ich habe mir ein smartes Gerät gekauft. Dieses kann per Bluetooth vom Smartphone angesteuert werden. Ich möchte es ebenfalls mit meinem Computer ansprechen, was der Hersteller nicht vorsieht (hab ihn angeschrieben, er ist nicht kooperativ).
Die App verlangt das Anlegen eines Benutzeraccounts beim Hersteller und setzt beim Initialisieren des Gerätes ein Passwort für die Bluetooth-Verbindung fest.
Nun brauche ich das Passwort, welches die App setzte. Was darf ich tun, um dieses zu erhalten?
- HTTP-Traffic zwischen App und Server mitschneiden?
- HTTPS-Traffic (mit Hilfe eines eigenen Zertifikates) zwischen App und Server mitschneiden?
- Die App entpacken/decompilen?
- Eigene Daten/Anfragen direkt an den ermittelten Server senden?
- Die App modifizieren (z.B. Cert-Pinning umgehen)?
- Die App in einer VM laufen lassen, dort in Speicherinhalte einsehen?
- Einen Bluetooth-Sniffer einsetzen und Bluetooth-Traffic mitschneiden?
- Weitere Ideen, was ich darf oder nicht darf?
Für den unverhofften Fall, dass ich dann mehr Daten erhalte, als ich sollte (z.B. einen Teil der Datenbank mit einigen Namen und E-Mail Adressen), wie sollte ich damit umgehen? Hätte ich mich dann bereits strafbar gemacht? Müsste ich das dann sofort irgendwo (wo?) melden wegen der DSGVO?
Das Versuchen, sich an einem fremden System mit erdachten Logindaten anzumelden, ist ja auch legal, das einloggen selbst jedoch illegal. Man weiß aber zuvor nicht, ob man auf der legalen Passwort-Falsch-Seite landet oder auf der illegalen Willkommen, Admin-Seite landet. Das 1. ist zwar deutlich wahrscheinlicher, das 2. jedoch nicht ausgeschlossen. Ich möchte rechtlich schon gerne sicher im erlaubten Bereich bleiben.
Vielen Dank euch schonmal.