Volkswagen chặn Home Assistant do yêu cầu client assertion

 (github.com/robinostlund)
1 điểm bởi GN⁺ 14 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Issue #967 vẫn đang ở trạng thái mở, và các mục liên quan hiển thị #971 cùng bản phát hành mới nhất v5.4.7, nhưng chỉ với phần thảo luận được cung cấp thì chưa thể xác nhận vấn đề đã được giải quyết cuối cùng hay chưa
  • Báo cáo ban đầu cho biết sau khi xác thực của homeassistant-volkswagencarnet trong Home Assistant hết hạn, người dùng không thể đăng nhập lại bằng email và mật khẩu, trong khi đăng nhập trên ứng dụng Android và trình duyệt vẫn hoạt động
  • Các bước tái hiện là nhập email và mật khẩu, và thông báo lỗi hiển thị là Anmeldung bei Volkswagen Connect nicht möglich. Bitte überprüfe deine Zugangsdaten und stelle sicher, dass der Dienst verfügbar ist.
  • Một người tham gia cho rằng đây không phải lỗi mà là kết quả của việc Volkswagen vô hiệu hóa API vĩnh viễn, sau đó một người khác tóm tắt rằng có API chính thức trả phí và API không chính thức miễn phí, và loại thứ hai hiện không còn hoạt động
  • Một số người dùng báo cáo rằng đăng nhập web vẫn được nhưng API và ứng dụng không hoạt động hoặc phản hồi của ứng dụng rất chậm; người khác thì cho biết vẫn đăng nhập được trên ứng dụng Android nhưng gặp lại cùng vấn đề sau khi khởi động lại Home Assistant
  • Có báo cáo rằng CarConnectivity-plugin-mqtt vẫn hoạt động, nhưng cũng có ý kiến phản biện rằng vì nó dùng cùng API nên cấu hình hiện có chỉ duy trì đến khi token hết hạn, còn người dùng mới có thể sẽ không dùng được
  • Một người dùng khác báo cáo rằng ngay cả khi dùng CarConnectivity-plugin-mqtt lần đầu, họ vẫn lấy được dữ liệu bằng token xác thực mới, nên tính bền vững của phương án thay thế này vẫn chưa được xác định trong phần thảo luận
  • Các thay đổi liên quan đã được chia sẻ trên diễn đàn Facebook Skoda EV, và một người tham gia nói rằng dù chưa thấy thông báo chính thức, họ cho rằng thay đổi này có thể ảnh hưởng đến toàn bộ các thương hiệu VAG
  • Các phương án thay thế được nhắc đến gồm Smartcar và Tibber; với Smartcar, luồng dữ liệu xe và việc có áp dụng GDPR hay không đã được thảo luận, và một người dùng chia sẻ rằng họ đã làm cho nó “tạm thời hoạt động” bằng Smartcar kèm bình luận trong wbyoung/smartcar#110
  • Có báo cáo rằng Tibber hoạt động qua tích hợp Tibber mặc định của Home Assistant, nhưng cũng xuất hiện lo ngại rằng nếu Tibber đang trả chi phí truy cập API doanh nghiệp thì họ có thể sẽ không chấp nhận lâu dài tình trạng nhiều người dùng mới không trả phí đổ vào
  • Một người tham gia diễn giải rằng thông báo của Skoda không hẳn là yêu cầu trả tiền mà là người dùng API phải đăng ký với Volkswagen, rồi hỏi dự án đã đăng ký chưa; người bảo trì trả lời rằng họ không còn sở hữu xe Volkswagen nữa nên chưa tự mình thực hiện việc đó
  • Người bảo trì cho rằng việc đăng ký có thể sẽ yêu cầu khóa riêng cho từng người dùng, và đã đề nghị cần thêm người hỗ trợ điều tra cũng như duy trì dự án, nên hướng giải quyết hiện vẫn phụ thuộc vào sự hỗ trợ từ cộng đồng

Bài viết liên quan

1 bình luận

 
GN⁺ 14 giờ trước
Ý kiến trên Hacker News

  • Có vẻ như Đạo luật Dữ liệu EU được tạo ra chính xác để ngăn những tình huống như thế này, đặc biệt là Điều 4 và 5 có vẻ liên quan: https://digital-strategy.ec.europa.eu/en/policies/data-act
    Nội dung quy định rằng nếu người dùng không thể trực tiếp truy cập dữ liệu từ sản phẩm được kết nối hoặc dịch vụ liên quan, bên nắm giữ dữ liệu phải cho phép người dùng truy cập không chậm trễ, một cách dễ dàng, an toàn, miễn phí, dưới định dạng có cấu trúc, được sử dụng rộng rãi và máy có thể đọc được, và khi cần thiết cũng như khả thi về mặt kỹ thuật thì phải là liên tục/theo thời gian thực
    EU cũng có hướng dẫn riêng về dữ liệu xe: https://digital-strategy.ec.europa.eu/en/library/guidance-ve...

