Volkswagen bloqueia o Home Assistant ao exigir client assertion

 (github.com/robinostlund)
1 pontos por GN⁺ 14 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • A Issue #967 ainda está aberta, e os itens relacionados #971 e a release mais recente v5.4.7 aparecem vinculados, mas não é possível confirmar apenas pela discussão fornecida se houve uma solução final
  • O relato inicial diz que, depois que a autenticação do homeassistant-volkswagencarnet no Home Assistant expirou, ficou impossível fazer login novamente com e-mail e senha, enquanto o login no app Android e no navegador continuava funcionando
  • O procedimento de reprodução é inserir e-mail e senha, e a mensagem de erro exibida é Anmeldung bei Volkswagen Connect nicht möglich. Bitte überprüfe deine Zugangsdaten und stelle sicher, dass der Dienst verfügbar ist.
  • Um participante entendeu que isso não era um bug, mas o resultado de a Volkswagen ter desativado permanentemente a API; depois, outro participante resumiu que existem uma API oficial paga e uma API não oficial gratuita, e que a segunda não funciona mais
  • Alguns usuários relataram que o login na web ainda funciona, mas a API e o app não funcionam ou o app responde muito lentamente; outro usuário disse que conseguia entrar no app Android, mas o mesmo problema apareceu depois de reiniciar o Home Assistant
  • Houve um relato de que o CarConnectivity-plugin-mqtt funciona, mas surgiu a contestação de que ele usa a mesma API, então uma configuração já existente só continuaria válida até o token expirar, e novos usuários talvez não consigam usar
  • Outro usuário relatou que conseguiu obter dados com um novo token de autenticação mesmo usando o CarConnectivity-plugin-mqtt pela primeira vez, então a viabilidade dessa alternativa não ficou confirmada na discussão
  • A mudança relacionada foi compartilhada em um fórum de Facebook de EV da Skoda, e um participante que disse não ter visto nenhum anúncio oficial considerou que isso pode afetar todas as marcas do grupo VAG
  • Como alternativas, Smartcar e Tibber foram mencionados; no caso do Smartcar, discutiram-se o fluxo de dados do veículo e a aplicabilidade do GDPR, e um usuário disse que conseguiu fazer “funcionar por enquanto” com o Smartcar, compartilhando um comentário em wbyoung/smartcar#110
  • Houve relatos de que o Tibber funciona com a integração padrão do Tibber no Home Assistant, mas também foi levantada a preocupação de que, se o modelo depender de o Tibber pagar pelo acesso à API enterprise, talvez ele não permita por muito tempo uma onda de novos usuários sem pagamento
  • Um participante interpretou o aviso da Skoda no sentido de que não se trata de cobrar dinheiro, mas de exigir que usuários da API se registrem junto à Volkswagen, e perguntou se o projeto havia sido registrado; o mantenedor respondeu que não prosseguiu pessoalmente porque não possui mais um veículo Volkswagen
  • O mantenedor considerou que o registro pode exigir chaves por usuário e pediu ajuda de alguém que possa investigar e ajudar a manter o projeto, de modo que o rumo da solução continua dependendo do apoio da comunidade

Leituras relacionadas

1 comentários

 
GN⁺ 14 시간 전
Comentários do Hacker News

  • Tenho a impressão de que o EU Data Act foi criado justamente para impedir esse tipo de situação, em especial os artigos 4 e 5: https://digital-strategy.ec.europa.eu/en/policies/data-act
    Se o usuário não puder acessar diretamente os dados de um produto conectado ou de um serviço relacionado, o detentor dos dados deve disponibilizá-los sem demora, de forma fácil, segura, gratuita, estruturada, amplamente utilizada e legível por máquina e, quando necessário e tecnicamente viável, de modo contínuo/em tempo real
    Também há uma orientação separada da UE sobre dados de veículos: https://digital-strategy.ec.europa.eu/en/library/guidance-ve...

