WEBVTT 00:00:09.379 --> 00:00:12.754 Vorspannmusik 00:00:12.754 --> 00:00:18.440 Gambius: Die Kinder Audioplayer Box die Toniebox ist ein recht beliebtes und weit 00:00:18.440 --> 00:00:26.520 verbreitetes Modell mit Content Hosting und Datensammelwut. Nun wir haben hier 00:00:26.520 --> 00:00:34.120 vier Sprecher: Gambrius, Moritz, Badbee und Gekko die uns auf diese Thematik ein 00:00:34.120 --> 00:00:42.360 bisschen einführen werden und ein quasi das erste Mal sich heuer und heute hier 00:00:42.360 --> 00:00:46.320 auf der Bühne treffen. Die waren bis jetzt eigentlich vor vier Jahren zum erst mal 00:00:46.320 --> 00:00:50.280 online getroffen virtuell noch nie physisch heute zum ersten Mal miteinander 00:00:50.280 --> 00:00:52.341 Alle auf der Bühne bitte schön. 00:00:52.341 --> 00:01:00.528 Applaus 00:01:00.528 --> 00:01:04.383 Moritz: Danke schön danke schön danke schön. Ich hoffe ihr seid wirklich wegen Tonies hier 00:01:04.383 --> 00:01:09.271 und nicht wegen dem iPhone researcher Hack der in Saal 1 läuft, ihr habt euch nicht 00:01:09.271 --> 00:01:16.414 verlaufen ne wow echt viele Leute heute hier. Willkommen zu dem Tonies Talk. Wer 00:01:16.414 --> 00:01:23.480 kennt die TonieBox, einmal Hand hoch! Ok, wer hat eine TonieBox zu Hause und hat 00:01:23.480 --> 00:01:31.321 keine Kinder? Lautes hey, lachen Ok das wird sich ändern, weil wir haben doch recht viel 00:01:31.321 --> 00:01:35.504 Gefallen an dieser tollen Box gefunden. Ich brauche gar nicht so viel erklären was 00:01:35.504 --> 00:01:40.121 das ist, also eine für die, die es noch nicht kennen: ein Kinder Audio 00:01:40.121 --> 00:01:45.750 Abspielgerät, welches ohne Display auskommt, in Summe nur zwei Knöpfe hat die 00:01:45.750 --> 00:01:51.170 beiden Ohren zu Lautstärkeregulierung. Es gibt diese schleichartigen Figuren wo ein 00:01:51.170 --> 00:01:56.496 kleiner NFC Chip drin versteckt ist, so viel kann ich schon mal Spoilern, und kein 00:01:56.496 --> 00:02:01.651 ganzes Tonband drin ist, welches wenn es auf die Box aufgesetzt wird das passende 00:02:01.651 --> 00:02:07.709 Hörspiel abspielt. Diese Figuren kann man im Handel erhält für 15 16 € kaufen. Ob 00:02:07.709 --> 00:02:13.086 man die Lizenz damit kauft, das weiß ich jetzt gerade nicht, aber man kann 00:02:13.086 --> 00:02:17.043 zumindest das Hörbuch damit hören. Wir möchten euch mal ein bisschen damit 00:02:17.043 --> 00:02:21.547 durchführen, was der Gedanke dieses Talks einfach ist, wo wir gesagt haben warum 00:02:21.547 --> 00:02:26.662 wollen wir über diese Toniebox sprechen. Jetzt habe ich vorhin diese Figur erwähnt. 00:02:26.662 --> 00:02:31.700 Es ist leider Gottes die einzige Abspielmöglichkeit diesen Inhalt der für 00:02:31.700 --> 00:02:37.225 diese Figur angedacht ist auf dieser Box abzuspielen. Das heißt man kann jetzt 00:02:37.225 --> 00:02:42.660 nicht frei wählen welche Inhalte man abseits von eigenen CDs, die vielleicht im 00:02:42.660 --> 00:02:47.103 Vorfeld gekauft wurden oder bei mir in der Vergangenheit meine Benjamin Blümchen 00:02:47.103 --> 00:02:51.353 Sammlung die ich ja auch bereits irgendwann mal gekauft bekommen habe für 00:02:51.353 --> 00:02:56.339 meine Kinder in der nächsten Generation auf der Toniebox abzuspielen. So gibt es 00:02:56.339 --> 00:03:02.159 zwar die Möglichkeit mit kreativ Tonis zu arbeiten, die kann man für 12 € kaufen und 00:03:02.159 --> 00:03:07.333 mit insgesamt 90 Minuten bespielen, aber man ist immer in diesem Tonie Universum 00:03:07.333 --> 00:03:11.847 gefangen und ist natürlich dann auch in der Abhängigkeit der Firma Tonies. Das 00:03:11.847 --> 00:03:16.861 heißt: sollte was jetzt gerade die machen gerade Aktiengang, das heißt ist gerade 00:03:16.861 --> 00:03:22.482 unwahrscheinlich, aber sollte diese Firma Tonis irgendwann mal Insolvenz anmelden 00:03:22.482 --> 00:03:27.868 oder Konkurs anmelden, dann wären all diese Funktionen der Tonies nicht mehr 00:03:27.868 --> 00:03:32.381 gegeben, weil die ganze Box rein Cloud basiert ist und sämtliche Inhalte über 00:03:32.381 --> 00:03:36.692 eine App gesteuert werden eine Weboberfläche gesteuert werden und aus der 00:03:36.692 --> 00:03:41.690 Cloud geladen werden und keinerlei unabhängige Möglichkeiten gegeben sind. 00:03:41.690 --> 00:03:46.505 Last uns mal ein bisschen auf die Hardware eingehen. An der Stelle würde ich mal 00:03:46.505 --> 00:03:50.291 Moritz übergeben der uns ein bisschen was über die Hardware Variation erzählt. 00:03:50.291 --> 00:03:54.908 Moritz: Danke schön ja hallo. Ich geb einen kurzen Überblick über die Hardware 00:03:54.908 --> 00:03:58.940 der Toniebox und wenn man da rein guckt, was man da eigentlich findet. So also ist 00:03:58.940 --> 00:04:02.499 relativ über übersichtlich aufgebaut, wenn man jetzt also die die Toniebox 00:04:02.499 --> 00:04:07.226 auseinander nimmt, dann sieht man da drin auf der links oben den Akku, da drunter 00:04:07.226 --> 00:04:12.459 den den Lautsprecher, in der Mitte das die die Platine das PCB dann rechts daneben 00:04:12.459 --> 00:04:17.660 sind die die Pushbuttons, die in den Ohren versteckt sind, für die Lautstärkeregelung 00:04:17.660 --> 00:04:23.574 und der das PCB rechts daneben ist die NFC Antenne. Genau das Toniebox PCB ist relativ 00:04:23.574 --> 00:04:29.368 übersichtlich gehalten. Es ein vier lagenboard was nur einseitig bestückt ist 00:04:29.368 --> 00:04:34.263 auf der Rückseite hat es 82 Testpunkte die alle nett beschrieben so zumindest 00:04:34.263 --> 00:04:39.294 durchnummeriert sind und eine Onboard WLAN Antenne. Sonst macht es eigentlich alles 00:04:39.294 --> 00:04:42.666 einen sehr soliden Eindruck. Die Hardware ist schön also ist sehr 00:04:42.666 --> 00:04:46.662 reparaturfreundlich, also falls man da irendwie was zerforscht haben sollte lässt 00:04:46.662 --> 00:04:53.270 sich das alles relativ gut wieder in Gang setzen. Genau jetzt gucken wir uns mal das 00:04:53.270 --> 00:05:00.270 PCB im Detail an. Wir haben also hier. Das schwarze ist der Microcontroller. Bei der 00:05:00.270 --> 00:05:06.706 ersten Version ist das ein ti-Chip. Dann haben wir den RFID Chip, ein 00:05:06.706 --> 00:05:13.132 Beschleunigungssensor, da für damit man dagegenhauen kann und die Box das merkt, 00:05:13.132 --> 00:05:17.445 der Audioochip der ist auf der linken Seite und ein kleiner Flash und natürlich 00:05:17.445 --> 00:05:22.307 die SD-Karte, also zumindest den SD- kartenhalter sehen wir dort. So dann 00:05:22.307 --> 00:05:28.640 gibt's für den ganzen Stromfu gibt's also ein Laderegler dcwandler und diverse LDO 00:05:28.640 --> 00:05:33.723 für die für die Spannungsversorgung, für die Spannungsversorgung 00:05:33.723 --> 00:05:38.664 Herald: der Ton ist allgemein Moritz: Weg Spannungs 00:05:38.664 --> 00:05:43.344 Herald: 12 1 2 Moritz: Sag mal tot hier ist alles tot 00:05:43.344 --> 00:05:47.824 hallo hallo nee Herald: alles torein 00:05:47.824 --> 00:05:59.406 M: ne nein doch pause alles klar dann warten wir kurz. lachen 00:05:59.406 --> 00:06:05.977 y: war das ja aber ich möchte das nicht strapazieren 00:06:05.977 --> 00:06:12.843 M: unterlassungsk ja genau so und dann gibt's als als Interfaces im weitesten 00:06:12.843 --> 00:06:18.163 Sinne gibt's eine RGB LED, den Kopfförherausgang den Akkustecker unten, 00:06:18.163 --> 00:06:24.207 den Stecker für die Ohren in der Mitte und den Lautsprecherkonnektor oben und für das 00:06:24.207 --> 00:06:28.386 freundliche zu forschen gibt's das debug Interface das so ein Tech Connect 00:06:28.386 --> 00:06:32.943 Interface ist das ist auf der Rückseite der Platine. So dann schauen wir als 00:06:32.943 --> 00:06:37.654 nächstes Mal, was eigentlich mit den was es mit den Mikrokontrollern auf sich hat. 00:06:37.654 --> 00:06:41.544 Also es gibt drei unterschiedliche Mikrocontroller. Die Urversion war die mit 00:06:41.544 --> 00:06:49.000 dem TI 3200 dann hat die Chipkrise auch bei bei Tonie zugeschlagen und es gab eine 00:06:49.000 --> 00:06:56.766 Box oder wenige Boxen mit dem CC 3235 und jetzt die aktuellen Boxen sind mit 00:06:56.766 --> 00:07:03.563 einem ESP 32 Chip aus gerüstet und werden damit geschippt. So ah ja guck mal, da 00:07:03.563 --> 00:07:09.031 sieht man's, ja also genau das ist der der cc32 so das ist also wir nennen es Version 00:07:09.031 --> 00:07:15.611 1 und Version 2 der der Hardware. Die Version 3 ist relativ selten so und das 00:07:15.611 --> 00:07:22.169 ist die aktuelle Version 4 für den mit dem ESP 32 Chip. So ein paar Details dazu 00:07:22.169 --> 00:07:27.989 genau. Dass S sehr sehr häufig verbreitet sind, hatte ich schon gesagt, sie sind 00:07:27.989 --> 00:07:32.032 über die Tech Connect Schnittstelle kann man den den Flash Auslesen der dort 00:07:32.032 --> 00:07:36.923 unverschlüsselt bzw unsigniert ist man kann das cc3200 Tool zum Lesen und 00:07:36.923 --> 00:07:42.791 Schreiben benutzen und wir haben mit der Hackiebox eine Custom Firmware und ein 00:07:42.791 --> 00:07:50.040 Custom Bootloader implementiert. Die hackiebox NG. So der CC 3235 ist selten 00:07:50.040 --> 00:07:55.218 die Tech Connect oder die Debugschnittstelle ist gesperrt. Wir 00:07:55.218 --> 00:07:59.820 können zwar über eine sop8 Klammer auf den Flash zugreifen und da finden Finden 