Volkswagen, client assertion gereksinimi nedeniyle Home Assistant'ı engelledi

 (github.com/robinostlund)
1 puan yazan GN⁺ 14 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Issue #967 hâlâ açık durumda; ilgili öğeler olarak #971 ve en son sürüm v5.4.7 gösteriliyor, ancak paylaşılan tartışmaya bakarak bunun nihai olarak çözülüp çözülmediği doğrulanamıyor
  • İlk bildirimde, Home Assistant içindeki homeassistant-volkswagencarnet kimlik doğrulamasının süresi dolduktan sonra e-posta ve parola ile yeniden giriş yapılamadığı, buna karşın Android uygulaması ve tarayıcı girişinin çalışmaya devam ettiği belirtiliyor
  • Yeniden üretim adımı e-posta ve parolanın girilmesi; hata mesajı ise Anmeldung bei Volkswagen Connect nicht möglich. Bitte überprüfe deine Zugangsdaten und stelle sicher, dass der Dienst verfügbar ist. olarak görünüyor
  • Katılımcılardan biri bunun bir hata değil, Volkswagen'in API'yi kalıcı olarak devre dışı bırakmasının sonucu olduğunu düşündü; daha sonra başka bir katılımcı, resmi ücretli API ile ücretsiz gayriresmî API bulunduğunu ve ikincisinin artık çalışmadığını özetledi
  • Bazı kullanıcılar web girişinin mümkün olduğunu ancak API ve uygulamanın çalışmadığını ya da uygulama yanıtının çok yavaş olduğunu bildirdi; başka bir kullanıcı ise Android uygulamasına giriş yapılabildiğini ancak Home Assistant yeniden başlatıldıktan sonra aynı sorunun ortaya çıktığını aktardı
  • CarConnectivity-plugin-mqtt'nin çalıştığına dair bir bildirim vardı, ancak aynı API'yi kullandığı için mevcut kurulumun yalnızca token süresi dolana kadar korunacağı ve yeni kullanıcılar için çalışmayabileceği yönünde itiraz geldi
  • Başka bir kullanıcı, CarConnectivity-plugin-mqtt'yi ilk kez kullanmasına rağmen yeni bir kimlik doğrulama token'ı ile veri çekebildiğini bildirdi; bu yüzden söz konusu alternatifin sürdürülebilirliği tartışma içinde kesinleşmedi
  • İlgili değişikliklerin Skoda EV Facebook forumunda paylaşıldığı belirtildi; resmi bir duyuru görmediğini söyleyen bir katılımcı, bu değişikliğin tüm VAG markalarını etkileyebileceğini düşündü
  • Alternatif olarak Smartcar ve Tibber gündeme geldi; Smartcar için araç veri akışı ve GDPR'nin uygulanıp uygulanmadığı tartışıldı ve bir kullanıcı Smartcar ile “şimdilik çalışır” hâle getirdiğini söyleyerek wbyoung/smartcar#110 altındaki yorumunu paylaştı
  • Tibber'in, Home Assistant'ın varsayılan Tibber entegrasyonu ile çalıştığı bildirildi; ancak Tibber'in enterprise API erişim maliyetini üstlendiği bir yapı varsa, ödeme yapmayan yeni kullanıcı akınını uzun süre tolere etmeyebileceği endişesi dile getirildi
  • Bir katılımcı, Skoda duyurusunun para istemekten çok API kullanıcılarının Volkswagen'e kayıt yaptırması gerektiği anlamına geldiğini yorumlayarak projenin kayıtlı olup olmadığını sordu; bakımcı ise artık bir Volkswagen aracına sahip olmadığı için bunu bizzat ilerletmediğini söyledi
  • Bakımcı, kaydın kullanıcı başına anahtar gerektirebileceğini düşündüğünü belirtti ve araştırma ile proje bakımına yardımcı olacak kişiler aradığını söyledi; böylece çözümün yönü topluluk desteğine bağlı kalmış oldu

İlgili okumalar

1 yorum

 
GN⁺ 14 시간 전
Hacker News yorumları

  • EU Data Act tam da böyle durumları önlemek için yapılmış gibi görünüyor; özellikle 4. ve 5. maddeler buna uyuyor gibi: https://digital-strategy.ec.europa.eu/en/policies/data-act
    Kullanıcı bağlantılı ürüne veya ilgili hizmete ait verilere doğrudan erişemiyorsa, veri sahibi kullanıcıya gereksiz gecikme olmadan; kolayca, güvenli, ücretsiz, yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta, gerekli ve teknik olarak mümkün olduğunda sürekli/gerçek zamanlı erişim sağlamalı deniyor
    Araç verileriyle ilgili AB'nin ayrı bir rehberi de var: https://digital-strategy.ec.europa.eu/en/library/guidance-ve...

