Dieses Forum verwendet Cookies
Dieses Forum verwendet Cookies um deine Login Daten zu speichern (sofern Du registriert und angemeldet bist) bzw. deinen letzten Aufenthaltsort (wenn nicht registriert und angemeldet). Cookies sind kleine Textdateien, die auf deinen Rechner gespeichert werden. Die von diesen Forum gespeicherten Cookies werden ausschließlich für Zwecke dieses Forums verwendet und nicht von Dritten ausgelesen. Sie stellen kein Sicherheitsrisiko für deinen Rechner dar. Cookies werden in diesem Forum auch verwendet, um die Anzeige bereits gelesener und noch ungelesener Themen zu unterscheiden. Bitte bestätige, ob Du Cookies zulassen möchtest oder nicht.


Themabewertung:
  • 2 Bewertung(en) - 3 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Stromer OMNI App / iPhone / Automatisierung resp. Kurzbefehle
#1
 Guten Tag - bisher nur fleissiger Leser, heute mein erster Beitrag!
 
*** Mein Ziel
Ich würde gerne bei meiner Wohnungstür oder im Büro einen NFC Tag anbringen und mein iPhone mit einem entsprechenden Kurzbefehl ausrüsten, welcher bei Berührung mit dem NFC Tag den Stromer entsperrt. Damit entfällt die mühsame PIN Eingabe über das Bedienfeld am Stromer als auch die nur manchmal funktionierende Bluetooth-Entsperrung. (Letztere vermittelt mir als Nutzer auch kein gutes Gefühl, da ich nicht weiss, was genau passiert – ist der Stromer entsperrt/gesperrt/bin ich zu nah, wenn ich hier im Kaffee sitze...)
 
*** Mein Problem
Während es kein Problem ist, einen Kurzbefehl über einen NFC Tag zu triggern, gelang es mir bisher nicht, die «Entsperren»-Funktion in der Stromer-App auszulösen, resp. überhaupt die Stromer App über die Kurzbefehle anzusprechen. Hat hier jemand von Euch schon Erfahrungen gesammelt?
 
*** Stellt Euch mal vor!
Die Sache endet ja nicht da... wenn es gelingt, das Entsperren (vielleicht sogar das Sperren) über Kurzbefehle anzusprechen, dann wird the world your oyster! Cool Big Grin Gut, das ist jetzt leicht übertrieben. Aber je nach Grad der Heimautomatisierung wären dann auch schicke Dinge möglich wie: Entsperren, wenn ich mich der Garage nähere oder entsprerren, wenn der Bewegungsmelder in der Garage auslöst...
 
Ich freue mich auf Euer Feedback!
 
Grüsse!
Zitieren
#2
Chips. Popcorn und Bier stehen parat…. bin gespannt ?
Zitieren
#3
(27.09.2021, 21:49)olsa schrieb: Während es kein Problem ist, einen Kurzbefehl über einen NFC Tag zu triggern, gelang es mir bisher nicht, die «Entsperren»-Funktion in der Stromer-App auszulösen, resp. überhaupt die Stromer App über die Kurzbefehle anzusprechen.

Sollte es Dir gelingen, die OMNI App wie geplant zu Hacken wäre dies der Beweis für einen ernten Sicherheitsmangel.

Was würdest Du mit dem neuerworbenen wissten tun?
  • Dich vertrauensvoll ans Werk wenden, damit sich die Lücke schliessen
  • Gegen $$$ an den meistbietenden verkaufen
Zitieren
#4
Wieso hacken?
Wenn die Stromer App Kurzbefehle unterstützt, ist das doch kein Sicherheitsproblem. Anstatt dass die Stromer App manuell bedient wird, würde sie einfach durch eine Drittsoftware angesteuert. Vielleicht ist die Stromer App auch Siri fähig - hey Siri, entsperre mein Stromer! Die Drittsoftware oder Siri können immer nur mit Hilfe der Stromer App mit dem Stromer kommunizieren, denn nur die Stromer App besitzt den individuellen Schlüssel zum Bike.
Zitieren
#5
(28.09.2021, 19:53)Xeneticles schrieb: Wenn die Stromer App Kurzbefehle unterstützt, ist das doch kein Sicherheitsproblem. Anstatt dass die Stromer App manuell bedient wird, würde sie einfach durch eine Drittsoftware angesteuert.