00:07:59.820 --> 00:08:03.974 findet man dann dass die Zertifikate unverschlüsselt sind die FirmWare jedoch 00:08:03.974 --> 00:08:10.777 signiert und verschlüsselt ist und mit dem cc32 Tool kann man die den flashstamp 00:08:10.777 --> 00:08:18.060 manipulieren und anschauen. So das ist genau die aktuelle Box. Die hat also 00:08:18.060 --> 00:08:25.276 eine UART Schnittstelle.Man kann es sehr komfortabel mit dem ESP Tool anfassen und 00:08:25.276 --> 00:08:34.161 Hat das Tonie ist den sacht abgedreht? lacht Ja ich befürchte das Gelächter 00:08:34.161 --> 00:08:41.424 Jetzt wieder genau dann mache ich hier noch schnell durch. Genau es gibt eine 00:08:41.424 --> 00:08:46.820 Proof of Concept Firmware auf Basis des ESP winno und wir haben eine eigenständige 00:08:46.820 --> 00:08:51.846 Open Source Ersatzfirmware, die also schon die meisten Funktionen der Originalfmware 00:08:51.846 --> 00:08:56.344 implementiert die wir teddybox nennen. Damit bin ich bei der Hardware durch und 00:08:56.344 --> 00:09:01.076 gebe wieder zurück an den gambrios. G: Super, ich danke dir ich hoffe mal 00:09:01.076 --> 00:09:06.551 nicht dass Tonies hier uns den Saft abdreht mit den Audio Themen. Kurz mal zu 00:09:06.551 --> 00:09:12.669 Funktionsweise, wie funktioniert die tonybox? Anders als der irglaube meiner 00:09:12.669 --> 00:09:18.212 Eltern ist nicht in der Figur der Audioinhalt gespeichert. Der Audioinhalt 00:09:18.212 --> 00:09:23.358 kommt wirklich aus der Cloud, das sehen wir mal rechts dargestellt, der NFC Chip 00:09:23.358 --> 00:09:28.160 identifiziert diesen nur, die Toniebox reicht die Information an die Cloud durch 00:09:28.160 --> 00:09:32.340 und sie wird damit versorgt. Aber sie hat auch eine SD-Karte, die haben wir vorhin 00:09:32.340 --> 00:09:37.228 schon mal kurz auf dem PAD genau ist den Halter. In der Regel ist das eine 8 GB 00:09:37.228 --> 00:09:42.649 Karte, wo die einzelnen Audioofiles die schon einmal geladen wurden, mit einer 00:09:42.649 --> 00:09:46.966 Figur auch im Offline Modus nachher verfügbar gestellt werden, sie ist also 00:09:46.966 --> 00:09:51.902 nicht vorgeladen, sondern muss immer über übers WLAN und über die über die Cloud 00:09:51.902 --> 00:10:00.887 bestückt werden. Ungefähr 45 bis 65 MB hat ein Audiohörbuch der auf einer zu einer 00:10:00.887 --> 00:10:09.071 toniefigur zugeordnet ist. Die Übertragung der Inhalte folgt halt so, dass diese 00:10:09.071 --> 00:10:14.691 Figur aufgesetzt wird, die sogenannte UID des NFC Chips ausgelesen wird, da kommen 00:10:14.691 --> 00:10:19.895 wir gleich noch mal zu. Wenn der Inhalt nicht auf der SD-Karte ist, wird der 00:10:19.895 --> 00:10:26.474 Ladeprozess aus dem aus der Cloud gestartet und dort gespeichert. Zum 00:10:26.474 --> 00:10:32.553 Funktionsprinzip des NFC Chips. Weil hier doch ein bisschen spezieller unterwegs 00:10:32.553 --> 00:10:39.505 sind. Unten links sehen wir den Chip, der in den Figuren verbaut ist. Das ist ein ca 00:10:39.505 --> 00:10:47.993 10 mm langer feritstab mit einer Kupfer Draht umwickelten Antenne um genau zu sein 00:10:47.993 --> 00:10:57.329 21 Wicklung und auf der Kopf auf der Stirnseite ist der kleine NXP icode 00:10:57.329 --> 00:11:04.806 Slx Strich 2 Chip verbaut, der eine besondere Rolle hier spielt, weil er 00:11:04.806 --> 00:11:08.715 erstmal so gar nicht erkannt werden kann. Das heißt in der Vergangenheit hat man 00:11:08.715 --> 00:11:12.675 versucht mit verschiedensten NFC Lesegeräten an diese Figur heranzugehen 00:11:12.675 --> 00:11:16.615 und wollte die dann auslesen und hat aber erstmal nicht feststellen können was drin 00:11:16.615 --> 00:11:22.252 ist zu der Funktion des privacy modes kommen wir gleich noch mal detailliert, 00:11:22.252 --> 00:11:26.846 aber hier noch mal eben kurz auch der Vergleich. Wir haben uns natürlich dann 00:11:26.846 --> 00:11:33.144 irgendwann versucht eigene srwx Chips zu besorgen um vielleicht mit eigenen custom 00:11:33.144 --> 00:11:38.940 Tags zu arbeiten, haben dort auch natürlich in die Herstellerindustrie nach 00:11:38.940 --> 00:11:44.539 China die Finger ausgestreckt, haben dort allerhand Varianten durchgetestet, die 00:11:44.539 --> 00:11:52.321 alle nicht funktionierten, bis wir dann den SrwXL Tag als einzigen nutzbaren Chip 00:11:52.321 --> 00:11:57.300 identifiziert hatten, haben aber auf dem Weg dahin, auf der odissey dahin auch 00:11:57.300 --> 00:12:02.934 gefälschte SrwXL Chips bekommen, die wir in unserem Prozess bei der Analyse später 00:12:02.934 --> 00:12:08.293 auch identifizieren konnten, fand auch NXP sehr interessant, den wir auch welche 00:12:08.293 --> 00:12:12.875 davon zur Verfügung gestellt haben. Jetzt gerade in den Medien geht's ja um her NXP 00:12:12.875 --> 00:12:17.872 ist über die letzten Jahre über ein längeren Zeitraum von Hackern infiltriert 00:12:17.872 --> 00:12:22.003 worden, die sich dort die neuesten Datenheets und Daten der Chips 00:12:22.003 --> 00:12:25.926 runtergeladen haben um dann auch dementsprechend gefälschte Kopien selber 00:12:25.926 --> 00:12:30.297 herzustellen. Also das ist uns auch über ein Weg gekreuzt rechts in blauen Balken 00:12:30.297 --> 00:12:35.362 sieht man mal den Vergleich der beiden Chips. Im Mikroskop erkennt man in der 00:12:35.362 --> 00:12:42.460 Bauform Unterschiede aber erstmal nicht weiter spannend nur das als Randbemerkung. 00:12:42.460 --> 00:12:49.160 So an der Stelle habe ich den privacy Mode schon mal erklärt Gego erzähl uns was 00:12:49.160 --> 00:12:54.608 darüber. Geggo: Genau der privacy Mode klingt sehr luminös. Das ist ein spezieller 00:12:54.608 --> 00:13:00.397 Modus bei diesen slix I Chips, bei denen der Chips in einen Mod versetzt wird. Das 00:13:00.397 --> 00:13:05.780 heißt der reagiert auf nichts auf nichts außer die Kommandos zum entspnen aus dem 00:13:05.780 --> 00:13:11.630 privacy Mode. Die Kryptographie nein so will ich das gar nicht nennen die Methode 00:13:11.630 --> 00:13:21.156 dahinter ist sehr speziell, sehr hohe Sicherheitsstufe nicht. Man fragt einen 00:13:21.156 --> 00:13:25.774 eine random number an und schickt dann eine Antwort zurück. Das ist so sicher wie 00:13:25.774 --> 00:13:29.546 an der Tür ein geheimes Passwort sagen um und dann vorher noch eins addieren oder 00:13:29.546 --> 00:13:35.919 so. Diesen Modus verwendet der TonieChip oder der Chip in den Tonie Figuren um sich 00:13:35.919 --> 00:13:41.020 unsichtbar zu machen vor irgendwelchen Zugriffen mit dem Handy. So was macht die 00:13:41.020 --> 00:13:46.034 Toniebox? Sie kennt diese Methode sie fragt erst mal diesen random an schickt dann 00:13:46.034 --> 00:13:52.001 diesen super geheimen Passwort Code mit XOR verschlüsselt zurück und dann ist der 00:13:52.001 --> 00:13:57.145 tag zugreifbar wie jeder andere Tag nfcv Tags, die man so kaufen kann. Dann 00:13:57.145 --> 00:14:02.013 passiert ein kleines Prozedera, es wird die UID abgefragt ein paar andere Werte 00:14:02.013 --> 00:14:08.033 und der Speicherinhalt der Figur, das sind acht Blöcke die der Chip eigentlich hat. 00:14:08.033 --> 00:14:12.840 Die Box frägt aber 9 Blöcke ab der 9. Block ist nur dafür da um festzustellen ob 00:14:12.840 --> 00:14:16.557 es ein Fake tag ist die dann auf dem neten dann doch noch irgendwelche Daten 00:14:16.557 --> 00:14:20.901 Antworten, also heißt die Tonies haben da schon ein kleinen Check reingebaut, dass 00:14:20.901 --> 00:14:25.226 nicht die beliebigsten Fake tags da verwendet werden können. Gut, die UID wird 00:14:25.226 --> 00:14:30.051 gespeichert und der Blog Content dann speichert Box die Figur wieder und wird 00:14:30.051 --> 00:14:34.371 nur noch über Präsenzdetektion geschaut, ist diese Figur noch drauf. Beim 00:14:34.371 --> 00:14:39.551 Aufstellen auf die Box passiert das ganze und bin in einer halben Sekunde spielt die 00:14:39.551 --> 00:14:43.672 Box die Musik ab. Was passiert wenn man jetzt während dem Auslesen einfach die 00:14:43.672 --> 00:14:47.244 Figur wegzieht? Das haben wir auch festgestellt, ja dann ist diese Figur 00:14:47.244 --> 00:14:54.035 lesbar wie jeder andere NFC Tag. Das heißt man geht einfach nur her *lachen im 00:14:54.035 --> 00:15:02.315 Publikum, anschließende Applaus* so. X: Das hat das hat jetzt nicht viel mit 00:15:02.315 --> 00:15:08.879 Hacken zu tun. Y: also das ist doch doch das kann jedes 00:15:08.879 --> 00:15:11.149 Kind. 1. Person: lächelt: Ob das so gedacht 00:15:11.149 --> 00:15:14.476 war oder ob das so geplant war von der Firma, die das entwickelt hat, wir haben 00:15:14.476 --> 00:15:18.996 keine Ahnung. Auf jeden Fall funny, danach kann man das Ding mit dem Handy auslesen 00:15:18.996 --> 00:15:23.457 aber man kann nichts emulieren. Person Z: Es gab mal kurz das Gerücht, wir 00:15:23.457 --> 00:15:27.560 hätten mit einer Klopfmethode den NXP Sicherheitschip geknackt. Ganz so ist es 00:15:27.560 --> 00:15:33.543 nicht. Also ja gut danach schaut die Box nur noch ist diese Figur da und das macht 00:15:33.543 --> 00:15:38.680 sie dann mit dem addressed Mode get random egal gut. Wenn wir uns dann diesen tag der 00:15:38.680 --> 00:15:43.495 jetzt magischerweise entschlüsselt ist mal genauer anschauen proxmark, der Einer oder 00:15:43.495 --> 00:15:48.531 Andere kennt es, kann man per sys Info mal gucken was steht da so in diesem in der 00:15:48.531 --> 00:15:53.438 UID drin DSF ID die ganzen Dinger egal. Da kommt die UID ja das ist jetzt eine geixte 00:15:53.438 --> 00:15:57.380 UID von dem echten Tonie von mir und wenn man dann noch den Memory dumpt, dann hat 00:15:57.380 --> 00:16:01.355 man noch die 8 Blöcke da unten mit den entsprechenden Speicherinhalt und wir 00:16:01.355 --> 00:16:06.484 können sagen, was in dieser Figur steht nein es ist nicht die Musik es ist die UID 00:16:06.484 --> 00:16:11.598 die von NXP rein gelasert wurde auch immer wurde und 32 Byte Dateninhalt. Jetzt 00:16:11.598 --> 00:16:16.586 können man natürlich schauen ist es random. Also wir haben keine Struktur 00:16:16.586 --> 00:16:20.848 gefunden. Man könnte jetzt auch tausende Tonis irgendwo auslesen, würde keiner tun. 00:16:20.848 --> 00:16:22.781 Person dd: ne diesen Aufwand würde niemand treiben 00:16:22.781 --> 00:16:25.780 Geko: Nee würde niemand treiben und dann würde mal feststellen, es ist eigentlich 00:16:25.780 --> 00:16:30.802 von Zufallsdaten nicht zu unterscheiden oder ausgeklügelter Hash. Aber damit haben 00:16:30.802 --> 00:16:35.970 wir die Figur identifiziert und können dann loslegen mit den üblichen Tools. Mit 00:16:35.970 --> 00:16:40.517 einem was wie mit proxmark oder FLIper Zero aber ganz so einfach ist es doch nicht. 