6 Antworten in diesem Thema

[fl4shx]

Hallo liebe Community,

 

im Rahmen einer Präsentation zum Thema 'Smart Home' suche ich momentan nach einem geeigneten 'negativ'-Beispiel. Dazu ist mir schnell die Puppe 'Cayla' eingefallen, die aber so nicht mehr verkauft werden darf. Ähnlich wie diese Puppe gibt es aber auch noch den Teddybären 'Freddy', ebenfalls ausgestattet mit Mikrofon & Lautsprecher und steuerbar über eine Bluetooth Schnittstelle. Auf diesen Bären bin ich durch eine Sendung im Fernsehen gestoßen, in der es hieß, es sei 'ein leichtes diesen Teddy zu manipulieren'. Da der Teddy seid dieser Sendung in Massen für unter 15€ auf Ebay erhältlich ist, spiele ich nun mit dem Gedanken den Teddy für die Präsentation zu nutzen.

 

Nun zu meiner Frage: Hat jemand zufällig Erfahrung mit einer solchen Art von Attacke? Wie läuft sowas ab?

Und in wie fern stimmt die Aussage, es sei 'ein leichtes einen solchen Teddy zu manipulieren'?

 

Ziel ist natürlich das Abspielen von eigenen Sound-Aufnahmen (vielleicht sogar in echtzeit?) und das Mitschneiden von Soundaufnahmen des Teddys.

Meine erster Gedanke war es, mir den Source der zugehörigen App mal anzuschauen, was sich aufgrund fehlender Java-Kenntnisse & Obfuscation aber schon bei diversen App's als recht schwierig gestaltet hat.

Wäre der Ansatz, ein eigenes Programm zu schreiben und so die Schnittstelle zu missbrauchen generell richtig oder gibt es da 'einfachere', bzw. 'bessere' Methoden?

Google konnte mir da leider noch nicht so richtig weiterhelfen

 

Ich erwarte keinesfalls eine Schritt-für-Schritt-Anleitung.

Vielleicht hat jemand auch schon Erfahrung in diesem Thema, dann würde ich mich natürlich auch über eine detailiertere Erklärung freuen!

 

Mit freundlichen Grüßen,

fl4shx

 

(Sollte das die falsche Section sein, bitte ich um Entschuldigung )

Bearbeitet von fl4shx, 06 December 2017 - 18:02 Uhr.

[TARm0d]

Netter Beitrag und dazu auch interessant.

Ich wollte mich auch mal dran setzen, so einen Teddy auseinander nehmen und mir mal anschauen, wie dieser funktioniert.

Ich kenne noch jemanden aus meiner ehemaligen IT-Sicherheitsfirma welcher auch beim CCC ist. Der hat bei einer Reportage mitgemacht wo es um "Smart Home" ging und hat das ganze zu Hause übernommen, und das im Blackbox Verfahren.

 

Viele Datenschützer sowie auch ich raten jedem Kunden auf Präsentationen von diesen Dingern ab, wie auch von der sprechenden Cayla. Die hatte auch für massig Stimmung gesorgt.

 

Ich überlege mir mal so einen Teddy zu holen, diesen aufzumachen und zu schauen, wie überhaupt das Innenleben von dem Kleinen aussieht. Gerne können wir uns damit auch mal zusammen auseinandersetzen, damit deine Präsentation erfolgreich wird. Wann soll die sein?

 

Den Teddy oder Cayla würde ich aber nicht in Richtung "Smart Home" packen, sondern Spielzeug für Kinder welches aber einige Probleme zum Thema Datenschutz mit sich bringt, besonders schwerwiegend eben, weil die Kinder keinerlei Ahnung davon haben wo ihre Stimme überhaupt hin gesendet wird und was sonst noch alles im Raum aufgezeichnet wird in dem sich das Spielzeug befindet.

 

In "Smart Home" würde ich eher Steuerungen für Heizung, Kamin, Licht, Alarmanlagen und weitere Haushaltsgeräte packen, dort schwirren sogar einige Geräte frei aufrufbar im Netz, wie ich erst kürzlich für eine komplette Smart Home Steuerung gesehen habe. Dort konnte man einfach mal alle Heizungen auf 30°C stellen und in Echtzeit auch einsehen, wie warm sie sind.

