Smart #1 API / Smart Home Integration

**double-t** · 24. Juni 2023

Zitat von holgerwolf

OpenWB und SHM ist Plug@Play.. wegen dem SMA Multicast muss die OpenWB nur am Switch mit den WR und dem SHM dran hängen.

Meine OpenWB muss seitens des Elektriker noch mit dem SHM verbunden werden. Insofern muss ich erst mal abwarten. Aber, für was, bzw für welche Kommunikation wird den da Multicast benötigt? Ich dachte, die OpenWB spricht mit dem SHM oder dem WR auf irgendeinem (TCP/UDP) Port. Wie läuft den die Kommunikation im Detail? Am selben Switch hängt bei mir aber auch alles und Multicast wird nicht geblockt, daher sollte es ja funktionieren.

**holgerwolf** · 24. Juni 2023

Wenn Multicast vom Switch nicht geblockt wird ist alles gut. Aber ansonsten funktioniert die Kommunikation immer nur mit einer Gegenstelle. Und wenn die OpenWB dann auch mitreden will kommt es zu Problemen.

johnnyger · 6. Juli 2023

Zu Beginn des Threads hatten wir die Frage, wie die Signatur für den Request gegen die API generiert wird. In einem ersten Schritt habe ich den Bytecode der Android App decompiliert. Das Ergebnis:

Code

public class fudk implements Interceptor {
   public Response intercept(Interceptor.Chain var1) throws IOException {
      Request var7 = var1.request();
      Request.Builder var8 = var7.newBuilder();
      String var12 = var7.method();
      String var6 = var7.url().toString();
      Headers var10 = var7.headers();
      TreeMap var11 = new TreeMap();
      String var5;
      if (var6.indexOf("?") != -1) {
         String[] var9 = var6.substring(var6.indexOf("?") + 1).split("&");
         int var3 = var9.length;

         for(int var2 = 0; var2 < var3; ++var2) {
            var5 = var9[var2];
            var11.put(var5.substring(0, var5.indexOf("=")), var5.substring(var5.indexOf("=") + 1));
         }
      }

      var5 = var7.header("X-FileName");
      boolean var4 = TextUtils.isEmpty(var5);
      String var17 = "";
      if (!var4) {
         var5 = this.zhedk(var5);
      } else {
         var5 = "";
      }

      String var18 = String.valueOf(System.currentTimeMillis());
      jiangdk var13 = jiangdk.zhedk();

      Object var16;
      try {
         var6 = var13.huandk(zhedk.u().f(), var10, var11, var5, var18, var12, var6);
         return var1.proceed(var8.addHeader("X-SIGNATURE", var6.trim()).addHeader("X-TIMESTAMP", var18).addHeader("X-FILE-LENGTH", var5).build());
      } catch (NoSuchAlgorithmException var14) {
         var16 = var14;
      } catch (InvalidKeyException var15) {
         var16 = var15;
      }

      ((Throwable)var16).printStackTrace();
      var6 = var17;
      return var1.proceed(var8.addHeader("X-SIGNATURE", var6.trim()).addHeader("X-TIMESTAMP", var18).addHeader("X-FILE-LENGTH", var5).build());
   }

Alles anzeigen

Im nächsten Schritt wäre zu untersuchen, was die Methode genau macht. Falls sich jemand mit Reverse Engineering auskennt? Entscheidend:

var6 = var13.huandk(zhedk.u().f(), var10, var11, var5, var18, var12, var6);

Pragmatiker · 6. Juli 2023

Zitat von double-t

Meine OpenWB muss seitens des Elektriker noch mit dem SHM verbunden werden. Insofern muss ich erst mal abwarten.

Wenn Du in einem Browser in deinem Netzwerk die IP Adresse der Open WB aufrufst bist du im Einrichtmenue, Dort gibst Du die Seriennummer des SHM ein, damit open WB ihn findet.

Dann (hoffe ich) reden die miteinander.

Leider kann ich das noch nicht ausprobieren…

marco79cgn · 6. Juli 2023

johnnyger

Dekomiliert habe ich auch schon vor längerer Zeit. Gescheitert bin ich nach wie vor an der Berechnung der Signatur bzw. dem hierfür benötigten Secret.

Ein Interceptor funktioniert automatisch, indem er sich z.B. wie oben in die HTTP Kommunikation dazwischen schaltet. Er überwacht sozusagen die HTTP Requests nach außen, fängt sie ab und ergänzt noch einige Dinge. In diesem Fall in erster Linie die Header "X-Signature",, "X-Timestamp" und "X-FILE-LENGTH".