    • Đúng vậy, đây có vẻ là một lĩnh vực có thể giành lại quyền truy cập nhờ Data Act
      Tuy nhiên, có vẻ nó không được cấu trúc theo kiểu có thể trực tiếp yêu cầu Volkswagen cấp quyền truy cập như Điều 79 GDPR: https://gdpr-info.eu/art-79-gdpr/
      Không có nhiều bài viết về cách thực thi nên tôi đã đọc thẳng quy định, và Điều 39 có vẻ yêu cầu trước tiên phải khiếu nại lên cơ quan có thẩm quyền do quốc gia thành viên nơi cư trú chỉ định: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:...
      Nếu cơ quan đó không thực hiện bất kỳ hành động nào, thì theo luật trong nước sẽ phát sinh quyền được hưởng biện pháp khắc phục tư pháp hiệu quả hoặc được một cơ quan độc lập có chuyên môn xem xét
      Nhưng trong trường hợp đó, có vẻ đối tượng bị kiện không phải công ty mà là cơ quan có thẩm quyền đó, và 39(3) làm rõ điểm này
      Mong là tôi đã hiểu sai
      Có thể lập luận kiểu vụ Muñoz vs. Superior Fruiticola rằng “nghĩa vụ đó phải có thể được thực thi bằng thủ tục dân sự”, nhưng tôi không chắc, và nó yếu hơn nhiều so với con đường mà GDPR nêu rõ: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELE...
      Nếu ai có tài liệu tốt hơn về cách cá nhân có thể thực thi Data Act thì tôi rất muốn biết
    • Volkswagen cũng có trang EU Data Act: https://drivesomethinggreater.com/eu-data-act

  • Khá nhiều hãng khác cũng đã làm điều tương tự
    Tôi đang dùng thư viện Polestar được reverse-engineer để lấy trạng thái sạc, nhưng tôi không thể tin rằng họ sẽ không chặn theo cách tương tự, nên đang làm một CAN bus sniffer để làm việc đó
    Có vẻ đây cũng chẳng phải nguồn doanh thu lớn gì, nên tôi thật sự không hiểu vì sao họ lại làm vậy trong khi còn chọc giận những người gắn bó nhất với sản phẩm

    • Một số thông điệp CAN đã có xác thực mật mã để ngăn sửa đổi
      Có vẻ việc thêm mã hóa chỉ còn là vấn đề thời gian
      Theo tôi, đây chủ yếu là vấn đề né tránh rủi ro của doanh nghiệp
      Một bộ phận nào đó viết báo cáo đánh giá rủi ro với danh sách những nguy cơ nhỏ nhặt, ví dụ khả năng backend của ứng dụng bên thứ ba bị hack hoặc các tiêu đề báo địa phương kiểu “nhà phát triển hobby hack xe để kết nối với Home Assistant”
      Danh sách đó được chuyển vòng quanh, không quản lý cấp trung nào muốn chịu trách nhiệm, và vì không có ca sử dụng tích cực nào được phê duyệt chính thức nên các biện pháp đối phó hà khắc cứ lần lượt được lên kế hoạch và xây dựng
    • Đúng vậy, ở bất kỳ phân khúc nào thì công ty đầu tiên thực sự đón nhận Home Assistant có lẽ sẽ được lợi khá nhiều về bán hàng hoặc marketing
      IKEA có thể xem là một ví dụ khá ổn
    • Đây là một sự đối lập thú vị với BSH, một công ty Đức
      Phía thiết bị gia dụng Bosch và Siemens dường như xem việc mở nền tảng Home Connect là một phần của việc tuân thủ các quy định của EU về minh bạch và khả năng di chuyển dữ liệu
    • Khả năng giao tiếp với ô tô về mặt căn bản xung đột với xu hướng quản lý đang nghiêng về kiểu “mã hóa mọi thứ”
      Cứ nhìn những gì đang diễn ra ở phía RISC-V cho ô tô hoặc các yêu cầu của Đạo luật Cyber Resilience của EU là thấy
    • Có một sản phẩm mã nguồn mở có thể phù hợp nhu cầu là WiCAN: https://www.meatpi.com/products/wican-pro