    • Evet, bu Data Act ile erişim hakkının geri alınabileceği bir alan gibi görünüyor
      Ancak GDPR 79. maddede olduğu gibi doğrudan Volkswagen'e karşı erişim hakkı talep edilebilen bir yapı yok gibi: https://gdpr-info.eu/art-79-gdpr/
      Uygulama biçimi hakkında çok yazı olmadığından düzenlemeye doğrudan baktım; 39. maddeye göre önce ikamet edilen üye devletin belirlediği yetkili kuruma şikayette bulunmak gerekiyor gibi: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:...
      O kurum hiçbir işlem yapmazsa, ulusal hukuka göre etkili bir yargısal başvuru yolu ya da uzmanlığa sahip bağımsız bir kurum incelemesi talep etme hakkı doğuyor
      Ama o durumda dava konusu şirket değil, yetkili kurumun kendisi oluyor gibi ve 39(3) bunu açıkça belirtiyor
      Umarım yanılıyorumdur
      Muñoz vs. Superior Fruiticola kararındaki gibi, “bu yükümlülük medeni usulle uygulanabilir olmalı” mantığı burada da geçerli olabilir, ama emin değilim; GDPR'nin açıkça tanımladığı yoldan çok daha zayıf: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELE...
      Data Act'in bireyler tarafından nasıl uygulanabildiğine dair daha iyi kaynaklar varsa bilmek isterim
    • Volkswagen'in de bir EU Data Act sitesi var: https://drivesomethinggreater.com/eu-data-act

  • Diğer üreticilerin de epey çoğu aynı şeyi yaptı
    Ben şarj durumunu almak için tersine mühendislikle geliştirilmiş bir Polestar kütüphanesi kullanıyorum, ama onların da aynı şekilde engellemeyeceğine güvenemediğim için aynı işi yapacak bir CAN bus sniffer geliştiriyorum
    Bunun gerçekten büyük bir gelir kalemi olacağı da pek görünmüyor; ürüne en fazla dahil olan insanları kızdırırken neden yapıldığını pek anlamıyorum

    • Bazı CAN mesajlarına değiştirilemesin diye zaten kriptografik doğrulama ekliyorlar
      Şifrelemeye geçmeleri de muhtemelen sadece zaman meselesi
      Bence bu daha çok kurumsal riskten kaçınma meselesi
      Bir departman küçük risklerin listelendiği bir risk değerlendirme belgesi yazıyor; örneğin üçüncü taraf uygulama arka ucunun hacklenme ihtimali ya da yerel basında “hobi geliştiricisi Home Assistant'a bağlanmak için arabasını hackledi” gibi manşetler
      Bu liste dolaşıma giriyor, orta kademe yöneticilerden hiçbiri sorumluluk almak istemiyor ve resmen onaylanmış olumlu kullanım senaryoları da olmayınca, sert karşı önlemler birer birer planlanıp hayata geçiriliyor
    • Evet, hangi segmentte olursa olsun Home Assistant'ı tamamen benimseyen ilk şirketin satış veya pazarlama açısından epey avantaj elde edeceğini düşünüyorum
      IKEA buna fena olmayan bir örnek olabilir
    • Alman şirketi BSH ile ilginç bir karşıtlık oluşturuyor
      Bosch ve Siemens ev aletleri tarafı, Home Connect platformunu açmayı AB'nin veri şeffaflığı ve taşınabilirliği mevzuatına uyumun bir parçası olarak görmüş gibi
    • Arabalarla arayüz kurabilme yeteneği, temelde “her şeyi şifrele” yönündeki düzenleyici eğilimle çatışıyor
      Otomotiv RISC-V tarafında neler yapıldığına veya EU Cyber Resilience Act gerekliliklerine bakmak yeterli
    • İhtiyaca uyabilecek açık kaynak bir ürün olarak WiCAN var: https://www.meatpi.com/products/wican-pro