00:16:40.517 --> 00:16:43.782 Wir haben doch gerade was gelernt über den privacy Mode, den muss man erstmal 00:16:43.782 --> 00:16:47.285 deaktivieren oder dann auch drauf reagieren. Aber gut dann bauen wir das 00:16:47.285 --> 00:16:51.505 Ganze mal eben nach im proxmark 3 bekanntes Hardware Hacker Tool NFC Hacker 00:16:51.505 --> 00:16:57.042 Tool war die Unlock Funktion nicht implementiert, man kann auch nicht die 00:16:57.042 --> 00:17:01.390 Kommandos einzeln senden und dann selber mal schon im Taschenrechner diesen 00:17:01.390 --> 00:17:06.982 hochsicheren kryptografischen Vorgang nachimplementieren, weil das Feld des NFC 00:17:06.982 --> 00:17:13.080 tags muss aktiv bleiben für die Abfrage des Randoms und dem Setzen des Passwords. 00:17:13.080 --> 00:17:19.632 Gut kein Aufwand schell implementiert eigenen fork vom glob ICEM Repo war von 00:17:19.632 --> 00:17:26.020 proxmk 3 implementiert. Dann nächste Schritt emulieren, ja Specs runterhacken. 00:17:26.020 --> 00:17:30.790 Das also das kann jeder, also auch diesen fork mal kurz erweitert um die slixl 00:17:30.790 --> 00:17:34.800 Emulation und auch das implementiert. Dann kam so langsam dieses Flipper Zero Dings. 00:17:34.800 --> 00:17:38.173 Ich weiß nicht ob die eine oder andere das kennen, das ist auch ganz lustiges 00:17:38.173 --> 00:17:43.239 Spielzeug für Hacker. Mensch der hat auch irgendwas mit NFC Emulation und auslesen, 00:17:43.239 --> 00:17:47.307 passt, implementier mal auch. Also die Unlock Funktion easy peasy einfach mal 00:17:47.307 --> 00:17:52.533 kurz nachimplementieren Feld Anlassen alles okay? Bei der Emulation das hast 00:17:52.533 --> 00:17:59.044 dann anders aus. Der Chip der hier verbaut ist kann kein Slicks emuliert, er kann auch 00:17:59.044 --> 00:18:04.900 nicht wirklich nfcv V implementieren außer UID kann das Ding nichts, aber er kann den 00:18:04.900 --> 00:18:09.937 Pass through Modus. Pass through heißt man moduliert vom Microcontroller aus die 00:18:09.937 --> 00:18:16.921 Feldstärke über opins und bekommt im Umkehrschluss die Gegenmodulation des NFC 00:18:16.921 --> 00:18:25.196 Chips über iopin zurück. Das heißt ja man fängt halt mal an warum nicht mach mal banging 00:18:25.196 --> 00:18:31.566 von ISO 15693 kling einfach dann sukzessiv merkt man schon Mensch gar nicht? *einzelne 00:18:31.566 --> 00:18:35.535 gelächter* So toll Microcontroller für die ganzen millisekundenweise da komplett 00:18:35.535 --> 00:18:43.361 blocken iO tockeln und ganz ehrlich 256 Byte Datentransfers was NFCV kann, das dauert 00:18:43.361 --> 00:18:48.452 schon seine Zeit. Dann habe ich halt anfangen das ganze mit DMA unterstützt, 00:18:48.452 --> 00:18:53.531 kann man ein bisschen vorberechnen, aber auch da hat sich festgestellt Mensch für 00:18:53.531 --> 00:18:59.147 256 Byte oder 255 by Speicherinhalt, wir bräuchten 140 KB RAM nur vorberechnet, das 00:18:59.147 --> 00:19:04.008 kostet auch seine Zeit. Also war das Ergebnis ein bisschen so Ringbuffer und 00:19:04.008 --> 00:19:08.797 just in time vorberechnen war dann doch ein kleines Unterfangen und größerer Pull 00:19:08.797 --> 00:19:13.668 Request, die auch die Kollegen von Flipper Zero death Team dann irgendwann Mitte 00:19:13.668 --> 00:19:17.590 dieses Jahres irgendwann endlich abgesegnet haben. Rechts sieht man noch 00:19:17.590 --> 00:19:21.797 sagt mal Bild oben ein Original NXP Tag unten der Flippers Zero der 00:19:21.797 --> 00:19:26.987 da der Toniebox jo ich bin ein Benjamin Blümchen Tonie. Einzelne Gelächter 00:19:26.987 --> 00:19:37.362 Gut Applaus damit haben wir ein Perk Unlock so die NFC 00:19:37.362 --> 00:19:39.531 Geschichte kann man emulieren kann man auslesen. 00:19:39.531 --> 00:19:42.478 Das ist schon eins der drei Achsen die da die wir brauchen um 00:19:42.478 --> 00:19:45.648 lustige Dinge mit der Box zu machen. G: Genau über die drei Achsen 00:19:45.648 --> 00:19:49.258 sprechen wir bisschen näher. NFC haben wir jetzt gerade gelernt, können wir. 00:19:49.258 --> 00:19:54.133 Emulieren wir kennen die ganzen Daten wie es rein und raus muss es gibt ja noch die 00:19:54.133 --> 00:19:59.301 SD-Karte. Was ist denn auf der SD-Karte drauf? Also erstmal war ganz einfach uns 00:19:59.301 --> 00:20:03.664 gemacht worden es ist eine FAT 32 formatierte SD-Karte die wir ganz frei 00:20:03.664 --> 00:20:10.243 lesen konnten die Ordnerstruktur sah relativ einfach aus: random Zahlen Namen, 00:20:10.243 --> 00:20:16.895 Ordnernamen wo eine Datei drin lag ohne Endung auch mit uns erstmal random Nummer 00:20:16.895 --> 00:20:21.500 aussehend. Letztendlich haben wir aber festgestellt, diese Zahlen sind gar nicht 00:20:21.500 --> 00:20:26.334 so random, die haben doch schon irgendwas mit der UID zu tun. Also relativ einfach 00:20:26.334 --> 00:20:33.655 ist die UID im reverse Darstellung als Ordnername verwendet worden und als 00:20:33.655 --> 00:20:39.472 Dateiname sodass rein über die Ordner und Dateinamen Benennung die Zuordnung zu 00:20:39.472 --> 00:20:46.046 einem NFC tag gegeben ist. Das haben wir vorhin gelernt, wir haben custom tags 00:20:46.046 --> 00:20:51.238 besorgt, die auch eine UID haben und der erste Versuch war natürlich das mal 00:20:51.238 --> 00:20:58.267 umzubenennen und siehe da: im Offline Modus ich nehme das mal vorweg konnte man 00:20:58.267 --> 00:21:02.731 die dann auch auch abspielen. Was ist denn auf der SD-Karte noch drauf? die Datei 00:21:02.731 --> 00:21:09.551 selber die Datei selber wenn man sich die anschaute fand man 4 KB Blöcke die 00:21:09.551 --> 00:21:16.630 verschiedenste Inhalte hatten der erste 4 KB Block war wirklich im protobuff 00:21:16.630 --> 00:21:24.688 gespeicherte Informationen passend zum Tonie Daten wie Track Anzahl Sprungmarken 00:21:24.688 --> 00:21:31.578 zu den Audio Inhalten aber auch eine Audio ID und Hashwert. Was wir dort nicht 00:21:31.578 --> 00:21:35.968 gefunden haben ist ein schöner klartextname des Tonis oder der Geschichte 00:21:35.968 --> 00:21:40.230 oder vielleicht eine Artikelnummer oder eine interne Nummer die den Inhalt 00:21:40.230 --> 00:21:46.575 identifizieren würde. Das gab es nicht. Es gab nur die Audio ID was letztendlich beim 00:21:46.575 --> 00:21:53.120 Codieren des Audioinhaltes als Unix Timestamp verwendet wurde. Das heißt, wir 00:21:53.120 --> 00:21:58.803 wussten wann ist der Audioinhalt erstellt aber nicht welcher Inhalt. Die weiteren 4k 00:21:58.803 --> 00:22:04.093 Blöcke sind jeweils Opus Teile nicht verändert einfach komplett hinten 00:22:04.093 --> 00:22:09.956 angehängt, das heißt einfachster Schritt ersten 4k Block abschneiden und man konnte 00:22:09.956 --> 00:22:15.768 es ganz normal mit ein ock opusfähigen Spieler abspielen ohne treckination weil 00:22:15.768 --> 00:22:19.838 die sind ja im ersten 4k Block. Mit diesen Informationen haben wir uns dann 00:22:19.838 --> 00:22:25.360 hingesetzt und haben eigene Inhalte in Opus umgewandelt und haben diese dann mit 00:22:25.360 --> 00:22:31.819 einem eigenen Header versehen und auf der Toniebox getestet und siehe da, wir 00:22:31.819 --> 00:22:38.902 konnten auch das genauso darstellen und abspielen. Was machen wir mit der 00:22:38.902 --> 00:22:44.346 Information? Was haben wir noch? Entschuldigung ach das ging auch die OPus 00:22:44.346 --> 00:22:50.414 pages. Eine kleine Besonderheit diese AdOpus pages mussten immer ein vollen 4k Block 00:22:50.414 --> 00:22:56.158 darstellen. Das heißt wir durften die Tonie Datei nie irgendwo mit dem Audioinhalt 00:22:56.158 --> 00:23:00.533 enden lassen sondern wir muss en den letzten Block immer noch auf 4k auffüllen, 00:23:00.533 --> 00:23:09.172 ansonsten hat die Box auch gestreickt. So jetzt haben wir quasi das Dateiformat 00:23:09.172 --> 00:23:14.440 erkannt, ausgelesen, analysiert, entschlüsselt würde ich nicht sagen, weil 00:23:14.440 --> 00:23:18.687 da war nicht