  • BYD đã gửi yêu cầu DMCA đối với toàn bộ kho lưu trữ kết nối xe của tôi: https://github.com/github/dmca/blob/master/2026/05/2026-05-2...
    Thật đáng thất vọng khi các hãng xe khóa chặt những chiếc xe mua với giá premium và phát động kiểu thập tự chinh chống lại mã nguồn mở

    • Có lẽ nên gửi email cho Louis Rossmann, ông ấy từng giúp những người ở tình cảnh tương tự
    • Cái này đọc lên như kiểu “bạn không làm gì bất hợp pháp, nhưng chúng tôi sẽ làm cho nó trông như bất hợp pháp”
      Giống như để chìa khóa nơi công cộng dưới tấm thảm trước cửa rồi viết “chìa khóa ở đây”, sau đó lại phàn nàn rằng bạn không được dùng chìa khóa đó để vào một không gian vốn đã công khai
    • Không biết họ có chuyển sang nơi khác không
      Tôi đã kiểm tra Codeberg nhưng không thấy ở đó
    • Nếu họ đang tuyên bố rằng bên kia đã phá mã hóa, thì trong trường hợp này DMCA có thể là phù hợp
      Mặt khác, nếu không có cách chính thức để lấy token xác thực hoặc để kết nối xe với Home Assistant, thì đó nên được xem là lỗi dịch vụ
      r/opensource_legalaid
      Hãy phản hồi và yêu cầu quyền truy cập dữ liệu

  • Mình rất thích bình luận đã dịch lối diễn đạt kiểu công ty sang ngôn ngữ đời thường: https://github.com/robinostlund/homeassistant-volkswagencarn...
    Tại sao họ lại tự bắn vào chân mình? Đây có thật sự là một nguồn doanh thu đáng kể không? Nó có thực sự tăng bảo mật không?

    • Họ không tự bắn vào chân mình đâu
      Phần lớn người dùng sẽ không quan tâm, và một quản lý cấp trung nào đó ở MySkoda có thể báo cáo rằng “chúng tôi đã chặn được một rủi ro bảo mật lớn và đưa dữ liệu ~~gia súc~~ người dùng có giá trị trở về đúng chỗ”
    • Tôi đã trực tiếp xem lưu lượng mà Home Assistant tạo ra, và mô hình sử dụng bị đảo ngược
      Hạ tầng, máy chủ, băng thông đều tốn tiền
      Dù thích hay không thì đa số thiết bị không có giao diện cục bộ
      Trong 1–2 năm gần đây có xuất hiện một số thiết bị Matter, nhưng không phải mọi dữ liệu và tính năng đều được cung cấp qua Matter, và các thiết bị cũ nhiều khả năng sẽ không được cập nhật để hỗ trợ Matter
      Hơn nữa, HA là ứng dụng chạy cục bộ, lấy cục bộ làm trung tâm, nên nếu phía OEM không phát triển thêm thì nó không hợp lắm với hệ thống API/truyền dữ liệu dựa trên cloud
      Cuối cùng, khi tính trong hệ thống nội bộ, lưu lượng HA trong 24 giờ chiếm khoảng 20% tổng lưu lượng, trong khi tỷ lệ người dùng lại dưới 1%
      Đó là vì mỗi instance gọi trực tiếp API vài phút một lần, hoặc còn thường xuyên hơn
      Nếu lãnh đạo nghe con số đó thì có lẽ sẽ yêu cầu chặn
      Bất kể đúng sai, người ta thường phản ứng như vậy
    • Liên quan đến chuyện nguồn doanh thu bổ sung, trước đây để truy cập dữ liệu VW thì đã cần gói đăng ký WeConnect rồi
      Phải trả 100 euro mỗi năm, chỉ là lúc đó bạn vẫn có thể truy cập cùng dữ liệu ấy bằng app khác hoặc tự động hóa
      Còn bây giờ, dù đã trả phí thuê bao, bạn vẫn buộc phải dùng WeConnect và các đối tác của họ nếu muốn truy cập chính dữ liệu đó
    • Vì người ta vẫn sẽ mua xe thôi
      Người dùng trung bình chẳng mấy quan tâm đến quyền riêng tư, và chúng ta đã được huấn luyện để trở nên tê liệt cảm xúc với chuyện này
      Đây đúng là một nguồn doanh thu thật, và nó không làm tăng bảo mật
    • Hầu hết lãnh đạo đưa ra những quyết định bất lợi về mặt thương mại để có thêm quyền lực
      Gần như là một quy luật kinh doanh: lãnh đạo ưu tiên quyền lực của bản thân trước biên lợi nhuận của công ty
      Đây cũng là một trong những lý do việc thuê ngoài lập trình từng phổ biến, dù nó không tiết kiệm chi phí và còn là thảm họa về mặt thương mại
      Trong mối quan hệ đó, các lãnh đạo ngồi ghế lái nhiều hơn hẳn so với khi làm việc với chúng tôi
      Có người nói phân khúc người dùng Home Assistant không “quan trọng”, nhưng thực ra là có
      Dù vậy, về bản chất đây là vấn đề giữa lợi ích dễ nhìn thấy là kiểm soát dữ liệu, và tổn thất khó nhìn thấy hơn là đánh mất thiện cảm của người tiêu dùng
      Công ty không phải là thực thể chỉ tối đa hóa lợi nhuận bằng mọi giá
      Cổ đông và lãnh đạo không phải là một cơ thể thống nhất; họ có những lợi ích khác nhau và đôi khi lệch nhau rất xa