    • Sim, isso parece ser uma área em que o direito de acesso pode ser recuperado pelo Data Act
      Só que não parece haver uma estrutura para reivindicar esse direito de acesso diretamente contra a Volkswagen, como existe no artigo 79 do GDPR: https://gdpr-info.eu/art-79-gdpr/
      Não há muitos textos sobre a forma de execução, então fui olhar a norma em si, e o artigo 39 parece indicar que primeiro é preciso apresentar uma reclamação ao órgão competente designado pelo Estado-membro de residência: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:...
      Se esse órgão não tomar nenhuma medida, então surge o direito, nos termos da legislação nacional, a uma tutela judicial efetiva ou à revisão por um órgão independente com especialização
      Mas, nesse caso, parece que a ação não seria contra a empresa, e sim contra esse órgão competente, e o artigo 39(3) deixa isso claro
      Espero estar errado
      Talvez se aplique uma lógica parecida com a do precedente Muñoz vs. Superior Fruiticola, de que “essa obrigação deve ser executável por via de processo civil”, mas não tenho certeza, e isso é bem mais fraco do que o caminho explicitamente previsto pelo GDPR: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELE...
      Se alguém tiver material melhor sobre como uma pessoa pode fazer valer o Data Act, eu gostaria de conhecer
    • A Volkswagen também tem um site do EU Data Act: https://drivesomethinggreater.com/eu-data-act

  • Várias outras fabricantes também fizeram exatamente a mesma coisa
    Eu uso uma biblioteca do Polestar obtida por engenharia reversa para pegar o estado de carga, mas como não dá para confiar que eles não vão bloquear isso do mesmo jeito, estou construindo um sniffer de barramento CAN que faça a mesma coisa
    Isso nem parece ser uma grande fonte de receita, e eu realmente não entendo por que fazer isso enquanto irritam as pessoas mais engajadas com o produto

    • Algumas mensagens CAN já têm autenticação criptográfica para impedir alterações
      Parece só uma questão de tempo até colocarem criptografia também
      Na minha opinião, isso é principalmente uma questão de aversão a risco corporativa
      Algum departamento escreve uma avaliação de risco com uma lista de riscos triviais, por exemplo a possibilidade de o backend de um app de terceiros ser invadido, ou manchetes na imprensa local como “hobbysta hackeou o carro para conectá-lo ao Home Assistant”
      Essa lista circula, nenhum gerente intermediário quer assumir a responsabilidade e, como não há um caso de uso positivo oficialmente aprovado, medidas de resposta severas vão sendo planejadas e implementadas uma a uma
    • Sim, acho que a primeira empresa a abraçar totalmente o Home Assistant em qualquer segmento teria um ganho considerável em vendas ou marketing
      A IKEA pode ser vista como um exemplo razoavelmente bom
    • É um contraste interessante com a BSH, empresa alemã
      Parece que a área de eletrodomésticos Bosch e Siemens tratou a abertura da plataforma Home Connect como parte do cumprimento das normas da UE sobre transparência e portabilidade de dados
    • A capacidade de interagir com automóveis entra em conflito, no fundo, com a tendência regulatória de “criptografar tudo”
      Basta ver o que está acontecendo no lado automotivo do RISC-V ou as exigências do EU Cyber Resilience Act
    • Um produto open source que pode servir para isso é o WiCAN: https://www.meatpi.com/products/wican-pro

  • A BYD enviou uma solicitação DMCA para todo o meu repositório de conexão do veículo: https://github.com/github/dmca/blob/master/2026/05/2026-05-2...
    É realmente lamentável ver montadoras trancando carros comprados a preço premium e travando uma cruzada contra o open source

    • Talvez valha a pena mandar um e-mail para o Louis Rossmann, ele já ajudou pessoas em situações parecidas
    • Isso soa como “você não cometeu nenhuma ilegalidade, mas vamos fazer parecer que cometeu”
      É como deixar a chave de um espaço público embaixo do capacho com um bilhete “a chave está aqui” e depois reclamar que você não podia entrar em um lugar que já era público com essa chave
    • Fico curioso se isso foi movido para outro lugar
      Verifiquei o Codeberg e não estava lá
    • Se eles estão alegando que a criptografia foi quebrada, então acho que, neste caso, a DMCA pode ser apropriada
      Por outro lado, se não existe uma forma oficial de obter um token de autenticação nem de conectar o carro ao Home Assistant, então isso deve ser tratado como uma falha do serviço
      r/opensource_legalaid
      Vamos responder exigindo acesso aos dados

  • Adorei um comentário que traduz a linguagem corporativa para linguagem de gente: https://github.com/robinostlund/homeassistant-volkswagencarn...
    Por que eles estão dando um tiro no próprio pé? Isso é mesmo uma fonte de receita relevante? Isso realmente aumenta a segurança?