Die File Length kann man ignorieren, die ist nur relevant, wenn tatsächlich Dateien verschickt werden als Body (binary). Der Timestamp ist logisch, die aktuelle Zeit in Millisekunden. Die Signatur wird berechnet, indem diverse Parameter als String hintereinander gekettet werden und mit einem Secret verschlüsselt werden, Algorithmus ist hier HMAC-SHA1.

var10 → die bereits vorhandenen Header vom http request, der "intercepted" wird

var11 → eine Key/Value Liste (TreeMap), in der sämtliche Query-Parameter der Ziel-URL gesammelt werden.

Beispiel Ziel-URL: hxxp://smart.com/api?bla=blub&forum=smart1

var11 = { bla=blubb, forum=smart }

var5 → Dateiname des Anhangs (bei uns leer, also X-FILENAME: "", siehe Zeile 26)

var18 → aktueller Timestamp (aktuelle Zeit in Millisekunden seit 1.1.1970, auch bekannt als Unix Timestamp)

var12 → die http Methode des Requests, also bei uns "GET"

var6 → die vollständige Ziel-URL, inklusive aller Query Parameter

Das geht alles in die Methode huandk() rein, die natürlich anders heißt, aber aufgrund des Decompilierens jetzt so komisch aussieht.

Du wirst dann auch eine andere Methode finden, in der die Signatur berechnet wird. Ich suche die Stelle nochmal raus. Da werden im Prinzip diese Eingangsparameter in bestimmter Reihenfolge hintereinander gekettet als String und dann eben verschlüsselt. Die Frage ist nur, mit welchem Key.

marco79cgn · 6. Juli 2023

Ich habe es nochmal rausgesucht. Einen besseren Überblick bekommt man übrigens mit dem Mobile Security Framework. Hierzu einfach den Docker Container starten, Browser öffnen und per Web Oberfläche die App (apk) laden.

Die entscheidende Klasse SignInterceptor.java

Code

@Override // okhttp3.Interceptor
    public Response intercept(Interceptor.Chain chain) throws IOException {
        String str;
        String[] split;
        Request request = chain.request();
        Request.Builder newBuilder = request.newBuilder();
        String method = request.method();
        String httpUrl = request.url().toString();
        Headers headers = request.headers();
        TreeMap<String, String> treeMap = new TreeMap<>();
        if (httpUrl.indexOf("?") != -1) {
            for (String str2 : httpUrl.substring(httpUrl.indexOf("?") + 1).split(DispatchConstants.SIGN_SPLIT_SYMBOL)) {
                treeMap.put(str2.substring(0, str2.indexOf(SimpleComparison.EQUAL_TO_OPERATION)), str2.substring(str2.indexOf(SimpleComparison.EQUAL_TO_OPERATION) + 1));
            }
        }
        RequestBody body = request.body();
        String str3 = "";
        if (body == null) {
            str = "";
        } else if (body instanceof MultipartBody) {
            Buffer buffer = new Buffer();
            body.writeTo(buffer);
            String[] split2 = buffer.readUtf8().split(EdgeConstants.Defaults.jiangdk);
            ArrayList arrayList = new ArrayList();
            String str4 = "";
            for (String str5 : split2) {
                if (str5.contains("Content-Disposition")) {
                    String replace = str5.replace("Content-Disposition: form-data; name=", "").replace("\"", "");
                    arrayList.add(replace);
                    if (replace.contains("file")) {
                        str4 = replace;
                    }
                }
            }
            str = str4;
        } else {
            Buffer buffer2 = new Buffer();
            body.writeTo(buffer2);
            str = buffer2.readUtf8();
        }
        String valueOf = String.valueOf(System.currentTimeMillis());
        SignUtil signUtil = SignUtil.getInstance();
        try {
            String signSecret = CommonOpenApi.getInstance().getCommonConfig().getSignSecret();
            if (!ComUtils.checkString(signSecret)) {
                signSecret = JniUtils.getInstance().getAppSecret();
            }
            str3 = signUtil.sign(signSecret, headers, treeMap, str, valueOf, method, httpUrl, body instanceof MultipartBody ? 1 : 0);
        } catch (InvalidKeyException e) {
            e.printStackTrace();
        } catch (NoSuchAlgorithmException e2) {
            e2.printStackTrace();
        }
        return chain.proceed(newBuilder.addHeader("X-SIGNATURE", str3.trim()).addHeader("X-TIMESTAMP", valueOf).build());
    }
    @Deprecated
    public SignInterceptor(String str) {
        CommonLogUtils.i("other", "SignInterceptor");
    }
}

Alles anzeigen

Das Secret zur Verschlüsselung wird in den Zeilen 44-47 gesetzt:

