ein cooles Produkt? Ist
00:58:55.120 --> 00:58:59.564
also und Software nur seltsame corparate
Entscheidungen dahinter stehen und man...
00:58:59.564 --> 00:59:03.600
Antwort: Ist W auf jeden Fall eindeutig
Hardware top, wie gesagt, ich selber setze
00:59:03.600 --> 00:59:07.800
sie fast 100% original ein, ich entwickelt
viel damit habe da Spaß dran. Meine
00:59:07.800 --> 00:59:12.440
Tochter hat dafür viele Tonieboxen. alle 4
lachen Dementsprechend das Produkt hat
00:59:12.440 --> 00:59:15.440
mich vorher nicht überzeugt, ich habe
gesagt, möchte ich nicht haben. Dann habe
00:59:15.440 --> 00:59:19.600
ich mich mehr damit beschäftigt und dann
sind wir zusammen gekommen und jetzt ist
00:59:19.600 --> 00:59:24.360
das einfach das Top Produkt.
Gambio: Also es spricht nichts gegen die
00:59:24.360 --> 00:59:29.080
Tonies Firma, wir stehen voll hinter dem
Konzept. Die Firma selber hat eine tolle
00:59:29.080 --> 00:59:32.480
Story, die sie erzählen. Sie haben ein
tolles Produkt, was sich auch toll
00:59:32.480 --> 00:59:37.960
anfühlt. Aus dem Grunde sind wir auch
großer Tonis Fan, es ist nur die Sache
00:59:37.960 --> 00:59:43.520
dass wir privat halt ein Hobby haben, was
auch den Hintergrund abfragt ne und und
00:59:43.520 --> 00:59:47.203
macht Spaß. Engel. Gut danke schön!
00:59:47.203 --> 00:59:51.083
Lachen, Applaus
00:59:51.083 --> 00:59:58.430
37c3 Abspannmusik
00:59:58.430 --> 01:00:10.000
Untertitel von vielen vielen Freiwilligen und dem
C3Subtitles Team erstellt. Mach mit und hilf uns!