Funkwellen Verlängerung. Ein Begiff, der oft im Zusammenhang mit Autodiebstahl erwähnt wird.


Die OMNI App ist funktional, wenn sowohl App als auch Stromer im Internet eingebucht sind. Die Standorte sind ohne Belang. Kann nun von aussen der Entsperr-Befehl injiziert werden, steht der Stromer zur freien Verfügung. Die Sicherheitshürde, dass der Befehl autorisiert werden muss durch die persönlich Eingabe ist überwunden.

Der Besitzer bemerkt von der Entwendung nichts, bis er entwder seinen Stromer nicht mehr vorfindet oder auf der App den Standort abfragt.

Die gute Nachricht: Er kann dann noch immer den Stromer lahmlegen, in der er die Diebstahlfunktion der App aktiviert. Aber es wäre wohl zielführender, sich ein Telefon mit funktionalem BT zuzulegen und diese als Schlüssel zu verwenden.
Zitieren
#6
Stromer hat ja entschieden, ob sie für die OMNI App einen entsprechenden Kurzbefehl zur Verfügung stellen oder nicht. Falls sie das haben (ich denke nicht), dann mag man das als Sicherheitsrisiko sehen, aber nicht als Hacken.

Trotzdem würde ich auch für die Nutzung von BT plädieren. Das iPhone hat damit sicher keine Probleme, aber je nach OMNI Firmware zickt die BT Entsperrfunktion direkt nach dem Einschalten des Bikes. Siehe entsprechenden Thread in diesem Unterforum. Ist aber lösbar und keine Probleme gibt es, wenn das Bike einfach eingeschaltet bleibt über Nacht.
Zitieren
#7
Moin,

ich kann das Verlangen von olsa sehr gut verstehen, weil ich vor einem ähnlichen Problem stand: Die Stromer-App ist a) nur so semi gut und b) steht sie nicht für mein Handy/Betriebssystem zur Verfügung. Nach ein wenig Suchen habe ich auf Github folgendes Projekt gefunden: https://github.com/TimBroddin/stromer-api

Damit kann man über NodeJS die Stromer-API, die auch von der App benutzt wird, ansprechen. Das funktioniert auch soweit, man kann sein Stromer ent-/sperren, die Lampe leuchten lassen und Infos abrufen.

Das ganze habe ich geforked und ein wenig erweitert. Unter anderem um einen kleinen HTTP-Server, der einfache Befehle entgegennimmt und dann über die Stromer-API ausführt.

Die ganze "Kette" sieht dann so aus:
1. Auf dem Handy ist "HTTP Request Shortcuts" installiert. Damit kann man HTTP-Anfragen auf Knopfdruck abschicken.
2. Damit rufe ich den Endpunkt auf dem HTTP-Server auf, z.B. "http://1.2.3.4/unlock" zum Entsperren.
3. Über die API wird mein Stromer dann über die mobile Internetverbindung vom Rad entsperrt.

Um das ganze sicher zu machen läuft es natürlich über HTTPS, einen NGINX mit Basic Auth, alles via DynDNS bei mir zu Hause auf dem RaspberryPi.

Viel schneller wird es dadurch leider nicht, weil die API einfach lahm ist, aber komfortabler. So kann ich mit einem Klick bei mir auf dem Handy das Rad entsperren. Es wird sicherlich auch für iOS eine App geben, mit der man einfach HTTP-GET-Requests abschicken oder mit einem Kurzbefehl verknüpfen kann.