    • Eles não estão dando um tiro no próprio pé
      A grande maioria dos usuários não se importa, e algum gerente intermediário da MySkoda pode reportar: “bloqueamos um grande risco de segurança e colocamos de volta no lugar dados valiosos de ~~gado~~ usuários”
    • Eu vi diretamente o tráfego gerado pelo Home Assistant, e o modelo de uso está invertido
      Infraestrutura, servidores e largura de banda custam dinheiro
      Para o bem ou para o mal, a maioria dos dispositivos não tem interface local
      Nos últimos 1–2 anos surgiram alguns dispositivos Matter, mas nem todos os dados e funções são oferecidos via Matter, e é improvável que dispositivos antigos sejam atualizados para suportá-lo
      Além disso, o HA é um app executado localmente e centrado no local, então sem desenvolvimento adicional do lado do OEM ele não combina bem com sistemas de API/entrega de dados baseados em nuvem
      Por fim, quando fizemos as contas nos sistemas internos, o tráfego do HA ao longo de 24 horas era cerca de 20% do total, enquanto a participação de usuários era menor que 1%
      Isso porque cada instância chama a API diretamente a cada poucos minutos, ou até com mais frequência
      Se um executivo ouvir esses números, provavelmente vai mandar bloquear
      Independentemente de estar certo ou errado, é assim que as pessoas reagem
    • Sobre a conversa de fonte extra de receita, antes já era preciso uma assinatura WeConnect para acessar os dados da VW
      Era preciso pagar 100 euros por ano, mas naquela época ainda era possível acessar os mesmos dados por outros apps ou automações
      Agora, mesmo já pagando a assinatura, para acessar os mesmos dados é obrigatório usar o WeConnect e seus parceiros
    • Porque as pessoas ainda assim vão comprar o carro
      O usuário médio não liga muito para privacidade, e fomos condicionados a ficar dessensibilizados
      Isso realmente é uma fonte de receita, e não aumenta a segurança
    • A maioria dos executivos toma decisões comercialmente desvantajosas para ganhar mais poder
      Quase como uma lei dos negócios, executivos priorizam o próprio poder antes da margem de lucro da empresa
      Esse é um dos motivos pelos quais terceirização de desenvolvimento continuou popular, mesmo sem reduzir custos e sendo um desastre comercial
      Nessa relação, os executivos estavam muito mais no banco do motorista do que quando trabalhavam conosco
      Há quem diga que o segmento consumidor do Home Assistant “não importa”, mas na prática importa sim
      Ainda assim, no fundo é uma questão entre o ganho visível de controlar os dados e a perda menos visível da boa vontade do consumidor
      Uma empresa não existe apenas para maximizar lucro a qualquer custo
      Acionistas e executivos não formam um corpo único; têm interesses diferentes e às vezes fortemente desalinhados

  • Client Assertion é um recurso do OAuth, mas não é disso que se está falando aqui
    Dá para se confundir, porque isso só aparece no título do HN e não na página original

    • Agora o app exige o uso de Security Assertion do cliente
      Nesse caso, no Android isso é feito pelo Play Protect, e no iOS fica a cargo de alguma coisa que eles usam lá
    • Client attestation talvez seja o termo mais preciso

  • O Google também parece ter participação nisso: https://github.com/robinostlund/homeassistant-volkswagencarn...

    • Sim, o Google está ajudando fabricantes a bloquear acesso à API usando atestado de hardware
      Recentemente bati na mesma parede tentando acessar diretamente a API do MyQ, que abre a porta da minha garagem
      Se o fato de o Google viabilizar esse tipo de prática não violar em nada a lei de concorrência da UE, eu ficaria surpreso

  • Vendo como a cadeia de suprimentos de software virou uma bagunça ultimamente, deixar algo conectado parece uma roleta russa
    Falo isso como alguém que usa Home Assistant há anos
    Principalmente agora, embora meu EV não seja um Volkswagen, conectar isso ao HA parece um autogol bem arriscado
    Três meses atrás certamente teria parecido conveniente

