Smart #1 API / Smart Home Integration

Wenn die das ordentlich gemacht haben (es gibt da Fragezeichen bei Telefonwechsel usw.) wird bei Installation der App ein Schlüssel per Crypto-API erzeugt. Der private Teil wird im Secure Space des Mobiltelefons abgelegt (Sprich , den bekommt die App nie zu sehen) und der öffentliche Teil wird zum Smart-Server übertragen. Die Signatur wird dann per HMAC-Call der Telefon-API berechnet, ohne daß der secret key jemals das Tageslicht erblickt. Nicht mal im Speicher der App.*

* Also so würde ICH das machen ...

Gut möglich. Daher habe ich mich irgendwann auch nicht weiter damit beschäftigt.

Die müssen selbst einen Teil der API public machen.

Was noch ein Ansatz wäre, den ich nächste Woche mal ausprobiere: Das Android Subsystem in Windows 11. Wenn die App dort kommuniziert/funktioniert, kommt man eventuell doch an die Bestandteile der Signatur ran.

Unter macOS hat das leider nicht funktioniert, obwohl man die ersten beiden Versionen noch installieren konnte auf Apple Silicon Hardware. Die neueste Version stürzt beim Start direkt ab. Bei älteren Versionen hat nur der Demo-Modus funktioniert. Bereits die Anmeldung ist gescheitert.

Das könnte genau daran scheitern, daß eben kein secure key store da ist. das Schlüsselpaar wird wohl bei der Anmeldung angellegt. (Spekulation...)

Schade aber auch ...

pasted-from-clipboard.png

Ich habe leider keine Ahnung, ob es eventuell sachdienlich ist, aber man könnte sich ja einmal die Integration von Mercedes Me in evcc näher anschauen.

Das Ganze ist in der evcc Doku ja recht ausführlich beschrieben https://docs.evcc.io/docs/guid…clientid-und-clientsecret und könnte somit auch im Quelltext von evcc weiter analysiert werden.

Vielleicht führt das ja zu neuen Erkenntnissen, wenn Smart sich an Mercedes orientiert hat.

Jeggo

Das funktioniert bei Smart so leider nicht. Schön wäre es, wenn man sich einen Developer Account klicken könnte.

Übrigens hat Smart seit Version 1.1.0 der App jetzt einen Check drin, ob man einen Proxy nutzt oder gar einen VPN mit anderem Root Zertifikat. Man kann also die https Kommunikation inzwischen nicht mehr mitschneiden. Lesen die etwa hier mit? 🙈

Vermutlich haben sie certificate pinning eingebaut. Die App stürzt sofort ab, wenn man es versucht.

zm Glück hab ich die 1.0.1 hier noch als APK. Das Server-Protokoll sollte sich ja nicht dramatisch verändert haben.