Und NEIN, eine Sicherheitslücke ist das nicht, weil es ja über die Stromer-Server geht, wie die App auch. Man muss sich genauso mit seinen Login-Daten anmelden. Was man für die API braucht ist ein "Geheimnis", also die "client_id" und das "client_secret". Diese lassen sich aber relativ leicht herausfinden und sind nicht wirklich geheim, weil sie im Klartext in der App stehen, oder man sie mitsniffern kann.

Und hier das Ganze nochmal in Aktion: https://zivilisation.no-ip.org:31089/upl...er_api.mp4


Nachtrag: Keine Gewähr auf nix, ich weiß nicht ob und wie lange Stromer die Nutzung der API außerhalb der App dulded.
Zitieren
#8
Alles richtig gemacht und auch schön beschrieben!

Die technischen Backgrounds das Stromer api abzugreifen existieren schon länger (2018). Das Projekt von Tim Brodding gehört sicher zu den bekannteren. Daneben gibt es aber auch noch "Schnipsel" die über ein Python Script funktionieren oder ein sehr schönes mit einem grafischen GUI per Home Assistant von johannusNL.

Grundsätzlich erschliesst sich mir nicht ganz der Vorteile dieser vom OMNI abgesetzten "Einknopf-Bedienung". Auch im Omni kann mittels einem Knopfdruck der Stromer gesperrt und entsperrt werden. Alle relevanten Fahrwerte & Statistiken werden für meine Begriffe klar und einfach dargestellt. Lampe an/aus per remote, ich brauch es nicht. Einzig interessanter Wert könnte der SoH des Akkus sein welcher nicht im OMNI und der App einsehbar ist aber durch eine Anfrage beim Händler in Erfahrung gebracht werden kann.

Für iOS und Android ist ja die OMNI App verfügbar und damit deckt Stromer wohl 99.x % des Marktes ab. Wenn man zu den anderen 0.x % gehört ist die Sache und dein Projekt aber sicher spannend, zumal es ja keinen Hack (das nötige Pwd und Loginname sind ja unique und nur dem jeweiligen Stromerbesitzer bekannt) darstellt und Stromer wohl auch nicht belastet. Das eigene Stromerbike macht über das OMNI ja genau das gleiche.
Zitieren
#9
Ich gehöre zu den 0.x%, daher für mich gerade die einzige Lösung.

Der Vorteil ist halt, dass man damit beliebige Sachen einbinden kann, z.B. Homeautomation oder halt ein physischer Knopf an der Tür, der das Rad entsperrt. Die App braucht auch gefühlt etwas länger, bis man das Rad wirklich entsperrt hat.
Zitieren
#10
(29.09.2021, 09:02)SebastianHa schrieb: Und NEIN, eine Sicherheitslücke ist das nicht, weil es ja über die Stromer-Server geht, wie die App auch. Man muss sich genauso mit seinen Login-Daten anmelden.

Zutreffend, zum Problem wird die Sache erst, wenn der Entsperrbefehl von aussen injiziert werden kann.


Grundsätzlich ist die BT Methode aber die komfortablere, denn es muss gar keine Tate gedrückt werden - und sie funktioniert auch im Funkloch. Das Werk meinte, dass es aber je nach Telefon resp. dessen Betriebssystem zu unterschiedlichem Sperr- resp. Entsperrverhalten kommt.

Ein weiterer Faktor ist der Abfrageintervall beim Aufbau der Bluetooth Verbindung. So kann es sein, dass ich bereits neben dem ST5 stehe, bis der merkt, dass ich resp. mein Telefon da ist, während er mich ein andermal bereits im anmarsch erkennt.

Die FreeFloater, welche Stromer nutzen, haben auch direkten Zugang zur Schnittstelle und können auch den GPS Standort auslesen. Die Abfrage macht natürlich nur Sinn, wenn der GPS Standort auch aktuell ist (Geofencing) - also kann dessen Aktualisierung getriggert werden.

Hier sehe ich eine Aufgabe für Dich: Echtzeit-Standort des eigenen Stromer in Google Maps...
Zitieren


Gehe zu: