NEWS
Absichern china-cloud IOT Geräte
-
@bananajoe said in Absichern china-cloud IOT Geräte:
oder ein falsch eingestelltes Standardgateway
Naja, das ist schon eine ziemliche Scheinsicherheit ;-)
Die meisten Nutzer haben eine recht begrenzte Netzmaske für ihr Heimnetz - da wäre es für ein böswilliges Device sicherlich nicht besonders schwierig das Gateway aktiv über den Netzmaskenbereich zu suchen ... bei den meisten Heimnetzen wären es wahrscheinlich maximal 256 Versuche ;-)
EDIT: Das Suchen nach einem Gateway wäre ggfs. eine Möglichkeit, Verhaltensbasiert verdächtige Geräte zu finden ...
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 13) on Proxmox 9.1.5)
Linux pve 6.17.9-1-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.20 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
@bananajoe said in Absichern china-cloud IOT Geräte:
oder ein falsch eingestelltes Standardgateway
Naja, das ist schon eine ziemliche Scheinsicherheit ;-)
Die meisten Nutzer haben eine recht begrenzte Netzmaske für ihr Heimnetz - da wäre es für ein böswilliges Device sicherlich nicht besonders schwierig das Gateway aktiv über den Netzmaskenbereich zu suchen ... bei den meisten Heimnetzen wären es wahrscheinlich maximal 256 Versuche ;-)
EDIT: Das Suchen nach einem Gateway wäre ggfs. eine Möglichkeit, Verhaltensbasiert verdächtige Geräte zu finden ...
@martinp sagte in Absichern china-cloud IOT Geräte:
da wäre es für ein böswilliges Device sicherlich nicht besonders schwierig das Gateway aktiv über den Netzmaskenbereich zu suchen
ja, das stimmt. Hatte ich in der Praxis aber noch nicht. Ob die Hacker da noch extra was einbauen ... in der Regel denke ich wozu. Sie würden sich damit ja nur auffällig machen. von 1.000 Usern macht das höchstens einer, und bei dem will man auf den Radar gar nicht scheinen.
Oder man nimmt einen 2. IP-Adressbereich der dann schon technisch gar nicht in das Internet kann. Da würde das gleiche gelten, man könnte den Broadcast belauschen und so herausfinden das es noch andere Adressen gibt.
-
@martinp
Ich würde Geräte die sich tatsächlich nicht mit alternativer Firmware/cloudfrei betreiben lassen (ernsthaft!) nicht einsetzen. Verkauf ggf. mit Verlust bei Kleinanzeigen oder Vollabschreibung als Totalverlust mit anschließender korrekter Entsorgung.Obwohl ich das hier mit nem eigenen vlan bzw. alternativem wlan ohne Weiteres lösen könnte. Aber zum Einen wäre mir das für einen "Fehlkauf" zu viel Aufwand und zum Anderen würde ich nur dafür meinen Technikzoo nicht extra erweitern.
Man könnte noch u.U. über einen Einsatz nachdenken, wen sich das Zeug rein lokal betreiben lässt, man also den Dingern das INet total verbieten kann (sofern sie dann noch funktionieren), aber auch dabei hätte ich kein gutes Gefühl.
Ich würde Geräte die sich tatsächlich nicht mit alternativer Firmware/cloudfrei betreiben lassen (ernsthaft!) nicht einsetzen. Verkauf ggf. mit Verlust bei Kleinanzeigen oder Vollabschreibung als Totalverlust mit anschließender korrekter Entsorgung.
@samson71 Ich bin da bei den Meross-Steckdosen noch etwas in der Schwebe.
Habe noch nicht ganz begriffen, ob der Hack von "krahabb" die Steckdosen komplett auf einen lokalen MQTT-Broker umbiegen kann...Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 13) on Proxmox 9.1.5)
Linux pve 6.17.9-1-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.20 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
Ich würde Geräte die sich tatsächlich nicht mit alternativer Firmware/cloudfrei betreiben lassen (ernsthaft!) nicht einsetzen. Verkauf ggf. mit Verlust bei Kleinanzeigen oder Vollabschreibung als Totalverlust mit anschließender korrekter Entsorgung.
@samson71 Ich bin da bei den Meross-Steckdosen noch etwas in der Schwebe.
Habe noch nicht ganz begriffen, ob der Hack von "krahabb" die Steckdosen komplett auf einen lokalen MQTT-Broker umbiegen kann...@martinp
Nachdem was ich da lese - ja. Da ich aber kein HA nutze, bin ich an der Stelle auch keine Hilfe.Markus
Bitte beachten:
Hinweise für gute Forenbeiträge
Maßnahmen zum Schutz des Forums -
@martinp
Nachdem was ich da lese - ja. Da ich aber kein HA nutze, bin ich an der Stelle auch keine Hilfe.@samson71 Ich habe das so verstanden, als ob man das Ding auch mit dem MQTT Broker des ioBroker verheiraten könnte ...
Quatsch - hier ist das richtige Repository - https://github.com/albertogeniola/Custom-Meross-Pairer
This app, Custom pairer for Meross Devices is just a tool that is able to configure Meross Devices so that they connect to an arbitrary MQTT broker, rather than the official Meross one.
I probably don't need to explain why that is necessary: that's just the reason you are here after all. In any case, let me be crystal clear: if you are looking for an app to pair your meross smart devices to the official Meross cloud, then you MUST use the original Meross App. (although this app is capable of doing so).
You should use this app if trying to achieve one of the following goals:
- You want to pair your Meross Devices with Homeassistant Meross Lan-Only Addon
- You have your own MQTT broker and you know how Meross protocol works.
EDIT: So ganz astrein ist das auch nicht - die Verbindung über "Manual USER/KEY SETUP" erwartet als "User ID" nur Ziffern (Telefontastatur, nicht Schreibmaschinentastatur)
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 13) on Proxmox 9.1.5)
Linux pve 6.17.9-1-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.20 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
@samson71 Ich habe das so verstanden, als ob man das Ding auch mit dem MQTT Broker des ioBroker verheiraten könnte ...
Quatsch - hier ist das richtige Repository - https://github.com/albertogeniola/Custom-Meross-Pairer
This app, Custom pairer for Meross Devices is just a tool that is able to configure Meross Devices so that they connect to an arbitrary MQTT broker, rather than the official Meross one.
I probably don't need to explain why that is necessary: that's just the reason you are here after all. In any case, let me be crystal clear: if you are looking for an app to pair your meross smart devices to the official Meross cloud, then you MUST use the original Meross App. (although this app is capable of doing so).
You should use this app if trying to achieve one of the following goals:
- You want to pair your Meross Devices with Homeassistant Meross Lan-Only Addon
- You have your own MQTT broker and you know how Meross protocol works.
EDIT: So ganz astrein ist das auch nicht - die Verbindung über "Manual USER/KEY SETUP" erwartet als "User ID" nur Ziffern (Telefontastatur, nicht Schreibmaschinentastatur)
Habe etwas gelesen, wie das ganze Funktioniert - gibt ein paar Fallstricke.
- man muss eine verschlüsselte Verbindung einrichten mit SSL Zertifikat usw ...
- jede Steckdose hat einen eigenen FESTEN mqtt User, (MAC-Adresse ist Bestandteil des Usernamens)
Womöglich kann man das am Besten mit einem vorgelagerten Mosquitto abfangen
Ist eine Aufgabe, wenn alle Kreuzworträtsel und Sudokus ausgefüllt sind, und man Langeweile hat ;-)
-
Gerade bei den Fritzboxen kann man die Geräte im Heimnetz doch komfortabel einzelnen Gruppen zuordnen. Einmal eine Gruppe "kein Internet" eingerichtet, alle zweifelhaften Geräte in diese Gruppe, fertig. Oder doch nicht?