  • Client Assertion là một tính năng của OAuth, nhưng thứ đang được bàn ở đây hoàn toàn không phải vậy
    Dễ gây nhầm lẫn vì nó chỉ xuất hiện trong tiêu đề HN chứ không có trên trang gốc

    • Giờ app yêu cầu dùng Security Assertion của client
      Trong trường hợp này, trên Android thì do Play Protect đảm nhiệm, còn trên iOS thì là một thứ gì đó bên đó đang dùng
    • Có lẽ client attestation là cách gọi chính xác hơn

  • Có vẻ Google cũng góp phần vào chuyện này: https://github.com/robinostlund/homeassistant-volkswagencarn...

    • Đúng vậy, Google đang dùng hardware attestation để giúp các vendor chặn truy cập API
      Gần đây tôi cũng đâm vào bức tường tương tự khi cố truy cập trực tiếp API của MyQ, API cho bộ mở cửa garage của tôi
      Sẽ rất ngạc nhiên nếu việc Google tạo điều kiện cho kiểu hành vi này lại hoàn toàn không vi phạm luật cạnh tranh của EU

  • Nhìn vào cảnh chuỗi cung ứng phần mềm gần đây hỗn loạn thế nào, việc kết nối thứ gì đó vào cứ như chơi cò quay Nga vậy
    Tôi nói điều này với tư cách người đã dùng Home Assistant nhiều năm
    Đặc biệt là lúc này, dù xe điện của tôi không phải Volkswagen, việc kết nối nó vào HA vẫn có cảm giác như một pha tự bắn vào chân khá rủi ro
    Mới 3 tháng trước thôi thì rõ ràng nó còn rất tiện

  • Tôi đã làm smart home từ rất lâu, và đây là một trong những lý do tôi rời Home Assistant
    Đây là một dự án rất tuyệt và nhiều chức năng, nhưng nó phụ thuộc hoàn toàn vào việc các công ty tiếp tục mở API, hoặc phổ biến hơn là không vá “phép màu” cho phép dùng các API bị reverse-engineer
    Thật không may, xu hướng vài năm qua là bất lợi cho HA
    Tesla, Ring, MyQ, Ecobee và nhiều bên khác đã đóng API, thường lấy lý do là “lo ngại bảo mật”
    Điều đó có phần chính đáng, nhưng tôi nghĩ động cơ thường là nỗi sợ mất doanh thu đăng ký
    Tesla thu rất nhiều tiền cho các ứng dụng OAuth chính thức
    Tuy vậy, nói công bằng thì các cách hack trước đây dựa vào những ứng dụng OAuth bị rò rỉ mà họ đã bỏ mặc không vá
    Ecobee giấu HomeKit và một số tính năng sau gói đăng ký Security+, điều này nghe như chuyện đùa khi nghĩ đến việc nền tảng bảo mật của họ yếu kém đến mức nào
    MyQ rõ ràng làm vậy để bảo vệ gói đăng ký 45 USD/năm, và rốt cuộc lại tự làm hại mình vì RATGDO tốt hơn nhiều
    Ring thì bằng cách nào đó vẫn còn hoạt động, nhưng vì nỗi lo họ có thể tắt API bất cứ lúc nào nên hỗ trợ HomeKit Secure Video rất bấp bênh
    Với những người như tôi, chủ yếu dùng HA để tích hợp với HomeKit, việc phụ thuộc vào HA là một quả bom hẹn giờ
    Khi chuyển sang nhà mới, tôi tập trung tìm các thiết bị tương thích native với HomeKit mà không cần giải pháp vòng vo, và nhờ vậy smart home hiện giờ hoạt động tốt hơn nhiều