viel verschlüsselt und wir wissen wie die RFID Funktion 00:23:18.687 --> 00:23:23.952 funktionieren. Was machen wir jetzt mit dem Wissen? Relativ simpel, lass uns eine 00:23:23.952 --> 00:23:29.113 Software bauen, die anderen Leuten ermöglicht eigene Inhalte auf die Box zu 00:23:29.113 --> 00:23:36.136 bringen. Das heißt unser erster step war Teddy Bench. Bevor wir jetzt reingehen. Um 00:23:36.136 --> 00:23:42.152 das zu benutzen müssen wir aber erstmal Zugriff zur SD-Karte bekommen. Jetzt 00:23:42.152 --> 00:23:46.087 zeigen wir euch mal kurz wie die toniebox aufgebaut ist und wie schnell man den 00:23:46.087 --> 00:23:56.137 Zugriff auf die SD-Karte bekommen kann. Das ist ein Bayonettverschluss, 00:23:56.137 --> 00:24:01.186 idealerweise drückt man den auf dem Fliesenboden und dreht den um 15°, dann 00:24:01.186 --> 00:24:06.190 springt der auf mit einer Schraube gesichert. Also hier großes Kompliment an 00:24:06.190 --> 00:24:11.194 die Produkte Produktdesigner. Ich habe selten ein so leicht wartbares Produkt in 00:24:11.194 --> 00:24:20.520 den Händen gehabt. Applaus einzelne Gelächter 00:24:20.520 --> 00:24:23.370 Nein das darf man ja mal gerne erwähnen, weil das sind ja versteckte 00:24:23.370 --> 00:24:28.140 Sachen in dem Produkt ihr seht zerstörungsfrei ohne Klebeaktion oder 00:24:28.140 --> 00:24:35.062 clipaktion ist dieses Produkt schnell erreichbar. SD-Karte raus und wie vorhin 00:24:35.062 --> 00:24:40.804 schon gesagt, in den nächsten SD-Karten Leser oder direkt in Rechner reinstecken 00:24:40.804 --> 00:24:45.552 um dann die Inhalte zu bearbeiten. Aber welche Inhalte haben wir denn? Ich habe 00:24:45.552 --> 00:24:49.922 vorhin gesagt, auf dieser Karte sind jetzt haufenweise einzelne dateils Dateien die 00:24:49.922 --> 00:24:56.220 wir jetzt aber gerade nicht ansprechen können also sind wir angefangen haben eine 00:24:56.220 --> 00:25:02.783 Datenbank aufgebaut. ** Über alle Audio IDs und Hashwerte die wir finden konnten 00:25:02.783 --> 00:25:08.852 und haben die dann den Artikelnummern von den Tonies und den den echten Namen 00:25:08.852 --> 00:25:22.686 zugeordnet. Mittlerweile haben wir dort 1100 Tonis drin. Applaus 00:25:22.686 --> 00:25:27.600 Ich weiß nicht bei uns gibt's einen Müller der diese großen Regale hat mit den Tonis, 00:25:27.600 --> 00:25:32.268 ich habe da noch nie 1100 Stück gesehen. Das liegt daran, weil Tonis mittlerweile 00:25:32.268 --> 00:25:37.748 so erfolgreich ist, die sind in der UK mittlerweile sehr etabliert, in den 00:25:37.748 --> 00:25:41.680 Staaten, in den USA sehr sehr gut etabliert, in Frankreich etabliert. 00:25:41.680 --> 00:25:46.636 Mittlerweile gibt es auch eine Hong Kong Edition. Das heißt da kommen schon relativ 00:25:46.636 --> 00:25:51.131 viele gleiche Tonis auch in verschiedenen Sprachen selbst zwischen den 00:25:51.131 --> 00:25:55.710 amerikanischen und englischen Tonis gibt es Unterschiede und diese Information 00:25:55.710 --> 00:26:00.051 haben wir erstmal zusammeng gesammelt und sind auch dort erstmal unser Community 00:26:00.051 --> 00:26:05.820 dankbar dass die uns dort unterstützen die Hashwerte und die Audio IDs zu bekommen. 00:26:05.820 --> 00:26:11.435 Diese Information nutzen wir jetzt um in unserer Software auch die richtigen Icons 00:26:11.435 --> 00:26:18.036 darzustellen Gelächter im Publikum, einzelne Applaus Das heißt die Software 00:26:18.036 --> 00:26:25.581 liest die SD-Karte aus, zeigt den kompletten Content an und lässt uns dann 00:26:25.581 --> 00:26:31.460 etliche Dinge hiermit machen. Zum einen einfacher Schritt die UID Zuordnung die 00:26:31.460 --> 00:26:36.494 Verlinkung zwischen dem NFC Tag und dem audioofile zu verändern. Ihr seht das 00:26:36.494 --> 00:26:41.522 jetzt gerade hier unten die tags fangen alle mit dem e00403 an, das ist die 00:26:41.522 --> 00:26:48.960 Identifikation des Standards des nfxtags und dahinter die Bites sind dann die 00:26:48.960 --> 00:26:56.673 eindeutige Zuordnung aus der Tonie Cloud. Das heißt all diese IDs werden bei 00:26:56.673 --> 00:27:02.404 Produktion schon in der Cloud zu einem audiospiel zugeordnet und wir können jetzt 00:27:02.404 --> 00:27:11.365 hiermit die Tonies komplett neu zuordnen verlinken. So jetzt haben wir vorhin über 00:27:11.365 --> 00:27:19.260 die Privacy Mode gesprochen. Wir haben deswegen hier auch in der teddybench eine 00:27:19.260 --> 00:27:24.341 Integration des proxmarks ermöglicht, der wird einfach per USB angeschlossen und zur 00:27:24.341 --> 00:27:29.761 Identifikation der UID kann man jetzt einfach das Tag auf dem proxmarkt Lesen. 00:27:29.761 --> 00:27:36.484 Die Software liest den die passende UID aus, ordnet die jetzt dem Audio Teil zu, 00:27:36.484 --> 00:27:43.395 die SD-Karte, steckt man zurück in die Toniebox und kann dann erfolgreich mit 00:27:43.395 --> 00:27:50.748 einem custom tag... Audio haben wir nicht, ne? neu . Macht nichts aber ihr würdet 00:27:50.748 --> 00:27:57.441 jetzt ein schönes bayerisches Kinderlied hören, was so definitiv nicht von Tonies 00:27:57.441 --> 00:28:02.896 angeboten wird aber es funktioniert, das kann ich hier versichern. Das ist ein 00:28:02.896 --> 00:28:08.194 Stück eines Kinderzuges wo ein NFC Tech drunter geklebt wurde und die Box spielt 00:28:08.194 --> 00:28:17.509 das einwandfrei ab. Applaus 00:28:17.509 --> 00:28:21.925 Wir selber sind, haben wir vorhin schon gehört, heute zum ersten Mal physisch 00:28:21.925 --> 00:28:26.896 zusammen. Wir sind organisiert in einer telegram chatgruppe, die mittlerweile über 00:28:26.896 --> 00:28:32.760 800 Community Mitglieder hat, die dort fleißig am Basteln sind. Hier sind einige 00:28:32.760 --> 00:28:39.231 Beispiele so haben wir z.B. die paw Patrol Figuren im Angebot gehabt oder wurden 00:28:39.231 --> 00:28:47.918 gebastelt bevor Tonie diese als offizielle Figuren vorstellen konnte. lachen Des 00:28:47.918 --> 00:28:56.507 Weiteren wer einmal mit 40 Tonis in Urlaub gefahren ist weiß wie viel Volumen die im 00:28:56.507 --> 00:29:01.613 Auto einnehmen ja? Wenn die Kinder die alle mitschleppen wollen. Da kam dann die 00:29:01.613 --> 00:29:07.020 Idee auf einen travel Tonie oder ein Cointech zu entwickeln, da hat man einfach 00:29:07.020 --> 00:29:12.557 eine 40 mm Münzhülse die Münzsamler sonst verwenden genommen, hat dort ein dieser 00:29:12.557 --> 00:29:18.260 NFC Tex reingemacht und hat dann, das sieht man in der Mitte und der blaue Ring, 00:29:18.260 --> 00:29:23.380 hat dann kleine Discs mit Magnet drin, die genau die Funktion dann unterwegs 00:29:23.380 --> 00:29:27.101 übernehmen einfach mit demselben Inhalt des Originaltonis verlinkt, den man ja zu 00:29:27.101 --> 00:29:33.290 Hause hat und kann dann unterwegs auch platzsparender sein. Hier sieht man noch 00:29:33.290 --> 00:29:37.667 mal den Travel Tonie, der hier unten zerlegt ist, sind einfach diese 00:29:37.667 --> 00:29:42.697 durchsichtigen coinex. Wir haben aber auch viele laserfiguren oder 3D druckfiguren 00:29:42.697 --> 00:29:48.936 gesehen so hat da jeder seine eigene Bastelmethode um seine Tex schön zu 00:29:48.936 --> 00:29:55.700 verpacken für die Kinder. So jetzt haben wir zwei Aspekte gehört, aber es gab ja 00:29:55.700 --> 00:29:59.444 noch die Cloud. Darüber würden wir auch noch mal kurz gerne sprechen. 00:29:59.444 --> 00:30:01.543 G: Ja bit nehme ich mal M: Danke 00:30:01.543 --> 00:30:07.021 G: Genau, die Cloud ist eigentlich recht simple aufgebaut, wenn man es einmal 00:30:07.021 --> 00:30:11.230 verstanden hat. Der Weg dahin war ziemlich steinig aber im Endeffekt ist es einfach 00:30:11.230 --> 00:30:17.735 nur https, wo die Authentifizierung über ein Kleinzertifikat passiert, das ist ein 00:30:17.735 --> 00:30:23.152 Ersatz für Benutzername Passwort und zusätzlich prüft die Box ob das Gegenüber 00:30:23.152 --> 00:30:27.110 wirklich der Tonie Server ist, dementsprechend können wir uns nicht 00:30:27.110 --> 00:30:31.328 einfach dazwischen klemmen. Das haben wir aber mit dem ausgetauschten Zertifikat 00:30:31.328 --> 00:30:36.892 dann hinbekommen. Und der erste Teil der Schnittstelle der ist erstmal über get 00:30:36.892 --> 00:30:41.409 ziemlich simpel, einmal kriegen wir die aktuelle Uhrzeit vom Server zurück, dann 00:30:41.409 --> 00:30:46.277 haben wir die Möglichkeit Firmwareupdates zu laden dann, hatten wir eben drüber 00:30:46.277 --> 00:30:49.787 gesprochen, dass die Tonifigur ein Speicherinhalt hat und dieser 00:30:49.787 --> 00:30:54.431 Speicherinhalt wird als Passwort verwendet um den Toni über die V2 Content 00:30:54.431 --> 00:30:59.603 Schnittstelle herunterzuladen und andererseits in dem eigenen Account über 00:30:59.603 --> 00:31:03.267 claim dann im Account anzuzeigen, wenn man die App öffnet dass man den Toni auch 00:31:03.267 --> 00:31:08.974 sieht. Weiterhin gibt's noch die V1 Schnittstelle ohne Authentifizierung um 00:31:08.974 --> 00:31:14.660 System Sounds herunterzuladen. Und im dritten Block, da ist am interessantesten 00:31:14.660 --> 00:31:19.624 der freshness check das ist das, wenn was passiert wenn man ein Uhr lange drückt die 00:31:19.624 --> 00:31:25.084 Box ein bisschen rödelt und dann sagt: oh ja oder ein Ping macht. Damit prüft die 00:31:25.084 --> 00:31:30.671 Box