  • BYD, araç bağlantısı deposunun tamamı için bana DMCA talebi gönderdi: https://github.com/github/dmca/blob/master/2026/05/2026-05-2...
    Premium fiyata alınan arabaları otomobil şirketlerinin kilitlemesi ve açık kaynağa karşı adeta haçlı seferi yürütmesi gerçekten üzücü

    • Louis Rossmann'a e-posta atmak iyi olabilir; benzer durumdaki insanlara daha önce yardım etmişti
    • Bu bana “yasa dışı bir şey yapmadın ama öyle görünmesini sağlayacağız” gibi geliyor
      Kamusal bir yerin anahtarını kapı paspasının altına koyup “anahtar burada” diye yazdıktan sonra, zaten açık olan o alana o anahtarla girilmesine şikayet etmek gibi
    • Başka bir yere taşıyıp taşımadığını merak ediyorum
      Codeberg'e baktım ama orada yoktu
    • Eğer şifrelemeyi kırdığını iddia ediyorlarsa, bu durumda DMCA yerinde olabilir diye düşünüyorum
      Öte yandan kimlik doğrulama token'ı almanın veya arabayı Home Assistant'a bağlamanın resmi bir yolu yoksa, bu bir hizmet kusuru olarak görülmeli
      r/opensource_legalaid
      Cevap verip verilere erişim talep edelim

  • Kurumsal ifadeleri insan diline çeviren yorum gerçekten çok iyi: https://github.com/robinostlund/homeassistant-volkswagencarn...
    Neden kendi ayağına sıkasın ki? Bu gerçekten anlamlı bir gelir kaynağı mı? Güvenliği gerçekten artırıyor mu?

    • Kendi ayağına sıkmıyorlar
      Kullanıcıların büyük çoğunluğu bunu umursamaz ve MySkoda'da çalışan bir orta kademe yönetici de “büyük bir güvenlik riskini önledik ve değerli ~~çiftlik hayvanı~~ kullanıcı verilerini ait olduğu yere geri gönderdik” diye rapor verebilir
    • Home Assistant'ın ürettiği trafiği bizzat gördüm; kullanım modeli tersine dönmüş durumda
      Altyapı, sunucu ve bant genişliği para ediyor
      İyi ya da kötü, çoğu cihazın yerel bir arayüzü yok
      Son 1-2 yılda biraz Matter cihazı çıktı ama tüm veri ve işlevler Matter üzerinden sunulmuyor ve eski cihazların Matter desteği alacak şekilde güncellenmesi de pek olası değil
      Ayrıca HA yerelde çalışan, yerel odaklı bir uygulama olduğu için OEM tarafında ek geliştirme olmadan bulut tabanlı API/veri dağıtım sistemiyle pek uyumlu değil
      Son olarak, iç sistemlerde yapılan hesapta 24 saat boyunca HA trafiği toplamın yaklaşık %20'siydi ama kullanıcı oranı %1'in altındaydı
      Çünkü her bir instance API'yi birkaç dakikada bir, hatta daha da sık doğrudan çağırıyor
      Bir yönetici bu rakamı duyarsa muhtemelen engelleyin der
      Doğru ya da yanlış olmasından bağımsız olarak insanlar böyle tepki veriyor
    • Ek gelir kaynağı meselesine gelirsek, geçmişte de VW verilerine erişmek için WeConnect aboneliği gerekiyordu
      Yılda 100 euro ödüyordun ama o zamanlar aynı verilere başka uygulamalar ya da otomasyonlar üzerinden erişilebiliyordu
      Artık zaten abonelik ücretini ödüyor olsan bile, aynı verilere erişmek için mecburen WeConnect ve ortaklarını kullanman gerekiyor
    • Çünkü insanlar yine de arabayı satın alacak
      Ortalama kullanıcı mahremiyeti pek umursamıyor ve biz buna karşı hissizleşecek şekilde eğitildik
      Bu gerçekten bir gelir kaynağı ve güvenliği artırmıyor
    • Çoğu yönetici daha fazla güç elde etmek için ticari açıdan kötü kararlar alır
      Neredeyse bir iş kuralı gibi, yöneticiler şirketin kâr marjından önce kendi güçlerini önceler
      Kod işinin dış kaynak kullanımıyla verilmesinin maliyetleri düşürmemesine ve ticari açıdan felaket olmasına rağmen popüler olmasının nedenlerinden biri de buydu
      Çünkü o ilişkide yöneticiler, bizimle çalıştıklarından çok daha fazla direksiyondaydı
      Home Assistant tüketici segmentinin “önemli olmadığını” söyleyenler var ama aslında önemli
      Yine de özünde mesele, veriler üzerindeki kontrol gibi görünür kazançlarla tüketici nezdindeki iyi niyetin kaybı gibi daha az görünür zararlar arasındaki denge
      Şirketler ne pahasına olursa olsun yalnızca kârı maksimize eden varlıklar değildir
      Hissedarlar ve yöneticiler tek bir bütün değildir; farklıdırlar ve çıkarları bazen ciddi biçimde ayrışır