    • Việc này có vẻ không phải là lý do để rời Home Assistant, mà đúng hơn là lý do để không mua các sản phẩm đóng, chỉ hoạt động qua cloud để kết nối với Home Assistant
    • Đó đúng là kiểu nhảy từ chảo rán vào lửa
      Tôi cũng bắt đầu home automation theo cách đó, và hệ sinh thái xoay quanh HomeKit cũng khá ổn
      Bước tiếp theo của tôi là hướng tới cấu hình HA dùng các thiết bị điều khiển cục bộ 100% rồi bridge sang HomeKit
      Các thiết bị chỉ dành cho HomeKit thường có độ ổn định Wi‑Fi rất tệ, và có lẽ giờ nên quan tâm nhiều hơn đến cách Matter/Thread vận hành
      Có người than phiền về Zigbee/Z-Wave, nhưng trung bình thì chúng tốt hơn Wi‑Fi HomeKit rất nhiều
    • Tôi có hơn 50 entity trong HA, và không một công ty nào trên đời có thể làm dừng dù chỉ một cái trong số đó
      Thành thật mà nói, trong số những thứ được nhắc đến thì HA là thứ xa với một quả bom hẹn giờ nhất

  • Chiếc xe tiếp theo của tôi chắc chắn sẽ không phải là Sköda hay Volkswagen

    • Vậy bạn đang nghĩ đến hãng nào?

  • Remote attestation cần phải bị coi là bất hợp pháp, bất kể chứng chỉ gốc do ai cung cấp, Google, Apple hay GrapheneOS
    Công dụng duy nhất của công nghệ này hiện giờ là ngăn người ta làm điều họ muốn với thiết bị họ sở hữu, và khiến khả năng tương tác trở nên bất khả thi về mặt mật mã
    Nó mang tính phản cạnh tranh nên đơn giản là phải bị cấm

    • Trong 5–10 năm tới thực sự có khả năng xuất hiện laptop và smartphone dùng bộ xử lý và hệ điều hành mở, với trải nghiệm người dùng và OS ngang hoặc tốt hơn sản phẩm độc quyền
      Nhưng nếu remote attestation trở nên phổ biến hơn thì sẽ rất khó dùng bất kỳ dịch vụ nào về mặt mật mã, khiến các thiết bị đó về thực tế trở nên vô dụng với người tiêu dùng bình thường
    • Ở EU thì việc này đã là bất hợp pháp theo EU Data Act
      Các lãnh đạo VW chỉ là lũ tội phạm không quan tâm vì nghĩ rằng họ vẫn có thể lách luật như ngày xưa
    • Điều cần tìm thật ra là các dịch vụ hoặc sản phẩm không có API
      Tức là chúng phải hoạt động được mà không cần cloud
      Hoặc phải chọn sản phẩm hay công ty cung cấp quyền truy cập API cho sản phẩm của họ một cách rõ ràng
    • Việc la ó rằng remote attestation hoàn toàn không có mục đích hợp pháp nào là vô lý
      Nó có thể được dùng khi tôi triển khai các thiết bị mình sở hữu trong môi trường mà những người tôi không mong muốn có thể tiếp cận vật lý và trích xuất credential
      Nó cũng cần thiết khi muốn đảm bảo mọi người chỉ truy cập thông tin nhạy cảm của công ty từ các thiết bị do công ty cấp, và không thể tùy tiện sao chép dữ liệu có thể truy cập sang nơi khác
      Nó cũng cần thiết để ngăn việc dùng điện thoại làm thiết bị thanh toán thẻ, hiển thị một số tiền trên màn hình nhưng thực tế lại phê duyệt một số tiền khác
      Tôi khá ủng hộ quan điểm rằng mọi thứ tôi sở hữu nên cung cấp dữ liệu mà nó tạo ra ở định dạng mở, nhưng nói rằng attestation không có chỗ dùng chính đáng nào thì không đúng sự thật