Neue innovative Ladebox: go-e

[Lokverführer]

Nur? Und was hindert den Hacker daran, die Einstellungen der Box zu verändern und so z.B. den LSS zum Auflösen zu bringen (Erhöhung des Ladestromes)?

[peter.poetzi]

Die Box hat auch einen Namen (den kann man in der App setzen), z.B. "Peter's Box 123". Der Token (z.B. 27f6bc8080) muss geheim bleiben. Selbst wenn jemand den Token hat, kann er damit nur auf die Box zugreifen aber nicht auf das Heim-WLAN.

Kann man das WLAN der Box denn abstellen?

Die WLAN Verbindung ist standardmäßig abgestellt. Um sie zu aktivieren, muss man erst (bei direkter Verbindung mit dem Handy) die Zugangsdaten für einen WLAN Router in der Nähe eingeben.

[rollee]

da - so wie ich das verstanden habe - jede Kommunikation mit der Box (wenn diese in ein WLAN eingebucht ist) zwingend über den Hersteller läuft.

Das scheint auch irgendwie noch anders möglich zu sein:

Unterwegs geht die Cloud dann natürlich nicht mehr, man kann sich aber weiterhin direkt verbinden (das geht immer).

[peter.poetzi]

da - so wie ich das verstanden habe - jede Kommunikation mit der Box (wenn diese in ein WLAN eingebucht ist) zwingend über den Hersteller läuft.

Das scheint auch irgendwie noch anders möglich zu sein:

Unterwegs geht die Cloud dann natürlich nicht mehr, man kann sich aber weiterhin direkt verbinden (das geht immer).

Nein, nicht jede Verbindung läuft über unserem Server. Die Box selbst spannt einen quasi "mobilen Hotspot" (ohne Verbindung zum Internet) auf, mit dem kann man sich direkt verbinden, ganz ähnlich wie mit einem Bluetooth Gerät.

Die Verbindung zum Heim WLAN erfolgt über eine zweite WLAN Schnittstelle - unabhängig und parallel zum Hotspot - ( auch mit anderer MAC Adresse) und ist optional.

[rollee]

Wenn du dir sorgen um dein Heimnetz machst, dann musst du dich bei jedem Gerät welches eine (dauerhafte) Verbindung zum Hersteller aufmacht sorgen machen.

Bei der go-e Box bekommt ja jeder einen Zugang über die go-e Cloud vermittelt, der einen gültigen Namen (Token) kennt. Solche Geräte habe ich nicht im Einsatz.

[acurus]

da - so wie ich das verstanden habe - jede Kommunikation mit der Box (wenn diese in ein WLAN eingebucht ist) zwingend über den Hersteller läuft.

Das scheint auch irgendwie noch anders möglich zu sein:

Unterwegs geht die Cloud dann natürlich nicht mehr, man kann sich aber weiterhin direkt verbinden (das geht immer).

Ja, wenn sie eben nicht in ein eigenes WLAN eingebucht ist, sondern ein eigenes aufmacht.

Bei der go-e Box bekommt ja jeder einen Zugang über die go-e Cloud vermittelt, der einen gültigen Namen (Token) kennt. Solche Geräte habe ich nicht im Einsatz.

Verständlich

[peter.poetzi]

Bei der go-e Box bekommt ja jeder einen Zugang über die go-e Cloud vermittelt, der einen gültigen Namen (Token) kennt. Solche Geräte habe ich nicht im Einsatz.

Bei deinem WLAN Router bekommt auch jeder einen Zugang vermittelt der "einen gültigen Namen (Token) kennt", also in dem Fall das Passwort vom WLAN Router. Schon habe ich eine weitere Schwachstelle gefunden

[acurus]

Bei der go-e Box bekommt ja jeder einen Zugang über die go-e Cloud vermittelt, der einen gültigen Namen (Token) kennt. Solche Geräte habe ich nicht im Einsatz.

Bei deinem WLAN Router bekommt auch jeder einen Zugang vermittelt der "einen gültigen Namen (Token) kennt", also in dem Fall das Passwort vom WLAN Router. Schon habe ich eine weitere Schwachstelle gefunden

Solche Aussagen lassen mich an der IT Security Kompetenz zweifeln.

Du meinst vermutlich das WLAN Passwort, was nicht das Zugangspasswort vom WLAN Router (Webinterface, ggf. SSH) ist. Und auch ohne Haarspaltereien: eure Tokengeschichte ist GLOBAL erreichbar, aus dem ganzen Internet. Wenn jemand den Encryption-Key zu meinem WLAN rauskriegen will muss er bei mir vor der Tür stehen. Das ist ein kleiner aber feiner Unterschied.

Zu dem Token: ich hoffe dein Beispiel mit den 5 Bytes Tokenlänge ist nur ein vereinfachtes Beispiel gewesen, die 2^40 Kombinationen sind im Zeifelsfall schnell durchprobiert.

[Priusfahrer]

Zu dem Token: ich hoffe dein Beispiel mit den 5 Bytes Tokenlänge ist nur ein vereinfachtes Beispiel gewesen, die 2^40 Kombinationen sind im Zeifelsfall schnell durchprobiert.

Ich frage mich gerade warum Jemand eine Wallbox Hacken sollte? Und selbst wenn. Was kann er da für Schaden anrichten? Einmal Kostenlos laden?

[peter.poetzi]

Ich frage mich gerade warum Jemand eine Wallbox Hacken sollte? Und selbst wenn. Was kann er da für Schaden anrichten? Einmal Kostenlos laden?

Die Verbindung zur Ladebox sollte natürlich schon sicher sein. Auch wenn es derzeit (solange der Token geheim bleibt) ein recht großer Aufwand ist, sich in eine Box zu hacken, werden wir natürlich die Software weiterentwickeln und in Zukunft möglicherweise eine (abschaltbare) 2-Faktoren Authentifizierung zusätzlich anbieten. Das würde sogar ohne Software Update auf der Ladebox und App funktionieren, da wir das bereits über den Server steuern können.

Liebe Grüße
Peter