Hacking meines smarten Gerätes bzw. dessen Serververbindung

Domainrecht, Software-Lizenzrecht, Internetauktionshaus [Name geändert], Internetauktionsrecht....

Moderator: FDR-Team

Antworten
Pixtxa
Topicstarter
Interessierter
Beiträge: 7
Registriert: 13.09.17, 14:45

Hacking meines smarten Gerätes bzw. dessen Serververbindung

Beitrag von Pixtxa » 20.02.19, 10:02

Hey ihr,

ich habe mir ein smartes Gerät gekauft. Dieses kann per Bluetooth vom Smartphone angesteuert werden. Ich möchte es ebenfalls mit meinem Computer ansprechen, was der Hersteller nicht vorsieht (hab ihn angeschrieben, er ist nicht kooperativ).
Die App verlangt das Anlegen eines Benutzeraccounts beim Hersteller und setzt beim Initialisieren des Gerätes ein Passwort für die Bluetooth-Verbindung fest.

Nun brauche ich das Passwort, welches die App setzte. Was darf ich tun, um dieses zu erhalten?
  • HTTP-Traffic zwischen App und Server mitschneiden?
  • HTTPS-Traffic (mit Hilfe eines eigenen Zertifikates) zwischen App und Server mitschneiden?
  • Die App entpacken/decompilen?
  • Eigene Daten/Anfragen direkt an den ermittelten Server senden?
  • Die App modifizieren (z.B. Cert-Pinning umgehen)?
  • Die App in einer VM laufen lassen, dort in Speicherinhalte einsehen?
  • Einen Bluetooth-Sniffer einsetzen und Bluetooth-Traffic mitschneiden?
  • Weitere Ideen, was ich darf oder nicht darf?
Es ist mein Gerät, ich habe es gekauft, bin somit Eigentümer und Besitzer, ich nutze es alleine. Es sollte mir m.E. erlaubt sein, es zu hacken.

Für den unverhofften Fall, dass ich dann mehr Daten erhalte, als ich sollte (z.B. einen Teil der Datenbank mit einigen Namen und E-Mail Adressen), wie sollte ich damit umgehen? Hätte ich mich dann bereits strafbar gemacht? Müsste ich das dann sofort irgendwo (wo?) melden wegen der DSGVO?
Das Versuchen, sich an einem fremden System mit erdachten Logindaten anzumelden, ist ja auch legal, das einloggen selbst jedoch illegal. Man weiß aber zuvor nicht, ob man auf der legalen Passwort-Falsch-Seite landet oder auf der illegalen Willkommen, Admin-Seite landet. Das 1. ist zwar deutlich wahrscheinlicher, das 2. jedoch nicht ausgeschlossen. Ich möchte rechtlich schon gerne sicher im erlaubten Bereich bleiben.

Vielen Dank euch schonmal.

Zafilutsche
FDR-Mitglied
FDR-Mitglied
Beiträge: 5909
Registriert: 24.07.07, 09:47
Wohnort: Rhein/Ruhrgebiet

Re: Hacking meines smarten Gerätes bzw. dessen Serververbind

Beitrag von Zafilutsche » 20.02.19, 12:57

Pixtxa hat geschrieben:Es ist mein Gerät, ich habe es gekauft, bin somit Eigentümer und Besitzer, ich nutze es alleine. Es sollte mir m.E. erlaubt sein, es zu hacken.
Dem könnte eventuell so etwas wie:
"Es ist Ihnen untersagt, selbst oder andere dazu in die Lage zu versetzen, die XYZ-Software zu vervielfältigen, rückzuentwickeln, zu dekompilieren, ..."
entgegen stehen. Ansonsten: Ja- Sie dürfen alles mit ihrem Gerät im gesetzlichen Rahmen machen. (ob verbrennen auch dazu zählt? :mrgreen: )

WHKD2000
FDR-Mitglied
FDR-Mitglied
Beiträge: 745
Registriert: 29.06.13, 18:52

Re: Hacking meines smarten Gerätes bzw. dessen Serververbind

Beitrag von WHKD2000 » 20.02.19, 18:04

Pixtxa hat geschrieben:Hey ihr,

ich habe mir ein smartes Gerät gekauft. Dieses kann per Bluetooth vom Smartphone angesteuert werden. Ich möchte es ebenfalls mit meinem Computer ansprechen, was der Hersteller nicht vorsieht (hab ihn angeschrieben, er ist nicht kooperativ).
Die App verlangt das Anlegen eines Benutzeraccounts beim Hersteller und setzt beim Initialisieren des Gerätes ein Passwort für die Bluetooth-Verbindung fest.

Nun brauche ich das Passwort, welches die App setzte. Was darf ich tun, um dieses zu erhalten?
  • HTTP-Traffic zwischen App und Server mitschneiden?
  • HTTPS-Traffic (mit Hilfe eines eigenen Zertifikates) zwischen App und Server mitschneiden?
  • Die App entpacken/decompilen?
  • Eigene Daten/Anfragen direkt an den ermittelten Server senden?
  • Die App modifizieren (z.B. Cert-Pinning umgehen)?
  • Die App in einer VM laufen lassen, dort in Speicherinhalte einsehen?
  • Einen Bluetooth-Sniffer einsetzen und Bluetooth-Traffic mitschneiden?
  • Weitere Ideen, was ich darf oder nicht darf?
Es ist mein Gerät, ich habe es gekauft, bin somit Eigentümer und Besitzer, ich nutze es alleine. Es sollte mir m.E. erlaubt sein, es zu hacken.

Für den unverhofften Fall, dass ich dann mehr Daten erhalte, als ich sollte (z.B. einen Teil der Datenbank mit einigen Namen und E-Mail Adressen), wie sollte ich damit umgehen? Hätte ich mich dann bereits strafbar gemacht? Müsste ich das dann sofort irgendwo (wo?) melden wegen der DSGVO?
Das Versuchen, sich an einem fremden System mit erdachten Logindaten anzumelden, ist ja auch legal, das einloggen selbst jedoch illegal. Man weiß aber zuvor nicht, ob man auf der legalen Passwort-Falsch-Seite landet oder auf der illegalen Willkommen, Admin-Seite landet. Das 1. ist zwar deutlich wahrscheinlicher, das 2. jedoch nicht ausgeschlossen. Ich möchte rechtlich schon gerne sicher im erlaubten Bereich bleiben.

Vielen Dank euch schonmal.
Bitteschön-ja es ist ihr Ge-rät. :lachen:
dann hacken sie mal schön.
Man kann trotz technischem Wissen schnell in die Illegalität abdriften. 8)

Alles wird leicht.

Pixtxa
Topicstarter
Interessierter
Beiträge: 7
Registriert: 13.09.17, 14:45

Re: Hacking meines smarten Gerätes bzw. dessen Serververbind

Beitrag von Pixtxa » 25.02.19, 01:50

Ja, dass man schnell in die Illegalität abdriften kann, ist mir bewusst. Drum frage ich hier ja inzwischen vorher hier.
Einen Hinweis, ich dürfe die App nicht dekompilieren/entpacken/rückentwickeln oder ähnliches konnte ich nicht finden. Habe dem jedenfalls nirgendwo zugestimmt.
Vielen Dank euch.

Antworten