Volkswagen ने client assertion की आवश्यकता के कारण Home Assistant को ब्लॉक किया

 (github.com/robinostlund)
1 पॉइंट द्वारा GN⁺ 14 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Issue #967 अभी भी Open स्थिति में है, और संबंधित आइटम के रूप में #971 तथा नवीनतम रिलीज़ v5.4.7 दिखाई देते हैं, लेकिन उपलब्ध चर्चा से यह पुष्टि नहीं होती कि अंतिम समाधान हो चुका है या नहीं
  • शुरुआती रिपोर्ट के अनुसार Home Assistant के homeassistant-volkswagencarnet का authentication समाप्त होने के बाद ईमेल और पासवर्ड से दोबारा लॉगिन करना संभव नहीं रहा, जबकि Android app और browser login काम करते रहे
  • पुनरुत्पादन की प्रक्रिया ईमेल और पासवर्ड दर्ज करना है, और error message इस प्रकार दिखाई देता है: Anmeldung bei Volkswagen Connect nicht möglich. Bitte überprüfe deine Zugangsdaten und stelle sicher, dass der Dienst verfügbar ist.
  • एक प्रतिभागी ने इसे bug नहीं बल्कि Volkswagen द्वारा API को स्थायी रूप से निष्क्रिय किए जाने का परिणाम माना, और बाद में दूसरे प्रतिभागी ने संक्षेप में बताया कि एक official paid API और एक free unofficial API है, जिनमें से दूसरा अब काम नहीं कर रहा
  • कुछ उपयोगकर्ताओं ने बताया कि web login संभव है, लेकिन API और app काम नहीं कर रहे या app का response बहुत धीमा है, जबकि दूसरे उपयोगकर्ता ने कहा कि Android app login संभव था लेकिन Home Assistant restart के बाद वही समस्या फिर हुई
  • CarConnectivity-plugin-mqtt के काम करने की रिपोर्ट थी, लेकिन यह आपत्ति भी सामने आई कि क्योंकि यह वही API इस्तेमाल करता है, इसलिए मौजूदा सेटअप token expire होने तक ही चल सकता है और नए उपयोगकर्ताओं के लिए शायद काम न करे
  • एक अन्य उपयोगकर्ता ने बताया कि CarConnectivity-plugin-mqtt को पहली बार इस्तेमाल करने पर भी उसने नए authentication token के साथ data प्राप्त किया, इसलिए इस विकल्प की दीर्घकालिक व्यवहार्यता पर चर्चा में अंतिम निष्कर्ष नहीं निकला
  • Skoda EV Facebook forum में संबंधित बदलाव साझा किए गए थे, और एक प्रतिभागी जिसने कोई आधिकारिक घोषणा नहीं देखी, उसका मानना था कि यह बदलाव पूरे VAG ब्रांड समूह को प्रभावित कर सकता है
  • विकल्प के रूप में Smartcar और Tibber का उल्लेख हुआ; Smartcar के मामले में vehicle data flow और GDPR लागू होने पर चर्चा हुई, और एक उपयोगकर्ता ने कहा कि उसने Smartcar के जरिए इसे “फिलहाल चलने लायक” बना लिया और wbyoung/smartcar#110 की टिप्पणी साझा की
  • Tibber के बारे में रिपोर्ट थी कि यह Home Assistant की डिफ़ॉल्ट Tibber integration के साथ काम करता है, लेकिन यह चिंता जताई गई कि अगर Tibber enterprise API access की लागत चुका रहा है, तो वह लंबे समय तक बिना भुगतान वाले नए उपयोगकर्ताओं की बढ़ती संख्या को शायद स्वीकार न करे
  • एक प्रतिभागी ने Skoda की सूचना का अर्थ यह निकाला कि यह सीधे पैसे माँगने के बजाय API उपयोगकर्ताओं को Volkswagen में register करने की बात है, और उसने पूछा कि क्या project registration किया गया है; maintainer ने उत्तर दिया कि अब उसके पास Volkswagen वाहन नहीं है, इसलिए उसने यह प्रक्रिया स्वयं आगे नहीं बढ़ाई
  • maintainer का मानना था कि registration के लिए संभवतः user-specific keys की आवश्यकता होगी, और उसने जाँच तथा project maintenance में मदद करने वाले लोगों की आवश्यकता बताई, इसलिए समाधान की दिशा फिलहाल community support पर निर्भर बनी हुई है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 14 시간 전
Hacker News टिप्पणियाँ

  • क्या EU Data Act ठीक इसी तरह की स्थिति को रोकने के लिए नहीं बनाया गया था? खासकर Article 4 और 5 यहाँ लागू होते दिखते हैं: https://digital-strategy.ec.europa.eu/en/policies/data-act
    इसमें कहा गया है कि अगर उपयोगकर्ता कनेक्टेड प्रोडक्ट या संबंधित सेवा के डेटा तक सीधे पहुंच नहीं पा सकता, तो डेटा धारक को बिना देरी के उपयोगकर्ता को आसान, सुरक्षित, मुफ्त, structured, commonly used, machine-readable format में पहुंच देनी चाहिए, और जहाँ आवश्यक व तकनीकी रूप से संभव हो वहाँ निरंतर/real-time access भी देनी चाहिए
    वाहन डेटा पर EU का अलग guidance भी है: https://digital-strategy.ec.europa.eu/en/library/guidance-ve...