welche Inhalt auf der Box sind und markiert die Inhalte die nicht aktuell 00:31:30.671 --> 00:31:34.383 sind zum Löschen. Das kennt man wenn man kreativ Toni hat, den aktualisiert dann 00:31:34.383 --> 00:31:39.080 drückt man das einmal stellt ihn drauf und hat den neuen Inhalt dann verfügbar. Ja 00:31:39.080 --> 00:31:43.972 und das war's auch schon. Wir haben jetzt die toni box komplett verstanden und 00:31:43.972 --> 00:31:48.312 stehen jetzt alle Türen offen. Da haben wir uns gedacht, was machen wir denn jetzt 00:31:48.312 --> 00:31:53.511 mit unserem ganzen wissen? Ja wir bauen eigene Cloud ein bisschen C mit Prise 00:31:53.511 --> 00:31:58.739 Docker und schon haben wir unseren eigenen Toni Box Cloud Server, der sich zwischen 00:31:58.739 --> 00:32:04.069 die Toniebox Cloud und die eigentliche Box hängt. Sieht dann beispielsweise so aus, 00:32:04.069 --> 00:32:10.038 natürlich die Tonis Jason wieder im Einsatz ne. Die Nutzung ist für jemand der 00:32:10.038 --> 00:32:16.226 technisch das hinbekommt recht einfach. Man muss nur die Zertifikate von der Box 00:32:16.226 --> 00:32:22.635 herunterladen und die Certificate Authority durch des Teddy Cloud Servers 00:32:22.635 --> 00:32:29.729 ersetzen und dementsprechend kann man dann entweder eigene Inhalte über eine taf- 00:32:29.729 --> 00:32:35.278 Datei die man entweder über Ted teddybench generiert oder über das Webinterface 00:32:35.278 --> 00:32:40.145 anlegt an die Toniebox ausspielen. Zusätzlich gibt es auch eine passthrow, 00:32:40.145 --> 00:32:44.839 Funktion das heißt man kann original Tonie aufstellen, die der Inhalt wird in unser 00:32:44.839 --> 00:32:50.797 eigenen Teddy Cloud gespeichert und an die Box weitergereicht. Und noch als kleines 00:32:50.797 --> 00:32:56.195 Goodie haben wir noch eine esp32 Firmware Patch Funktion drin, dafür brauchen wir 00:32:56.195 --> 00:33:00.320 aber trotzdem physischen Zugang zur Box. Das funktioniert nicht einfach über übers 00:33:00.320 --> 00:33:04.320 Netz. Es wäre schön wenn es so wäre, aber das geht zum aktuellen Zeitpunkt no leider 00:33:04.320 --> 00:33:08.680 noch nicht. Dann ist uns aufgefallen, wo wir uns die Firmware ein bisschen 00:33:08.680 --> 00:33:13.880 angesehen haben. Es gibt noch eine zweite Domaine neben der Proton für die 00:33:13.880 --> 00:33:19.560 Datenkommunikation nämlich rtnl und diese Funktion wird überall in der Firmware 00:33:19.560 --> 00:33:26.160 aufgerufen wirklich überall. Und man drückt das Ohr, es geht request aus, man 00:33:26.160 --> 00:33:30.360 stellt die Toni auf, es geht request raus, man dreht die Box um, es geht ein Request 00:33:30.360 --> 00:33:34.600 raus. Also wirklich alles mögliche geht darüber, das ist alles fein verschlüsselt 00:33:36.320 --> 00:33:42.480 ja, beim Einrichten werden interessante Daten übertragen, ja. Aber wir dachten wir 00:33:42.480 --> 00:33:48.200 uns, wir haben die Daten doch schon, machen wir was damit und binden die Box 00:33:48.200 --> 00:33:52.980 einfach mal in Home assistant ein und in mqtt. 00:33:52.980 --> 00:34:00.960 Lachen, Applaus 00:34:00.960 --> 00:34:05.920 So jetzt noch mal kurz das ganze in Aktion: ne die erste wird aufgespielt, 00:34:05.920 --> 00:34:10.480 Inhalt wird angezeigt. Als kleines goodi wird der Name unten noch auf dem LCD 00:34:10.480 --> 00:34:15.960 Display angezeigt. Einige Gelächter, applaus Der nächste Tonie, das gleiche 00:34:15.960 --> 00:34:20.920 Spiel, jetzt noch das Klo. Ich weiß nicht, wer wer das kennt, ist ein super lustiger 00:34:20.920 --> 00:34:28.520 Tonie und da gehen die LEDs noch mit an und als kleine Spielerei ein custom TEAG, der 00:34:28.520 --> 00:34:32.360 kein Inhalt abspielt aber in Home assistant dann eigene Inhalte triggert, 00:34:32.360 --> 00:34:36.240 über Spotify was abspielt und man kann dann sogar die Lautstärke über die Ohren 00:34:36.240 --> 00:34:49.160 von seiner Anlage dann regeln, wenn man das möchte. Lachen, Applaus Ja dann 00:34:49.160 --> 00:34:53.400 übergebe ich mal an Gekko Thema Datenschutz. Bei so vielen Daten ist das 00:34:53.400 --> 00:34:56.400 sicherlich interessant. Gekko: Das ist alles ganz safe das ist 00:34:56.400 --> 00:35:00.911 alles https-verschlüsselt. einzelne Gelächter Gelächter 00:35:00.911 --> 00:35:03.520 Ja gut also Scherz bei Seite. Tonis hat ja auch 00:35:03.520 --> 00:35:08.080 ein eine Datenschutzerklärung, die haben uns dann mal genauer angeschaut und in der 00:35:08.080 --> 00:35:11.360 Datenschutzerklärung steht eine ganze Menge. Aber bevor wir auf die 00:35:11.360 --> 00:35:14.800 Datenschutzerklärung gehen wollen noch mal rekapitulieren. Wir haben zwei Domains 00:35:14.800 --> 00:35:20.160 irgendwas mit protde TBS to da sind die Inhalte drauf und dieses gerade erwähnte 00:35:20.160 --> 00:35:25.520 rtnl da ist dann irgendwie protobff codiert alles was da im Endeffekt in einem 00:35:25.520 --> 00:35:29.720 log file oder Terminal erscheinen würde irgendwie wird es darüber genudelt. Aber 00:35:29.720 --> 00:35:35.000 alles DSGV konform und in Deutschland gehostet bei Hezner glaube ich also von dem 00:35:35.000 --> 00:35:39.080 her sollte eigentlich da überall Siegel dran sein. Nur ist es ein bisschen komisch, 00:35:39.080 --> 00:35:42.720 man stellt ein Tonie auf es wird in die Cloud geloggt, ändert die Lautstärke, das 00:35:42.720 --> 00:35:48.280 wird in die Cloud geloggt, man drückt irgendwie klopft auf die Box um Titel zu 00:35:48.280 --> 00:35:52.560 skippen, es geht in die Cloud. WLAN Information gehen in die Cloud, also da 00:35:52.560 --> 00:35:57.280 kann man wirklich froh sein, dass das Ding kein Mikrofon hat. gelächter Weil ich 00:35:57.280 --> 00:36:04.000 wäre mir nicht sicher was da so passiert. Datenschutzerklärung: eine Wall of Text, 00:36:04.000 --> 00:36:08.600 aber das interessante aus diesem ganzen Katalog da ist im Endeffekt dieser 00:36:08.600 --> 00:36:12.800 Abschnitt. Da wird ganz deutlich erklärt was passiert bei der Betriebnahme der 00:36:12.800 --> 00:36:16.920 erstmaligen, beim Anschalten, beim Aufstellen eines Tonies, beim skippen. Also 00:36:16.920 --> 00:36:21.600 wenn man da auf die Box klopft und das nächste Lied herzuholen, da wird irgendwas 00:36:21.600 --> 00:36:29.040 übertragen. Alles mit Client Zertifikat, IP-Adresse Timestamp. Beim nutzen genau 00:36:29.040 --> 00:36:34.720 hier, noch Ladestation anschließen etc. Und beim Einrichten wird dann WLAN 00:36:34.720 --> 00:36:39.280 Information irgendwas mit SSIDs wird geloggt die verfügbaren Netze ist aber bei der 00:36:39.280 --> 00:36:44.280 Einrichtung also ganz dick fett markiert Einrichtung, also alles safe mein Gott, 00:36:44.280 --> 00:36:49.520 das eine Mal passt schon. Und alle Informationen werden, steht so, anonym 00:36:49.520 --> 00:36:55.080 ermittelt. Sie werden anonym ermittelt, sobald man aber seine toniebox ID nennt, 00:36:55.080 --> 00:37:00.120 kann man es plötzlich mit der Person wier zuordnen. Also aus der IT oder aus 00:37:00.120 --> 00:37:03.080 Informatik ich kenne ich den Begriff anonym aus einer anderen Ecke. Für mich 00:37:03.080 --> 00:37:08.480 ist es Pseudonym, pseudonomisiert, nicht anonym, aber okay. Ich kenne mich da nicht so 00:37:08.480 --> 00:37:11.480 aus. Gut also er noch mal angeschaut, was haben wir denn in dieser Tonie Cloud? 00:37:11.480 --> 00:37:16.800 Irgendwie so real name Box ID etc. Machen wir doch mal eine Anfrage und gucken was 00:37:16.800 --> 00:37:21.160 da so kommt von Tonies und die haben da auch promt binnen vier Wochen die 00:37:21.160 --> 00:37:26.240 Information hier zusammengetragen und mir erklärt was ich schon wusste, also meine 00:37:26.240 --> 00:37:30.760 E-Mail Adresse, mein Name, der angegeben wurde, die Tonies die ich habe, okay passt. 00:37:30.760 --> 00:37:34.640 Aber was ist jetzt mit dem anderen Zeug, da war doch noch was? Egal aber das ist 00:37:34.640 --> 00:37:38.920 hier DSG konform das Hammer Haken dran, passt, alles gut gemacht. Aber noch mal, 00:37:38.920 --> 00:37:42.800 wir haben doch noch Informationen. Wie jetzt, irgendwas mit WLAN ist es, IDs 00:37:42.800 --> 00:37:47.520 Tastendrücke etc.? Was ist damit? Noch mal explizit eine Anfrage gemacht. Nein, wo 00:37:47.520 --> 00:37:52.120 sind diese Informationen von diesem Server die mir genannt haben? Da kamm die 00:37:52.120 --> 00:37:56.720 Rückmeldung: ja ne Moment, das ist alles anonym! Jede Zeile in dieser Datenbank, 00:37:56.720 --> 00:38:03.000 ich nehme mal an die sieht so aus, wie hier dargestellt, ist nur mit einem Box ID 00:38:03.000 --> 00:38:07.000 Dingens verknüpft, nicht mit meinem Realnamen. Damit ist es nicht 00:38:07.000 --> 00:38:15.360 personbezogen, sondern anonym. lachen Ja okay, gut, also das ist Dsgvo konform einzelne Gelächter 00:38:16.080 --> 00:38:21.200 keine Ahnung ich kenne mich da nicht so aus, müssen wir halt mal glauben. Aber 00:38:21.200 --> 00:38:24.520 jetzt noch mal Informatiker oder man muss ja Informatik studiert haben um zu 00:38:24.520 --> 00:38:27.360 verstehen, mensch da gibt's ja die Möglichkeit Tabellen zu kombiniert irgend 00:38:27.360 --> 00:38:36.360 so SQL lachen, outer join, okay aber wie gesagt, das ist dies DSGVO konform und wir 00:38:36.360 --> 00:38:40.480 sind keine Anwälte, wir sind keine