 

Ich wünsche dir viel Erfolg bei diesem Thema und bei Interesse kannst du dich gerne mal via PN melden.

[PadX18]

Ein durchaus spannendes Thema, vielleicht sind "

Please Login HERE or Register HERE to see this link!

" noch interessant für deine Präsentation bzw. vielleicht lässt sich in diese Richtung auch irgendwie ein Beispiel zusammenzimmern.

Ich hab dir oben mal einen Artikel dazu verlinkt falls es dich interessiert und für alle SemperVideo-Freunde hab ich selbstverständlich auch wieder etwas gefunden

 

 

Please Login HERE or Register HERE to see this link!

 auch nochmal etwas ausführlicher.

 

 

Ich rate ebenfalls jedem von diesem ganzen "Smart-Home" Zeugs wie Amazon-Echo usw. ab!

Da setze ich doch lieber auf nen Pi oder nen Arduino mit Servos, Schrittmotoren und n paar Relais - da weiß ich dann was abgeht  Selbstverständlich alles nur lokal im Heimnetzwerk und wenn man unbedingt von was weiß ich wo seine Heizung usw. ein/ausschalten möchte dann eben noch n VPN-Server im Heimnetzwerk integrieren.

 

Ansonsten wünsche ich dir ebenfalls viel Erfolg für deine Präsentation!

 

MfG.

PaX

[fl4shx]

Vielen Dank für die Antworten!

Die Präsentation wird in ein paar Wochen statt finden, da ist noch kein genaues Datum gesetzt.

 

 

Den Teddy oder Cayla würde ich aber nicht in Richtung "Smart Home" packen, sondern Spielzeug für Kinder welches aber einige Probleme zum Thema Datenschutz mit sich bringt, besonders schwerwiegend eben, weil die Kinder keinerlei Ahnung davon haben wo ihre Stimme überhaupt hin gesendet wird und was sonst noch alles im Raum aufgezeichnet wird in dem sich das Spielzeug befindet.

 

Da Stimme ich dir voll und ganz zu, nur war mein Gedanke dabei, dass es wahrscheinlich anspruchsvoller ist beispielsweise Alexa zu übernehmen. Dazu kommt der Preis & das der Teddy nicht das Hauptthema der Präsentation werden soll, sondern eher ein 'nice-to-have' Beispiel.

 

 

Ein durchaus spannendes Thema, vielleicht sind "

Please Login HERE or Register HERE to see this link!

"......

 

Dankeschön! Sehr gute Idee, ich denke die Erklärung sollte auch für Leien verständlich sein.

 

Update zum Bären:

Hab mir den Source der App trotzdem mal angesehen. Obfuskation ist vorhanden, ist aber trotzdem größten Teils lesbar. Die Stelle an der Voicenachrichten an den Bären gesendet werden konnte ich allerdings noch nicht finden.

Außerdem habe ich den Bären jetzt hier und konnte feststellen, das man sich ohne jegliche Verifikation mit dem Bären verbinden kann.

Deshalb wäre meine Idee jetzt, einfach mal zu sniffen was da so hin und her gesendet wird. Da muss ich mich jetzt aber erst kurz einlesen.

 

Edit: Alles viel zu umständlich . Der Bär wird in Android wie eine Bluetooth-Box behandelt, womit das Abspielen von Sounds zum Einfachen wird.

 

Mfg,

fl4shx

Bearbeitet von fl4shx, 12 December 2017 - 21:38 Uhr.

[PaulaAbdul]

Sorry, dass ich jetzt ein bisschen von Thema abschweife

 

[dvalar]

als kleine ergänzung, was vielleicht ergänzend dazu passt, verwende meist in meinem Beispielen den Ubertooth

 

Please Login HERE or Register HERE to see this link!

und zeige dann was sich so alles mitlesen lässt

[PaulaAbdul]

Please Login HERE or Register HERE to see this link!

 

Hier wird was über Friendly Freddy erzählt