  • Client Assertion OAuth'un bir özelliği ama burada tartışılan konu bununla hiç ilgili değil
    Kafa karıştırıcı olabilir çünkü yalnızca HN başlığında geçiyor, asıl sayfada geçmiyor

    • Artık uygulama istemcinin Security Assertion kullanmasını şart koşuyor
      Bu durumda Android'de bunu Play Protect yapıyor, iOS'ta ise onların kullandığı başka bir şey üstleniyor
    • Daha doğru ifade client attestation olabilir

  • Görünüşe göre Google'ın da bu işte payı var: https://github.com/robinostlund/homeassistant-volkswagencarn...

    • Evet, Google donanım doğrulaması kullanarak üreticilerin API erişimini engellemesine yardımcı oluyor
      Kısa süre önce garaj kapısı açıcı API'm olan MyQ'ya doğrudan erişmeye çalışırken ben de aynı duvara çarptım
      Google'ın bu tür davranışları mümkün kılmasının AB rekabet hukukunu hiç ihlal etmiyor olması şaşırtıcı olurdu

  • Son dönemde yazılım tedarik zinciri tam bir keşmekeşe dönmüşken, bir şeyi bağlayıp bırakmak Rus ruleti gibi geliyor
    Bunu yıllardır Home Assistant kullanan biri olarak söylüyorum
    Özellikle şu anda elektrikli aracım Volkswagen olmasa da, onu HA'ya bağlamak oldukça riskli bir kendi ayağına sıkma hamlesi gibi geliyor
    Daha 3 ay önce kesinlikle kullanışlı olurdu gerçi

  • Uzun zamandır akıllı ev işleriyle uğraşıyorum ve bu, Home Assistant'tan ayrılma nedenlerimden biri.
    Çok havalı ve işlevsel bir proje ama tamamen şirketlerin API'leri açık tutmasına ya da daha yaygın olarak tersine mühendislikle çıkarılmış API'leri mümkün kılan sihri yamamamasına bağlı.
    Ne yazık ki son birkaç yılın gidişatı HA aleyhine oldu.
    Tesla, Ring, MyQ, Ecobee ve diğerleri API'lerini kapattı; genelde de gerekçe olarak “güvenlik endişelerini” gösterdiler.
    Bir ölçüde haklılık payı var ama bence çoğunda asıl motivasyon abonelik gelirini kaybetme korkusu.
    Tesla, resmi OAuth uygulamaları için yüksek ücret alıyor.
    Gerçi adil olmak gerekirse, önceki açıklar onların yamamadan ortada bıraktığı sızdırılmış OAuth uygulamalarına dayanıyordu.
    Ecobee, HomeKit'i ve bazı özellikleri Security+ aboneliğinin arkasına sakladı; güvenlik platformlarının ne kadar zayıf olduğunu düşününce bu resmen şaka gibi.
    MyQ bunu açıkça yıllık 45 dolarlık aboneliği korumak için yaptı ama RATGDO çok daha iyi olduğu için sonuçta kendilerine zarar vermiş oldular.
    Ring nedense hâlâ çalışıyor ama API'yi kapatabilecekleri korkusu yüzünden HomeKit Secure Video desteği oldukça kırılgan.
    Benim gibi HA'yı esas olarak HomeKit entegrasyonu için kullanan biri için HA'ya bağımlılık bir saatli bomba.
    Yeni eve taşınırken geçici çözüme ihtiyaç duymadan HomeKit ile yerel olarak uyumlu ürünler bulmaya odaklandım ve bunun sayesinde akıllı evim artık çok daha iyi çalışıyor.