Juristen, wir kennen uns damit nicht aus. 00:38:40.480 --> 00:38:45.120 Von dem her mag das so sein, keine Ahnung. Und uns ist noch was anderes aufgefallen, 00:38:45.120 --> 00:38:49.880 Esp32 Box im Betrieb nehmen, irgendwie sind da immer Namen über diese rtnl Logs 00:38:49.880 --> 00:38:54.120 gekommen, die Moment, das hat doch nichts mit mir zu tun, das waren doch SSIDs in 00:38:54.120 --> 00:39:00.960 der Nähe. Mensch ich probiere mal was. einzelne Gelächter Es gibt mit ESP32, 00:39:00.960 --> 00:39:04.000 wenn man so ein eigenen Microcontroller hinstelt, die Möglichkeit hier mal 00:39:04.000 --> 00:39:10.400 irgendwelche Fake SSIDs aufzubauen. Und dann rödelt der dann tausende Fake SSIDs 00:39:10.400 --> 00:39:14.200 los. Machen wir das mal bei der Box. Was passiert dann wenn die Box diese SSIDs 00:39:14.200 --> 00:39:19.760 sieht: BAM! Alle Informationen, die hier so sieht, mein Gäste WLAN, ich habe die 00:39:19.760 --> 00:39:23.040 Box nie mit dem Gästewlan verbunden, aber auch mit dieser "if you can read this", 00:39:23.040 --> 00:39:28.720 das kam alles über die debug Logs zum Tonie Cloud Server. Aber keine Angst alles DSGVO 00:39:28.720 --> 00:39:35.080 konform und anonym. Gut sagt man na gut aber wer jetzt da keine Lust drauf hat 00:39:35.080 --> 00:39:38.000 diese Information irgendwie DAU und preiszugeben der darf ja natürlich gerne 00:39:38.000 --> 00:39:47.240 auch Alternativen nutzen und da haben wir ja lachen da haben wir ja dann auch noch 00:39:47.240 --> 00:39:51.640 ein paar kleine Alternativen vorbereitet, die wir noch mal kurz antiasern bitte: die 00:39:51.640 --> 00:39:56.560 hackiebox und... G: Ich nehme den hackiebox und hackiebox 00:39:56.560 --> 00:40:01.640 hatten wir eben ja schon angesprochen. Wir haben für die CC 3200 Variante eine eigene 00:40:01.640 --> 00:40:05.760 Firmware geschrieben und ein eigenen Bootloader. Fangen wir mit der Custom 00:40:05.760 --> 00:40:09.840 Firmware einfach mal an. Das ist mehr oder weniger Proof of Concept, damit kann man 00:40:09.840 --> 00:40:15.080 Dateien auf die Box hoch und runterladen, auf den Flash aber auch auf die microSD. 00:40:15.080 --> 00:40:18.720 Das ist halt ganz praktisch man möchte die Box nicht immer öffnen den Tech Connector 00:40:18.720 --> 00:40:24.960 dran stecken um eine Datei auf Flash irgendwie auszutauschen. Und zusätzlich 00:40:24.960 --> 00:40:28.960 ist es ganz praktisch Box zu reparieren, weil man kann gucken, funktioniert die 00:40:28.960 --> 00:40:34.400 Audio Schnittstelle, funktioniert der FD, ist der Akku ok, dann kann ich in 24 00:40:34.400 --> 00:40:41.280 Stunden Test machen, gucken wie lange der Akku hält so. Eben schon angesprochen, ein 00:40:41.280 --> 00:40:46.000 Bootloader wäre ganz praktisch. Den haben wir dann auch implementiert. Da war dann 00:40:46.000 --> 00:40:51.360 die Idee, ok wir installieren erstmals im Flash der Box einen Preloader der einfach 00:40:51.360 --> 00:40:56.560 nur eine Datei auf der Micro SD-karte lädt. Das heißt in Zukunft kann jeder einfach 00:40:56.560 --> 00:41:00.480 dann die Micro SD-Karte raus und die Dateien dementsprechend dort verändern und 00:41:00.480 --> 00:41:06.440 muss nicht mehr an den Flash. Ist erlaubt einerseits das Booten der Originalfirmware 00:41:06.440 --> 00:41:10.680 andererseits kann man auch die Custom Firmware starten und zusätzlich kann man 00:41:10.680 --> 00:41:15.000 dann wirklich live patching betreiben, das heißt die Originalfirmware liegt dort, ich 00:41:15.000 --> 00:41:18.520 aktiviere die Patches, die ich haben will in der Konfigurationsdatei, und kann dann 00:41:18.520 --> 00:41:22.520 beispielsweise sagen, ok der privacy Mode soll abgeschaltet bleiben und nicht 00:41:22.520 --> 00:41:29.160 wieder eingeschaltet werden. Andererseits haben wir ja auch andere Text sli die Sli 00:41:29.160 --> 00:41:33.880 Gruppe nenne ich einfach mal dann ist der Check über die UID weg, da ist der Check 00:41:33.880 --> 00:41:36.680 über die acht Blöcke weg und dementsprechend kann man alle Text 00:41:36.680 --> 00:41:43.440 verwenden. Man kann die Block, die Cloud hard blockieren, wenn man das möchte, und 00:41:43.440 --> 00:41:49.440 man kann auch die URLs der Cloud und die ca dementsprechend dynamisch einsetzen. 00:41:49.440 --> 00:41:54.240 Und das erlaut dann zwischen der Original- Firmware mit der Originalcoud und der 00:41:54.240 --> 00:41:57.520 eigenen Cloud zu wechseln, wenn man das möchte. Sollte die Cloud aktuell nicht 00:41:57.520 --> 00:42:00.040 funktionieren, das Kind sagt, ich möchte jetzt aber unbedingt!, dann kann man mal 00:42:00.040 --> 00:42:03.680 eben rumswitchen, das ist ganz praktisch. Man weiß ja, Kinder haben es meistens 00:42:03.680 --> 00:42:09.300 eilig. Und wenn man abends schlafen möchte, muss die Toniebox laufen. 00:42:09.300 --> 00:42:14.400 gemurmel Der nächste Block geht übers Modding und die Reparatur. Einfach mal 00:42:14.400 --> 00:42:19.560 paar Eindrücke. In der Mitte selbstgebaute akupacks, rechts unten bisschen größer, 00:42:19.560 --> 00:42:24.640 damit die etwas länger hält, links ja das typische Problem, wenn man die Box das 00:42:24.640 --> 00:42:27.080 erste mal auseinander nimmt, bisschen ruppiger reißt, auch gerne mal so eine 00:42:27.080 --> 00:42:32.600 Buchse aus und da unterstützen wir gerne mal bei der Reparatur, weil wir wissen 00:42:32.600 --> 00:42:40.480 halt mittlerweile wo die Kontakte liegen, wo die lang laufen. Ja wir haben noch den 00:42:40.480 --> 00:42:47.240 Link, den RGB Ring rechts oben. Da haben wir gleich noch ein Bild zu. Da hat einer 00:42:47.240 --> 00:42:50.000 aus der Community gesagt, okay ich bau ein Ring ein, die Box soll noch schön 00:42:50.000 --> 00:42:57.680 leuchten. Und unten noch eine kleine debug 3D druckbox zum basteln. So das war noch 00:42:57.680 --> 00:43:02.000 ein Thema, das lag mir ganz besonders am Herzen, wir hatten eine Anfrage aus der 00:43:02.000 --> 00:43:08.560 Community von Toro und der kleine Tochter kann die Toniebox nicht 100% bedienen. 00:43:08.560 --> 00:43:14.400 Typischerweise muss man klopfen und kippen um die Titel zu springen, oder zu spulen. 00:43:14.400 --> 00:43:18.040 Und durch die körperliche Einstränkung war das einfach nicht möglich. Und dann haben 00:43:18.040 --> 00:43:23.120 wir zusammen geguckt wie können wir das lösen, und da war die Idee ok, 00:43:23.120 --> 00:43:27.960 elektrisch kennt er sich aus, aber auf der technischen Ebene von der Toniebox nicht, 00:43:27.960 --> 00:43:32.800 und dann haben wir eine Lösung gebastelt um halt Microcontroller dort einzubauen 00:43:32.800 --> 00:43:37.760 und den Beschleunigungschip durch Mikrocontroller zu ersetzen dor hat dann 00:43:37.760 --> 00:43:41.200 noch zwei Buttons eingebaut und dementsprechend kann man dann durch kurzes 00:43:41.200 --> 00:43:45.000 Drücken zum nächsten Titel springen und durch langes drücken dann spelen. 00:43:45.000 --> 00:43:58.880 umfangreiches applaus Hier haben wir noch einen kurzen Ausblick zur zu gegos 00:43:58.880 --> 00:44:03.240 Bluetooth Mode. Da gibt's eine schöne fertige Platine, mit der man dann bei der 00:44:03.240 --> 00:44:08.200 Toniebox Bluetooth nachrüsten kann. Da muss man nur paar Käbelchen dran löten und 00:44:08.200 --> 00:44:12.720 dann funktioniert das auch schon. Ist auch auf seinem Blog zu sehen, dementsprechend 00:44:12.720 --> 00:44:17.960 wer sich für interessiert, schaut einfach mal rein. Und dann übergebe ich an Gambr. 00:44:17.960 --> 00:44:22.720 G: Ja, jetzt haben wir alle vier hier schon gesprochen. Wir haben uns viel 00:44:22.720 --> 00:44:26.240 Gedanken dazu gemacht, wie wir denn starten und da wir so viel Inhalt hatten, 00:44:26.240 --> 00:44:30.000 und jetzt nur die Ergebnisse zeigen konnten der Zeit sei es geschuldet, haben 00:44:30.000 --> 00:44:35.000 wir auch eine vorherige Vorstellung erstmal aufgeschoben. Ich möchte dennoch 00:44:35.000 --> 00:44:41.360 einmal kurz das Team vorstellen. Da haben wir neben mir geggo, der an den ganzen 00:44:41.360 --> 00:44:46.720 reverse Software Reverse Engineering Themen zusammen mit badby gearbeitet hat 00:44:46.720 --> 00:45:00.000 aber auch die ganze Hardware mit reverse engineert hat. Applaus 00:45:00.000 --> 00:45:06.560 Daneben haben wir badbee. Badbee hat auch viel an den custom software geschrieben 00:45:06.560 --> 00:45:11.240 und viel an den Hardware Reverse Engineering Sessions dran teilgenommen und 00:45:11.240 --> 00:45:14.633 hat auch mit mir die Daten das Datenmanagement gemacht, die Datenbank 00:45:14.633 --> 00:45:18.274 aufgebaut die ja in Teddy Bench auch mit eingebunden ist, die wir vorhin gesehen 00:45:18.274 --> 00:45:24.748 haben. 