Code

String signSecret = CommonOpenApi.getInstance().getCommonConfig().getSignSecret();
if (!ComUtils.checkString(signSecret)) {
    signSecret = JniUtils.getInstance().getAppSecret();
}

Die Methode zum signieren ist dann in Zeile 48:

str3 = signUtil.sign(signSecret, headers, treeMap, str, valueOf, method, httpUrl, body instanceof MultipartBody ? 1 : 0);

Die Implementierung der sign-Methode sieht so aus:

Code

public String sign(String str, Headers headers, TreeMap<String, String> treeMap, String str2, String str3, String str4, String str5, int i) throws NoSuchAlgorithmException, InvalidKeyException {
        String url = getUrl(str5);
        String md5 = getMD5(str2, i);
        String str6 = getHeaders(headers) + EdgeConstants.Defaults.jiangdk + getParam(treeMap) + EdgeConstants.Defaults.jiangdk + md5 + str3 + EdgeConstants.Defaults.jiangdk + str4 + EdgeConstants.Defaults.jiangdk + url;
        Mac mac = Mac.getInstance("HMACSHA1");
        mac.init(new SecretKeySpec(str.getBytes(Charset.forName("utf-8")), "HMACSHA1"));
        return Base64.encodeToString(mac.doFinal(str6.getBytes(Charset.forName("utf-8"))), 0);
    }

marco79cgn · 6. Juli 2023

Nachtrag:
Der signKey wird an einer Stelle im Code auf die Variable "appSecret" gesetzt. Dieses wird wiederum per JNI aus einer externen static library geladen, nämlich aus dem Ordner "lib/arm64-v8a/libAppSecret.so".

ginntonic · 6. Juli 2023

ja, und mit dem libAppSecret.so komm ich auch nicht weiter. Ich hab allerdings noch nicht Ghidra ausgepackt ...

johnnyger · 7. Juli 2023

Hi,

danke für den Link zum MobSF, das kannte ich noch nicht.

Ihr seid dann ja schon deutlich weiter. Ich lese heraus, dass die noch zu lösende Herausforderung in dem AppSecret besteht. Ich selbst bin an der Stelle kein Experte, weder für C Code, noch für Reverse Engineering. Hilfreich ist möglicherweise, dass es die libAppSecret sowohl in 64 bit als auch in 32 vorliegt. Ich habe die 32 Bit Version nur mal auf die Schnelle hier https://dogbolt.org durch einen Ghidra gejagt.

Wäre vermutlich zu einfach, wenn das Secret dort einfach als String hinterlegt ist und im Output Parameter param_2 folgender Methode abgelegt wird, im File passiert viel mehr. Vermutlich appid != AppSecret.

Code

undefined4 get_from_so(void *param_1,undefined4 *param_2,size_t param_3)
{
int iVar1;


*param_2 = 0;
iVar1 = memcmp(param_1,"appid",5);
if (iVar1 == 0) {
snprintf((char *)param_2,0x21,"b816ffc222a657bef362d874a60337de");
}
else {
iVar1 = memcmp(param_1,"setted",6);
if (iVar1 == 0) {
strncpy((char *)param_2,"setted",param_3);
}
}
return 0;
}

Alles anzeigen

marco79cgn · 8. Juli 2023

Diesen String habe ich auch schon gefunden. Bekommt man auf der Konsole z. B. mit dem Befehl:

strings -a libAppSecret.so

Ich bin so vorgegangen, dass ich mir eine gültige Abfrage aus der App per proxy mitgeschnitten habe (in Proxyman) und dann diesen Request inklusive der gültigen Signatur als Basis genommen habe fur die eigene Signaturberechnung. Ich habe also versucht, die Signatur selbst zu berechnen und auf den gleichen Wert zu kommen wie beim gesnifften Request.

Habe mir eine eigene Funktion gebaut fur diesen JS Fiddle Playground und dann mit allen moglichen Keys versucht, die gleiche Signatur zu berechnen fur die entsprechende Payload. Hier das snippet, welches man im verlinkten Playground nutzen kann:

Code

calculateSignature()

function calculateSignature() {
    
    let headers = 'application/json;responseformat=3\nx-api-signature-nonce:CE5CAF30-E15C-460F-91B6-5820E3D5B1DB\nx-api-signature-version:1.0\n';

    let signingString = headers + '\n' + 'setting=charging\n1683739822790\nGET\n/remote-control/vehicle/status/soc/HESX******235';
    console.log(signingString)
    const signingKey = 'b816ffc222a657bef362d874a60337de';
    
    const signature = CryptoJS.HmacSHA1(signingString, signingKey).toString(CryptoJS.enc.Base64);
    console.log("Signatur: " + signature)
    return signature;
}

Alles anzeigen

Tags