  • Estou no mundo da casa inteligente há muito tempo, e esse é um dos motivos pelos quais abandonei o Home Assistant
    É um projeto muito legal e funcional, mas depende totalmente de as empresas continuarem deixando as APIs abertas ou, mais comumente, de não corrigirem a “mágica” que torna possíveis APIs obtidas por engenharia reversa
    Infelizmente, a tendência dos últimos anos foi desfavorável ao HA
    Tesla, Ring, MyQ, Ecobee e outras vêm fechando suas APIs, normalmente citando “preocupações de segurança”
    Há alguma legitimidade nisso, mas, na minha opinião, na maioria das vezes a motivação é o medo de perder receita de assinatura
    A Tesla cobra caro por apps oficiais com OAuth
    Dito isso, para ser justo, os hacks antigos dependiam de apps OAuth vazados que eles deixaram expostos sem corrigir
    A Ecobee escondeu o HomeKit e alguns recursos atrás da assinatura Security+, o que é quase uma piada considerando como a plataforma de segurança deles é fraca
    A MyQ claramente fez isso para proteger a assinatura anual de US$ 45, e acabou saindo no prejuízo porque o RATGDO é muito melhor
    A Ring, por algum motivo, ainda funciona, mas o suporte ao HomeKit Secure Video é extremamente instável por causa do medo constante de eles desligarem a API
    Para quem, como eu, usava o HA principalmente para integração com o HomeKit, depender do HA é uma bomba-relógio
    Quando me mudei para uma casa nova, foquei em procurar coisas nativamente compatíveis com o HomeKit, sem gambiarra, e graças a isso minha casa inteligente hoje funciona muito melhor

    • Isso parece menos um motivo para abandonar o Home Assistant e mais um motivo para não comprar produtos fechados e somente em nuvem para conectar ao Home Assistant
    • Isso é sair da frigideira e cair no fogo
      Eu também comecei a automação residencial desse jeito, e uma abordagem centrada no HomeKit até que é bem razoável
      O próximo passo que estou considerando é usar HA com dispositivos 100% de controle local, fazendo bridge para o HomeKit
      Dispositivos exclusivos de HomeKit muitas vezes têm uma estabilidade de Wi‑Fi péssima, e acho que hoje em dia faz mais sentido prestar atenção em como Matter/Thread está se saindo
      Tem gente que reclama de Zigbee/Z-Wave, mas, em média, foi muito melhor do que HomeKit baseado em Wi‑Fi
    • Tenho mais de 50 entidades no HA, e não existe empresa no mundo que possa parar sequer uma delas
      Sinceramente, entre as coisas mencionadas, o HA é o que está mais longe de ser uma bomba-relógio

  • Meu próximo carro com certeza não será um Sköda nem um Volkswagen

    • Então em quais marcas você está pensando?

  • Atestação remota deveria ser ilegal, independentemente de quem forneça o certificado raiz, seja Google, Apple ou GrapheneOS
    Hoje, o único uso dessa tecnologia é impedir que as pessoas façam o que quiserem com os dispositivos que possuem e tornar a interoperabilidade criptograficamente impossível
    Como é anticompetitiva, simplesmente deveria ser ilegal

    • Existe uma possibilidade real de que, dentro de 5 a 10 anos, surjam laptops e smartphones usando processadores e sistemas operacionais abertos, com experiência de uso e SO comparáveis ou melhores que os produtos proprietários
      Mas, se a atestação remota se espalhar mais, pode se tornar criptograficamente difícil usar qualquer serviço, o que na prática tornaria esses dispositivos inúteis para o consumidor médio
    • Isso já é ilegal na UE sob o EU Data Act
      Os executivos da VW são apenas criminosos que não se importam, achando que ainda podem distorcer a lei como antigamente
    • O que você realmente quer são serviços ou produtos sem API
      Ou seja, que funcionem sem nuvem
      Ou então escolher produtos ou empresas que forneçam explicitamente acesso à API do produto
    • Ficar gritando que não existe absolutamente nenhum uso legítimo para atestação remota simplesmente não faz sentido
      Dá para usar isso quando eu implanto um dispositivo que eu possuo em um ambiente onde pessoas indesejadas podem ter acesso físico e extrair credenciais
      Também é necessário quando se quer que as pessoas acessem informações sensíveis da empresa apenas em dispositivos corporativos e não possam copiar livremente os dados acessíveis para qualquer outro lugar
      Também é necessário para impedir que alguém use um celular como terminal de pagamento com cartão, mostre um valor na tela e na verdade autorize outro
      Concordo com bastante firmeza que tudo o que eu possuo deveria fornecer os dados que gera em formatos abertos, mas dizer que a atestação não tem nenhum uso legítimo não corresponde aos fatos