    • सही, यह Data Act के तहत access rights वापस पाने वाला मामला लगता है
      लेकिन यह शायद GDPR के Article 79 जैसा ढांचा नहीं है, जहाँ आप सीधे Volkswagen के खिलाफ access claim ला सकें: https://gdpr-info.eu/art-79-gdpr/
      enforcement mechanism पर ज्यादा लेख नहीं मिले, इसलिए मैंने regulation खुद देखा; Article 39 के मुताबिक पहले अपने residence member state द्वारा नामित competent authority के पास शिकायत करनी पड़ती है: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:...
      अगर वह authority कोई कार्रवाई नहीं करती, तो national law के तहत effective judicial remedy या विशेषज्ञता वाली independent body द्वारा review पाने का अधिकार बनता है
      लेकिन उस स्थिति में मुकदमा कंपनी पर नहीं बल्कि उस competent authority पर होता दिखता है, और 39(3) इस बात को साफ करता है
      उम्मीद है मैं गलत हूँ
      Muñoz vs. Superior Fruiticola जैसे case law की तरह यह तर्क लागू हो सकता है कि “उस दायित्व को civil procedure से enforce किया जा सकना चाहिए”, लेकिन मुझे भरोसा नहीं, और यह GDPR के explicit route से काफी कमजोर है: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELE...
      अगर किसी के पास Data Act को व्यक्ति स्तर पर enforce करने के बेहतर स्रोत हों, तो जानना चाहूँगा
    • Volkswagen की अपनी EU Data Act साइट भी है: https://drivesomethinggreater.com/eu-data-act

  • कई दूसरे manufacturers ने भी यही काम किया है
    मैं charging status लेने के लिए reverse-engineered Polestar library इस्तेमाल कर रहा हूँ, लेकिन मुझे भरोसा नहीं कि वे भी यही रोक नहीं लगाएंगे, इसलिए मैं वही काम करने वाला CAN bus sniffer बना रहा हूँ
    यह कोई बहुत बड़ा revenue source भी नहीं लगता, और जो लोग प्रोडक्ट से सबसे गहराई से जुड़े हैं उन्हें नाराज़ करता है, इसलिए समझ नहीं आता ऐसा क्यों करते हैं

    • कुछ CAN messages में वे पहले से cryptographic authentication जोड़ चुके हैं ताकि उनमें बदलाव न किया जा सके
      encryption जोड़ना भी शायद बस समय की बात है
      मेरे हिसाब से यह मुख्यतः corporate risk aversion का मामला है
      कोई department मामूली risks की सूची वाला risk assessment लिखता है, जैसे third-party app backend के hack होने की संभावना या local press में “शौकिया डेवलपर ने Home Assistant से जोड़ने के लिए कार hack की” जैसी headlines
      फिर वह सूची घूमती रहती है, कोई middle manager जिम्मेदारी नहीं लेना चाहता, और कोई officially approved positive use case भी नहीं होता, तो एक-एक करके कठोर countermeasures design और implement हो जाते हैं
    • हाँ, किसी भी segment में Home Assistant को पूरी तरह अपनाने वाली पहली कंपनी को sales या marketing में अच्छा फायदा मिल सकता है
      IKEA इसका एक ठीक-ठाक उदाहरण हो सकता है
    • यह जर्मन कंपनी BSH के साथ दिलचस्प contrast बनाता है
      Bosch और Siemens appliances वाली तरफ लगता है कि उन्होंने Home Connect platform को खोलने को EU के data transparency और portability नियमों के compliance का हिस्सा माना है
    • कारों के साथ interface कर पाने की क्षमता मूल रूप से “सब कुछ encrypt करो” वाली regulatory direction से टकराती है
      automotive RISC-V में क्या हो रहा है, या EU Cyber Resilience Act की requirements देख लीजिए
    • आपकी ज़रूरत के लिए एक open source product WiCAN हो सकता है: https://www.meatpi.com/products/wican-pro