-
Gerade bei den Fritzboxen kann man die Geräte im Heimnetz doch komfortabel einzelnen Gruppen zuordnen. Einmal eine Gruppe "kein Internet" eingerichtet, alle zweifelhaften Geräte in diese Gruppe, fertig. Oder doch nicht?
@oliver-w-leibenguth said in Absichern china-cloud IOT Geräte:
Gerade bei den Fritzboxen kann man die Geräte im Heimnetz doch komfortabel einzelnen Gruppen zuordnen. Einmal eine Gruppe "kein Internet" eingerichtet, alle zweifelhaften Geräte in diese Gruppe, fertig. Oder doch nicht?
Naja, wenn danach die Steckdosen nicht mehr fernbedienbar sind, ist nicht geholfen ...
Die gesamte Kommunikation mit den Steckdosen läuft nach den Vorstellungen des Herstellers über MQTT Broker auf Servern in China, wenn ich das richtig verstanden habe. Wenn man den Dosen also das Internet abperrt, kann man sie nicht mehr mit der APP bedienen ...
Beim Pairing mit der APP richtet diese die entsprechenden URLs und sonstige Einstellungen ein...
Der "Custom Pairer" nutzt den gleichen Mechanismus, biegt den Zugang zum MQTT Broker aber auf einen Broker im Heimnetz um...
DANACH kann man natürlich den Geräte mit der "Kindersicherung" den Weg ins Internet versperren...
-
@oliver-w-leibenguth said in Absichern china-cloud IOT Geräte:
Gerade bei den Fritzboxen kann man die Geräte im Heimnetz doch komfortabel einzelnen Gruppen zuordnen. Einmal eine Gruppe "kein Internet" eingerichtet, alle zweifelhaften Geräte in diese Gruppe, fertig. Oder doch nicht?
Naja, wenn danach die Steckdosen nicht mehr fernbedienbar sind, ist nicht geholfen ...
Die gesamte Kommunikation mit den Steckdosen läuft nach den Vorstellungen des Herstellers über MQTT Broker auf Servern in China, wenn ich das richtig verstanden habe. Wenn man den Dosen also das Internet abperrt, kann man sie nicht mehr mit der APP bedienen ...
Beim Pairing mit der APP richtet diese die entsprechenden URLs und sonstige Einstellungen ein...
Der "Custom Pairer" nutzt den gleichen Mechanismus, biegt den Zugang zum MQTT Broker aber auf einen Broker im Heimnetz um...
DANACH kann man natürlich den Geräte mit der "Kindersicherung" den Weg ins Internet versperren...
@martinp Achso. Im Normalfall sage ich quasi dem Chinesischen Server, dass er bitte meine Steckdose an- oder ausschalten soll und der sagt es dann meiner Steckdose?
Hardware, die so funktioniert würde ich nicht nur das Internet, sondern auch den Aufenthalt in meinem Zuhause verbieten. -
@martinp Achso. Im Normalfall sage ich quasi dem Chinesischen Server, dass er bitte meine Steckdose an- oder ausschalten soll und der sagt es dann meiner Steckdose?
Hardware, die so funktioniert würde ich nicht nur das Internet, sondern auch den Aufenthalt in meinem Zuhause verbieten.@oliver-w-leibenguth said in Absichern china-cloud IOT Geräte:
@martinp Achso. Im Normalfall sage ich quasi dem Chinesischen Server, dass er bitte meine Steckdose an- oder ausschalten soll und der sagt es dann meiner Steckdose?
Hardware, die so funktioniert würde ich nicht nur das Internet, sondern auch den Aufenthalt in meinem Zuhause verbieten.Das ist ja auch im Lieferzustand vieler ESP-basierter Steckdosen der Fall - da flasht man dann mit Tasmota und hat Ruhe....
Bei dieser Steckdose hatte ich das auch vor, die ist aber nicht ESP-basiert, sondern hat eine ARM-basierte CPU, für die es (noch?) keine alternative Firmware gibt ...
688
Online32.7k
Benutzer82.3k
Themen1.3m
Beiträge