    • Bu, Home Assistant'tan ayrılmak için bir nedenden çok, Home Assistant'a bağlamak üzere kapalı ve yalnızca bulut tabanlı ürünler satın almamak için bir neden gibi görünüyor.
    • Bu, yağmurdan kaçarken doluya tutulmak gibi.
      Ben de ev otomasyonuna aynı şekilde başladım ve HomeKit merkezli yaklaşım da fena değil.
      Bir sonraki adım olarak, HomeKit'e köprülenen ve %100 yerel kontrol edilen cihazlardan oluşan bir HA kurulumuna bakıyorum.
      Yalnızca HomeKit cihazlarında Wi‑Fi kararlılığı sık sık berbat oluyor ve bugünlerde Matter/Thread'in nasıl işlediğine daha çok dikkat etmek gerekiyor gibi.
      Zigbee/Z-Wave'den şikâyet edenler var ama ortalamada bunlar Wi‑Fi tabanlı HomeKit'ten çok daha iyiydi.
    • HA'de 50'den fazla entity var ve dünyadaki hiçbir şirket bunlardan tek birini bile durduramaz.
      Dürüst olmak gerekirse, anılan şeyler arasında HA'nın saatli bomba olmaktan en uzak şey olduğunu düşünüyorum.

  • Bir sonraki arabamın Sköda ya da Volkswagen olmayacağı kesin.

    • Peki hangi markayı düşünüyorsun?

  • Uzaktan doğrulama, kök sertifikayı kimin sağladığından bağımsız olarak, ister Google ister Apple ister GrapheneOS olsun, yasadışı hâle getirilmesi gereken bir şey.
    Bu teknolojinin şu andaki tek kullanım amacı, insanların sahip oldukları cihazlarla istediklerini yapmasını engellemek ve birlikte çalışabilirliği kriptografik olarak imkânsız kılmak.
    Rekabete aykırı olduğu için doğrudan yasadışı olmalı.

    • Önümüzdeki 5-10 yıl içinde açık işlemciler ve işletim sistemleri kullanan, kullanıcı deneyimi ve OS açısından tescilli ürünlerle benzer ya da daha iyi düzeyde dizüstü bilgisayarlar ve akıllı telefonların çıkma ihtimali gerçekten var.
      Ama uzaktan doğrulama daha yaygınlaşırsa, herhangi bir hizmeti kriptografik olarak kullanmak zorlaşabilir ve bu da bu tür cihazları ortalama tüketici için fiilen işe yaramaz hâle getirebilir.
    • AB'de bu zaten EU Data Act kapsamında yasadışı.
      VW yöneticileri ise eskisi gibi yasaları eğip bükebileceklerini düşündükleri için umursamayan suçlulardan ibaret.
    • Aslında aranan şey API'siz hizmetler veya ürünler.
      Yani bulut olmadan çalışabilmeleri gerekiyor.
      Ya da ürünlerine API erişimini açıkça sağlayan ürünleri veya şirketleri seçmek gerek.
    • Uzaktan doğrulamanın hiçbir meşru kullanım alanı olmadığını söyleyip durmak düpedüz saçmalık.
      Sahip olduğum bir cihazı, istemediğim kişilerin fiziksel olarak erişip içinden kimlik bilgilerini çekebileceği ortamlara dağıttığımda buna ihtiyaç duyabilirim.
      İnsanların hassas şirket bilgilerine yalnızca şirket tarafından verilmiş cihazlardan erişmesini sağlamak ve erişilebilen verilerin başka yerlere rastgele kopyalanmasını engellemek için de gerekli olabilir.
      Telefonu kartla ödeme terminali olarak kullanırken ekranda bir tutar gösterip gerçekte başka bir tutarı onaylama gibi şeyleri önlemek için de gerekir.
      Sahip olduğum her şeyin ürettiği veriyi açık biçimlerde sunması gerektiği fikrine oldukça güçlü biçimde katılıyorum ama doğrulamanın hiçbir meşru kullanım alanı olmadığını söylemek gerçeğe aykırı.