Absichern china-cloud IOT Geräte
-
@martinp Bei meinen Reolink-Kameras war ich auch erstaunt das die App auch von außerhalb funktionierte obwohl ich da nichts freigeschaltet oder eingerichtet habe.
Die Kameras kann ich nun auch ohne Internet nutzen, die haben ein lokales Interface.
Die Kindersicherung der Fritzbox (oder ein falsch eingestelltes Standardgateway) verhindern sicher die Kommunikation nach außen. Da die Kameras sich so auch nicht die Uhrzeit aus dem Internet ziehen können und man dort keine IP Eintragen darf, spuckt mein DNS-Server für einen der Anbieter eine lokale IP-Adresse aus (die der FritzBox)Ansonsten versuche auch ich alles mit Tasmota & Co zu lösen
-
@bananajoe said in Absichern china-cloud IOT Geräte:
oder ein falsch eingestelltes Standardgateway
Naja, das ist schon eine ziemliche Scheinsicherheit
Die meisten Nutzer haben eine recht begrenzte Netzmaske für ihr Heimnetz - da wäre es für ein böswilliges Device sicherlich nicht besonders schwierig das Gateway aktiv über den Netzmaskenbereich zu suchen ... bei den meisten Heimnetzen wären es wahrscheinlich maximal 256 Versuche
EDIT: Das Suchen nach einem Gateway wäre ggfs. eine Möglichkeit, Verhaltensbasiert verdächtige Geräte zu finden ...
-
@martinp sagte in Absichern china-cloud IOT Geräte:
da wäre es für ein böswilliges Device sicherlich nicht besonders schwierig das Gateway aktiv über den Netzmaskenbereich zu suchen
ja, das stimmt. Hatte ich in der Praxis aber noch nicht. Ob die Hacker da noch extra was einbauen ... in der Regel denke ich wozu. Sie würden sich damit ja nur auffällig machen. von 1.000 Usern macht das höchstens einer, und bei dem will man auf den Radar gar nicht scheinen.
Oder man nimmt einen 2. IP-Adressbereich der dann schon technisch gar nicht in das Internet kann. Da würde das gleiche gelten, man könnte den Broadcast belauschen und so herausfinden das es noch andere Adressen gibt.
-
Ich würde Geräte die sich tatsächlich nicht mit alternativer Firmware/cloudfrei betreiben lassen (ernsthaft!) nicht einsetzen. Verkauf ggf. mit Verlust bei Kleinanzeigen oder Vollabschreibung als Totalverlust mit anschließender korrekter Entsorgung.
@samson71 Ich bin da bei den Meross-Steckdosen noch etwas in der Schwebe.
Habe noch nicht ganz begriffen, ob der Hack von "krahabb" die Steckdosen komplett auf einen lokalen MQTT-Broker umbiegen kann... -
@martinp
Nachdem was ich da lese - ja. Da ich aber kein HA nutze, bin ich an der Stelle auch keine Hilfe. -
@samson71 Ich habe das so verstanden, als ob man das Ding auch mit dem MQTT Broker des ioBroker verheiraten könnte ...
Quatsch - hier ist das richtige Repository - https://github.com/albertogeniola/Custom-Meross-Pairer
This app, Custom pairer for Meross Devices is just a tool that is able to configure Meross Devices so that they connect to an arbitrary MQTT broker, rather than the official Meross one.
I probably don't need to explain why that is necessary: that's just the reason you are here after all. In any case, let me be crystal clear: if you are looking for an app to pair your meross smart devices to the official Meross cloud, then you MUST use the original Meross App. (although this app is capable of doing so).
You should use this app if trying to achieve one of the following goals:
- You want to pair your Meross Devices with Homeassistant Meross Lan-Only Addon
- You have your own MQTT broker and you know how Meross protocol works.
EDIT: So ganz astrein ist das auch nicht - die Verbindung über "Manual USER/KEY SETUP" erwartet als "User ID" nur Ziffern (Telefontastatur, nicht Schreibmaschinentastatur)
-
Habe etwas gelesen, wie das ganze Funktioniert - gibt ein paar Fallstricke.
- man muss eine verschlüsselte Verbindung einrichten mit SSL Zertifikat usw ...
- jede Steckdose hat einen eigenen FESTEN mqtt User, (MAC-Adresse ist Bestandteil des Usernamens)
Womöglich kann man das am Besten mit einem vorgelagerten Mosquitto abfangen
Ist eine Aufgabe, wenn alle Kreuzworträtsel und Sudokus ausgefüllt sind, und man Langeweile hat
-
Gerade bei den Fritzboxen kann man die Geräte im Heimnetz doch komfortabel einzelnen Gruppen zuordnen. Einmal eine Gruppe "kein Internet" eingerichtet, alle zweifelhaften Geräte in diese Gruppe, fertig. Oder doch nicht?
-
@oliver-w-leibenguth said in Absichern china-cloud IOT Geräte:
Gerade bei den Fritzboxen kann man die Geräte im Heimnetz doch komfortabel einzelnen Gruppen zuordnen. Einmal eine Gruppe "kein Internet" eingerichtet, alle zweifelhaften Geräte in diese Gruppe, fertig. Oder doch nicht?
Naja, wenn danach die Steckdosen nicht mehr fernbedienbar sind, ist nicht geholfen ...
Die gesamte Kommunikation mit den Steckdosen läuft nach den Vorstellungen des Herstellers über MQTT Broker auf Servern in China, wenn ich das richtig verstanden habe. Wenn man den Dosen also das Internet abperrt, kann man sie nicht mehr mit der APP bedienen ...
Beim Pairing mit der APP richtet diese die entsprechenden URLs und sonstige Einstellungen ein...
Der "Custom Pairer" nutzt den gleichen Mechanismus, biegt den Zugang zum MQTT Broker aber auf einen Broker im Heimnetz um...
DANACH kann man natürlich den Geräte mit der "Kindersicherung" den Weg ins Internet versperren...
-
@martinp Achso. Im Normalfall sage ich quasi dem Chinesischen Server, dass er bitte meine Steckdose an- oder ausschalten soll und der sagt es dann meiner Steckdose?
Hardware, die so funktioniert würde ich nicht nur das Internet, sondern auch den Aufenthalt in meinem Zuhause verbieten. -
@oliver-w-leibenguth said in Absichern china-cloud IOT Geräte:
@martinp Achso. Im Normalfall sage ich quasi dem Chinesischen Server, dass er bitte meine Steckdose an- oder ausschalten soll und der sagt es dann meiner Steckdose?
Hardware, die so funktioniert würde ich nicht nur das Internet, sondern auch den Aufenthalt in meinem Zuhause verbieten.Das ist ja auch im Lieferzustand vieler ESP-basierter Steckdosen der Fall - da flasht man dann mit Tasmota und hat Ruhe....
Bei dieser Steckdose hatte ich das auch vor, die ist aber nicht ESP-basiert, sondern hat eine ARM-basierte CPU, für die es (noch?) keine alternative Firmware gibt ...