'Applaus 00:45:24.748 --> 00:45:32.360 Moritz ist derjenige der uns das Reparieren der ganzen toniy Boxen erst 00:45:32.360 --> 00:45:38.960 ermöglicht hat. Er hat die meisten Chips schon identifiziert gehabt bevor wir ihn 00:45:38.960 --> 00:45:43.360 getroffen haben, er kam mit einer super Liste um die Ecke, ich glaube, wenn ich in 00:45:43.360 --> 00:45:47.880 deine Dateien schaue, habe ich glaube ich ein komplettes PCB, was reverse engineiert 00:45:47.880 --> 00:45:52.560 ist. Und er ist derjenige der dafür gesorgt hat, dass man auf Ebay keinerlei 00:45:52.560 --> 00:46:02.880 defekten Tonieboxen mehr findet. alle vier und das Publikum lachen Applaus 00:46:02.880 --> 00:46:08.560 Als wir gestartet sind konnte man noch für 10 15 € allerlei Tonieboxen finden, die 00:46:08.560 --> 00:46:13.400 angeknabberte Ohren oder sonstige abgerissene Stecker hatten. Das hat uns 00:46:13.400 --> 00:46:17.360 auch bei unserer Bastelei sehr stark geholfen. Mittlerweile ist das gegen Null 00:46:17.360 --> 00:46:21.640 gegangen, weil auch durch unsere Dokumentation sehr viele 00:46:21.640 --> 00:46:26.520 Reparaturanleitung durch die Community und durch diverse Youtube Videos und Seiten 00:46:26.520 --> 00:46:31.640 einfach gepublished wurden und dass auch jeder zu Hause seine Box reparieren kann 00:46:31.640 --> 00:46:41.920 und damit weiterarbeiten kann. applaus 00:46:41.920 --> 00:46:47.000 Gut ich stelle mir ung selber vor, ich habe nur die Kommunikation 00:46:47.000 --> 00:46:52.240 und das NFC Thema mit euch zusammen und das ganze Datenmanagement gemacht, ich 00:46:52.240 --> 00:46:56.600 ziehe den Hut vor die Softwareeleistung, die ihr erbracht habt. Da war ich 00:46:56.600 --> 00:47:00.550 Zuschauer und nur Kritiker und first Tester, aber als Team haben wir es doch 00:47:00.550 --> 00:47:12.276 dann gemeinsam gut gemeistert. Viele Applaus, Wows 00:47:12.276 --> 00:47:16.520 Und man schafft das ganze natürlich nicht alleine, man braucht 00:47:16.520 --> 00:47:20.865 eine Community, die hilft und Unterstützer hier. Ganz vielen Dank auch aus einem 00:47:20.865 --> 00:47:25.700 Revox telegram Channel Mitglied oder an ein telegram Channel Mitglied blunazgul, 00:47:25.700 --> 00:47:30.268 der uns immer unterstützt hat mit Medien mit Tonies etc, danke auch an nv1t ich 00:47:30.268 --> 00:47:35.624 hoffe ich spreche richtig aus, der auch einen Talk hätte gehabt hätte über das 00:47:35.624 --> 00:47:40.385 Thema Audiooboxen und Reverse Engineering. Den hat sich zurückgezogen, hat gesagt, er 00:47:40.385 --> 00:47:45.223 lässt uns hier den Vortritt, also vielen lieben Dank an Dich! An die Firma Aronia 00:47:45.223 --> 00:47:50.217 AG die uns massiv unterstützt hat mit Hardware, ohne die manche Aspekte hier 00:47:50.217 --> 00:47:55.640 nicht möglich gewesen wären, z.B das Messen der Feldstärke um dann die ja 00:47:55.640 --> 00:48:01.185 kleinen Bugs, die man halt so in der Software eben hat, rauszufinden auch an 00:48:01.185 --> 00:48:06.620 Lab 401, die einen Flipper Zero spendiert haben um genau dieses ISO 15693 Thema zu 00:48:06.620 --> 00:48:11.962 pushen und dann auch vielen lieben Dank an die ganze telegram Gruppe wie gesagt 800 00:48:11.962 --> 00:48:16.515 Leute und da hilft jeder jeden einen besonderen Dank noch an Philipp der immer 00:48:16.515 --> 00:48:20.389 kurz vor Weihnachten kurz vor Weihnachten die Fotos für den ganzen PCBs macht. Mehr 00:48:20.389 --> 00:48:23.983 so Stress, er hat keine Zeit, aber er macht trotzdem. Er macht's trotzdem. Er ist 00:48:23.983 --> 00:48:28.020 eigentlich Fotograf, hat eigentlich immer nichts zu viel zu tun andere drei lachen 00:48:28.020 --> 00:48:32.279 und dann kommt immer kurz vor Weihnachten, ja mache ich dir. Und an den RFID friend 00:48:32.279 --> 00:48:36.359 der uns immer mit offen gelegten Text versorgt und hier auch ja, wie es gerade 00:48:36.359 --> 00:48:40.120 erwähnt wurde, mit clons das ein oder andere Mal auch ein Griff ins Klo hatte, 00:48:40.120 --> 00:48:43.711 aber uns dann doch immer die genuine Tex die original NXP Tag liefert. Also da 00:48:43.711 --> 00:48:48.283 vielen Dank an alle die mit unterstützt haben und hier noch ein paar Kontaktdaten. 00:48:48.283 --> 00:48:52.716 Also ihr könnt uns dann wenn Q&A session zu kurz ist, wenn Fragen sind, könnt ihr 00:48:52.716 --> 00:48:56.864 uns kontaktieren. Macht Fotos, QRCode mit allen Informationen und wir haben 00:48:56.864 --> 00:49:02.327 decktelefone. Wir sind teilweise bis die ganze Woche oder na ja bis bis zu Ende na 00:49:02.327 --> 00:49:06.988 ja Tag 4, ja B Tag 4 da also Schut euch nicht ruft uns an schreibt uns und dann 00:49:06.988 --> 00:49:13.753 war das soweit uns und ich übergeb an die Q&A session Bitteschön. 00:49:13.753 --> 00:49:22.735 Applaus 00:49:22.735 --> 00:49:26.827 Engel: Ja herzlichen Dank an die Tonieboxer . Kurze Entschuldigung wegen den Audio 00:49:26.827 --> 00:49:31.907 Ausfällen das sind stille Feueralarme da wird die PA im Saal einfach herunter 00:49:31.907 --> 00:49:35.956 geregelt für die nächsten 5 bis 10 Sekunden, das Stream hört es nicht. Also 00:49:35.956 --> 00:49:39.740 für die, die sich im Stream dann gewundert haben, was jetzt auf der Bühne los war, 00:49:39.740 --> 00:49:45.303 das wäre die Erklärung. Entschuldigung. So, wir hätten jetzt Zeit, einiges an Zeit 00:49:45.303 --> 00:49:51.055 für Fragen an die vier Tonieboxer, an die Mikros oder wenn... Ja! Da hinten im 00:49:51.055 --> 00:49:56.471 Internet gibt schon die erste Frage, sonst auf rein, bitte raus geholt. Engel: Also 00:49:56.471 --> 00:50:02.279 die erste Frage aus dem Internet ist, kann man z.B die Firmware von vergleichbaren 00:50:02.279 --> 00:50:07.848 Open Source RFID Audio Playern z.B ESP uino auf der Hardware laufen lassen, habt 00:50:07.848 --> 00:50:12.388 ihr das mal probiert? M: Ja ich habe Espuino portiert testweise 00:50:12.388 --> 00:50:19.058 um bisschen mich mit der Hardware vertraut zu machen und es läuft rudimentär, aber 00:50:19.058 --> 00:50:24.839 nicht wirklich stabil. Deswegen sind wir dabei Teddy Box umzusetzen und eine eigene 00:50:24.839 --> 00:50:29.633 Firmware aufzusetzen die a) die original Firmware repliziert und b) weitere 00:50:29.633 --> 00:50:34.547 Features z.B für die Inklusion dann bietet um per Ble beispielsweise in Fernbedienung 00:50:34.547 --> 00:50:37.462 noch einzubinden. Gambrios: Aber grundsätzlich muss man 00:50:37.462 --> 00:50:42.149 sagen, espuino läuft, man muss dann ein bisschen tweaken und das anpassen und da 00:50:42.149 --> 00:50:47.255 kann man noch mal betonen, ich glaube ich es gibt keine Hardware espino Box, die so 00:50:47.255 --> 00:50:51.874 günstig und so vollkommen ist, wie die Toniebox . Die kriegt man teilweise für 79 00:50:51.874 --> 00:50:55.727 €, man hat ein Lademanagement, Ladestation, schönes Case. Da sind 00:50:55.727 --> 00:51:02.195 sämtliche Bastellösungen, die man dort findet, wesentlich kostenintensiver. 00:51:02.195 --> 00:51:07.600 Engel: Gut danke. Mikrofon numo 4 bitte rechts hinten. 00:51:07.600 --> 00:51:13.110 Frage: Hört man ja okay. Ihr hat es ja gesagt, ihr habt auch die firmware davon 00:51:13.110 --> 00:51:17.963 reverse engineert. Wenn ihr die Version vom ESP 32 reverse engineert habt, mit 00:51:17.963 --> 00:51:22.620 welcher Software, weil gitra hat nicht so gute Unterstützung für extenser und wäre 00:51:22.620 --> 00:51:25.381 gut zu wissen, welche Software ihr dafür benutzt habt. 00:51:25.381 --> 00:51:29.563 M: Also bei der ESP 32 Box ist nicht so viel Zeit in reverse engineering auf 00:51:29.563 --> 00:51:34.333 Software Ebene geflossen, aber trotzdem gab es dafür ID pro, ich nutze ID pro ein 00:51:34.333 --> 00:51:39.685 Plugin für die Extensor Microcontroller. Das war glaub python Plugin meine ich. 00:51:39.685 --> 00:51:43.960 Zumindest läuft bei mir. Und damit habe ich dann auch mal reingeschaut, aber wie 00:51:43.960 --> 00:51:47.204 gesagt, das war mal so reingucken und die Funktionalität war im Endeffekt das 00:51:47.204 --> 00:51:51.755 gleiche, wie bei den ccbxen. B: Die so mit gidra, ja mit gidra das 00:51:51.755 --> 00:51:56.320 geht recht gut. Da ist jetzt die Peripherie ist nicht angebunden, das heißt 00:51:56.320 --> 00:52:01.060 da muss man ein bisschen schauen, bisschen die Datenblätter lesen aber das geht dann 00:52:01.060 --> 00:52:05.480 eigentlich recht gut. Und dank der Debug- Funktion mit eindeutigen IDs, kann man 00:52:05.480 --> 00:52:09.601 jetzt auch immer schauen: okay es kommt eine DB Nachricht, dann kann ich im coding 00:52:09.601 --> 00:52:13.525 einfach mal gucken. M: Und die CC Boxen habe ich auch mit id 00:52:13.525 --> 00:52:18.290 Approval reverse engeniert. Engel: Ok und schon geht's weiter mit 00:52:18.290 --> 00:52:24.106 Mikrofon num 2. Frage: Die Frage wäre wenn man diese rtnl 00:52:24.106 --> 00:52:29.332 Domäne einfach nur blockiert, verhält sich da die Toniebox irgendwie komisch im 00:52:29.332 --> 00:52:32.641 Originalmodus oder ist einfach happy, dass ich es nicht erreichen kann. 00:52:32.641 --> 00:52:36.563 B: Es geht einfach weiter also ist ist datenschutzfreundlich umgesetzt, wenn man 00:52:36.563 --> 00:52:39.720 das denn weiß, kann man die blockieren, dann hat man Ruhe. 00:52:39.720 --> 00:52:44.300 Engel: Okay danke Mikrofon num 1. Frage: Danke für den Vortrag. Sehe ich 00:52:44.300 --> 00:52:48.596 jetzt richtig dass jetzt quasi dadurch auch einzelne Lieder der Tonie sperren 00:52:48.596 --> 00:52:53.762 könntet und man so einen schönen Filter hätte, falls ein Lied irgendwann sehr 00:52:53.762 --> 00:53:00.800 nervt? fröhliches Lachen, Applaus G: Also direkt zu sagen wir sperren Track 00:53:00.800 --> 00:53:08.187 Nummer 5 von dem Tonie, wird wahrscheinlich schwer umzusetzen sein. Aber wenn du den 00:53:08.187 --> 00:53:12.505 audioinhalt nimmst und einfach den Track 5 Audio Part rauslöscht und wieder auf deine 00:53:12.505 --> 00:53:15.356 Box drauf bringst, dann ist das sehr wohl machbar. 00:53:15.356 --> 00:53:21.190 M: Hier sei auch erwähnt hier se auch erwähnt bitte die Box dann am besten im 00:53:21.190 --> 00:53:26.627 offlineemus betreiben dann ist sowohl das Datenschutzthema abgehakt als auch custom 00:53:26.627 --> 00:53:31.067 Content ohne Einschränkung möglich. Engel: Mikrofon numo 4. 00:53:31.067 --> 00:53:35.810 Frage: Ja, Ihr habt eine Datenanfrage an Tonie geschickt, stand ihr dann noch weiter 00:53:35.810 --> 00:53:39.490 mit den im Kontakt wegen dem Box ID matching oder eine Beschwerde an die 00:53:39.490 --> 00:53:43.061 Datenschutz Aufsichtsbehörde, vielleicht irgendwas in der Richtung? Dass das 00:53:43.061 --> 00:53:44.880 zukünftig vielleicht nicht mehr so sein wird. 00:53:44.880 --> 00:53:48.860 G: hoffentlich nein, also zum ersten Teil der Frage. Ja ich habe noch eine Anfrage 00:53:48.860 --> 00:53:52.343 gestellt, habe ihnen auch erklärt, von welcher Domäne ich Kandidaten hätte, also 00:53:52.343 --> 00:53:56.734 wo die RTL Lock und so. Weiter die haben auch dann, muss man auch sagen hut ab, 00:53:56.734 --> 00:54:01.350 zwei externe Juristen, die diese Anfrage beantworten sollten für eine Stunde für 00:54:01.350 --> 00:54:05.950 mich abgestellt. Das Gespräch war ok, sie konnten aber im Endeffekt nichts sagen 00:54:05.950 --> 00:54:10.898 außer nein. Das ist alles dsgvo konform und nein das ist alles anonym, nein SSIDs 00:54:10.898 --> 00:54:15.466 übertragen sind keine personbezogen oder personenbeziehbaren oder indirekt 00:54:15.466 --> 00:54:20.587 personenbezogene Daten. Dass da gibt's kein Urteil zu, damit ist es nicht 00:54:20.587 --> 00:54:25.396 personbezogen. Ok von dem her war das der einzige Kontakt den wir da hatten. Ich 00:54:25.396 --> 00:54:29.331 habe noch mal eine Nachfrage zu der Nachfrage gestellt ob ich denn jemand 00:54:29.331 --> 00:54:34.010 bekommen könnte der Aussage kräftig ist. Da kam jetzt aber leider ist jetzt auch 00:54:34.010 --> 00:54:38.811 wieder vier Wochen her, kam nichts. M: Ja ich habe ich habe parallel eine gestellt ein 00:54:38.811 --> 00:54:42.662 Ticken später, da hatte ich auch noch mal nachgefragt, aber da hatte ich auch bis 00:54:42.662 --> 00:54:45.689 heute keine Antwort. Also mal schauen, was dann noch kommt. Wäre interessant einfach 00:54:45.689 --> 00:54:50.597 zu wissen auch mit m Austausch mal zu gucken, aber es gibt aber noch zwei 00:54:50.597 --> 00:54:56.668 interessante Aussagen zu den rtln Daten und zwar auf Nachfrage, wo wir denn 00:54:56.668 --> 00:55:00.944 jetzt diese ganzen mitgelogten Daten sehen, hat man einmal gesagt na das wäre 00:55:00.944 --> 00:55:04.891 schon ganz schön aufwendig die alle rauszulassen, das sollten Sie jetzt nicht 00:55:04.891 --> 00:55:10.050 machen und außerdem würden sie das als Unternehmensdaten ansehen und damit ihr 00:55:10.050 --> 00:55:16.363 Recht drauf behalten, weil sie anonym sind bis auf der boxid anonym sind. 00:55:16.363 --> 00:55:25.340 Engel: Ok danke, aus extern eine Internetanfrage habe ich gesehen war da? 00:55:25.340 --> 00:55:30.074 Nein. gut dann geht's weiter zu Mikrofon numero 3. 00:55:30.074 --> 00:55:35.396 Frage: Gibt's da ein Limit zu der sd- kartengröße oder kann ich da eine 1 00:55:35.396 --> 00:55:39.460 Terrabyte SD-Karte reinpacken? Gambio: lso wir haben dort wir haben dort 00:55:39.460 --> 00:55:43.510 selbst mit experimentiert, kommt drauf an welche Box das ist die erste Box ist sehr 00:55:43.510 --> 00:55:47.269 wählerisch geht bis zu 64 GB getestet von uns 00:55:47.269 --> 00:55:52.230 M: 256 gegen ein Gambio: Aber nicht mit jeder SD-Karte also 00:55:52.230 --> 00:55:57.280 herstellerabhängig Empfindlichkeit. Die ESP32 ist da weniger wählerisch, die nimmt mehr 00:55:57.280 --> 00:56:01.008 Karten auch da findet ihr im Wiki bei uns eine Übersicht an SD-Karten, die wir 00:56:01.008 --> 00:56:06.675 getestet haben. Aber letztendlich ist die Größe wahrscheinlich irrelevant. 00:56:06.675 --> 00:56:13.480 Frage: Unterstützt andere systeme? Nein Fat32 waren die alle formatiert auch dort 00:56:13.480 --> 00:56:16.669 ganz einfach nur die normale Windows Formatierung. 00:56:16.669 --> 00:56:20.425 Engel: Ok aber jetzt hat sich das Internet gemeldet. 00:56:20.425 --> 00:56:25.024 InternetEngel: Ja richtig, das Internet möchte wissen: werden die Logs im 00:56:25.024 --> 00:56:29.885 offlinemodus gesammelt und werden sie dann eventuell übertragen wenn die Box wieder 00:56:29.885 --> 00:56:32.464 online ist? Antwort: Nein die Logs werden Echtzeit 00:56:32.464 --> 00:56:36.282 übertragen sofern die Verbindung möglich ist. Wenn keine Verbindung möglich ist 00:56:36.282 --> 00:56:40.068 dann, wird nichts übertragen, nichts gespeichert. Da gibt's kein Cash oder 00:56:40.068 --> 00:56:45.142 irgendwas also, wenn ihr die Box offline betreibt. Wenn solange keine Daten erfasst 00:56:45.142 --> 00:56:50.963 oder danach auch übertragen das ist dann für den Zeitpunkt wird alles dann ja nur 00:56:50.963 --> 00:56:56.118 in dem Moment übertragen. Engel: Gut Mikrofon numo 2. 00:56:56.118 --> 00:57:02.755 Frage: Ja dieser RFID privacy Modus, ist das speziell von Tonie oder ist das 00:57:02.755 --> 00:57:05.679 irgendein Standard ich habe davon noch nie gehört? 00:57:05.679 --> 00:57:09.540 Antwort: Das ist ein Standard, der wird regulär in der Bekleidungsmittelindustrie 00:57:09.540 --> 00:57:14.526 verwendet und zwar bei der Berufsbekleidung. Derjenige, der mal im 00:57:14.526 --> 00:57:19.311 Betriebsrat tätig war oder in großen Konzernen mit dem Betriebsrat drüber 00:57:19.311 --> 00:57:22.716 gesprochen hat, die sind sehr darüber aus dass die Mitarbeiter nicht irgendwie 00:57:22.716 --> 00:57:26.966 anderweitig getrackt werden können und das könnte man natürlich machen, wenn man 00:57:26.966 --> 00:57:31.510 Hosen mit NFC Tag hat die wieder den Mitarbeitern zugeordnet werden müssen. Und 00:57:31.510 --> 00:57:36.718 insofern kann man diese speziellen klamottenent Tags quasi deaktivieren so 00:57:36.718 --> 00:57:42.860 dass der Arbeitgeber dort kein Tracking der der Hose vor vornehmen kann und nur 00:57:42.860 --> 00:57:47.692 der Wäschekonzern dementsprechend eine Zuordnung zum Mitarbeiter wenn er die 00:57:47.692 --> 00:57:51.369 zurück in den Schrank LT vornehmen kann und dafür sind die damals entwickelt 00:57:51.369 --> 00:57:56.460 worden die benutzen mittlerweile einen neueren Standard SL SX2 der auch besser 00:57:56.460 --> 00:58:02.374 verfügbar ist aber damit und von dem es mittlerweile auch chinesische Magic Tags 00:58:02.374 --> 00:58:07.772 gibt wo man die UID ändern kann so dass man theoretisch ein Clon eines Tonies 00:58:07.772 --> 00:58:14.038 herstellen könnte was aber vom slixl nicht der Fall ist und wir haben es vorhin ein 00:58:14.038 --> 00:58:19.611 mal kurz erwähnt damit die slixx2 Chips nicht verwendet werden können die in Summe 00:58:19.611 --> 00:58:25.896 28 Speicherblöcke haben fragt Ton fragt die tonyibox ganz exp zieht den neunten 00:58:25.896 --> 00:58:31.736 Speicherblock ab wo eine Fehlermeldung bestimmte Fehlermeldung zurückkommen, muss 00:58:31.736 --> 00:58:36.872 weil der SLI XL Chip nur acht Blöcke hat, damit stellen Sie sicher dass wirklich 00:58:36.872 --> 00:58:41.476 dieser recht schwer zu erhaltender Chip nur verwendet werden kann mit diesen 00:58:41.476 --> 00:58:46.028 Eigenschaften, aber es ist keine für Tonis entwickelte Funktion. 00:58:46.028 --> 00:58:50.269 Engel: Danke, eine letzte Frage und die ist bei Mikrofon 1. 00:58:50.269 --> 00:58:55.120 Frage: Servus, würdet ihr sagen dass die Toniebox an sich ein cooles Produkt? Ist 00:58:55.120 --> 00:58:59.564 also und Software nur seltsame corparate Entscheidungen dahinter stehen und man... 00:58:59.564 --> 00:59:03.600 Antwort: Ist W auf jeden Fall eindeutig Hardware top, wie gesagt, ich selber setze 00:59:03.600 --> 00:59:07.800 sie fast 100% original ein, ich entwickelt viel damit habe da Spaß dran. Meine 00:59:07.800 --> 00:59:12.440 Tochter hat dafür viele Tonieboxen. alle 4 lachen Dementsprechend das Produkt hat 00:59:12.440 --> 00:59:15.440 mich vorher nicht überzeugt, ich habe gesagt, möchte ich nicht haben. Dann habe 00:59:15.440 --> 00:59:19.600 ich mich mehr damit beschäftigt und dann sind wir zusammen gekommen und jetzt ist 00:59:19.600 --> 00:59:24.360 das einfach das Top Produkt. Gambio: Also es spricht nichts gegen die 00:59:24.360 --> 00:59:29.080 Tonies Firma, wir stehen voll hinter dem Konzept. Die Firma selber hat eine tolle 00:59:29.080 --> 00:59:32.480 Story, die sie erzählen. Sie haben ein tolles Produkt, was sich auch toll 00:59:32.480 --> 00:59:37.960 anfühlt. Aus dem Grunde sind wir auch großer Tonis Fan, es ist nur die Sache 00:59:37.960 --> 00:59:43.520 dass wir privat halt ein Hobby haben, was auch den Hintergrund abfragt ne und und 00:59:43.520 --> 00:59:47.203 macht Spaß. Engel. Gut danke schön! 00:59:47.203 --> 00:59:51.083 Lachen, Applaus 00:59:51.083 --> 00:59:58.430 37c3 Abspannmusik 00:59:58.430 --> 01:00:10.000 Untertitel von vielen vielen Freiwilligen und dem C3Subtitles Team erstellt. Mach mit und hilf uns!