  • BYD ने मेरे पूरे vehicle connectivity repository पर DMCA request भेज दी: https://github.com/github/dmca/blob/master/2026/05/2026-05-2...
    यह सच में दुखद है कि premium दाम देकर खरीदी गई कारों को automakers lock कर देते हैं, और open source के खिलाफ धर्मयुद्ध जैसा रवैया अपनाते हैं

    • Louis Rossmann को email भेजना अच्छा विचार हो सकता है, उन्होंने पहले भी ऐसे हालात वाले लोगों की मदद की है
    • यह कुछ ऐसा पढ़ता है जैसे “आपने कुछ illegal नहीं किया, लेकिन हम इसे illegal जैसा दिखाएँगे”
      जैसे किसी सार्वजनिक जगह की चाबी दरवाज़े की मैट के नीचे रखकर “चाबी यहाँ है” लिख दो, और फिर शिकायत करो कि तुम पहले से सार्वजनिक जगह में उस चाबी से घुस गए
    • सोच रहा हूँ क्या आपने इसे कहीं और mirror किया है
      मैंने Codeberg देखा, वहाँ नहीं था
    • अगर उनका दावा है कि encryption तोड़ी गई, तो इस मामले में DMCA शायद लागू हो सकती है
      लेकिन अगर authentication token पाने का कोई आधिकारिक तरीका ही नहीं है, या कार को Home Assistant से जोड़ने का कोई तरीका नहीं है, तो उसे service defect माना जाना चाहिए
      r/opensource_legalaid
      जवाब देकर डेटा access की माँग करें

  • कॉरपोरेट भाषा को इंसानी भाषा में अनुवाद करने वाली यह टिप्पणी वाकई शानदार है: https://github.com/robinostlund/homeassistant-volkswagencarn...
    ये लोग आखिर खुद अपने ही पैर पर कुल्हाड़ी क्यों मार रहे हैं? क्या यह सच में कोई मायने रखने वाला revenue source है? क्या इससे सच में security बढ़ती है?

    • वे अपने ही पैर पर कुल्हाड़ी नहीं मार रहे
      ज़्यादातर users को कोई फ़र्क नहीं पड़ेगा, और MySkoda में काम करने वाला कोई middle manager यह रिपोर्ट कर सकेगा कि “हमने एक बड़े security risk को रोका और कीमती ~~पशुधन~~ user data को वापस वहीं पहुँचा दिया जहाँ वह होना चाहिए था”
    • मैंने Home Assistant द्वारा बनाया गया traffic सीधे देखा है, और usage model उल्टा है
      infrastructure, server, bandwidth — इन सब पर पैसा लगता है
      अच्छा हो या बुरा, ज़्यादातर devices का कोई local interface नहीं होता
      पिछले 1–2 साल में कुछ Matter devices आए हैं, लेकिन हर data और function Matter के ज़रिए उपलब्ध नहीं है, और पुराने devices को Matter support वाला update मिलने की संभावना भी कम है
      इसके अलावा HA एक local-run, local-first app है, इसलिए OEM की तरफ़ से अतिरिक्त development के बिना यह cloud-based API/data delivery system के साथ अच्छी तरह फिट नहीं बैठता
      आख़िर में, जब हमने internal system में हिसाब लगाया, तो 24 घंटे में HA traffic कुल traffic का लगभग 20% था, जबकि users का हिस्सा 1% से भी कम था
      क्योंकि हर instance हर कुछ मिनट में, या उससे भी ज़्यादा बार, सीधे API को call करता है
      कोई executive यह संख्या सुनेगा तो शायद block करने को कहेगा
      सही-ग़लत से अलग, लोग अक्सर इसी तरह प्रतिक्रिया देते हैं
    • अतिरिक्त revenue source वाली बात पर, पहले भी VW data तक पहुँचने के लिए WeConnect subscription चाहिए होती थी
      सालाना 100 euro देने पड़ते थे, बस तब फ़र्क इतना था कि दूसरे apps या automation से उसी data तक पहुँचा जा सकता था
      अब तो subscription fee पहले से देने के बाद भी उसी data तक पहुँचने के लिए आपको सिर्फ़ WeConnect और उसके partners का ही इस्तेमाल करना पड़ेगा
    • क्योंकि लोग फिर भी कार खरीदेंगे
      औसत user को privacy की बहुत परवाह नहीं होती, और हमें सुन्न हो जाने की आदत डलवा दी गई है
      यह सच में एक revenue source है, और इससे security नहीं बढ़ती
    • ज़्यादातर executives ज़्यादा power पाने के लिए ऐसे फ़ैसले लेते हैं जो business के लिए नुकसानदेह होते हैं
      यह लगभग business का नियम जैसा है कि executive, company की profit margin से पहले अपनी power को प्राथमिकता देते हैं
      coding outsourcing लागत नहीं घटाती थी और commercial तौर-तरीक़े से भी disaster थी, फिर भी उसके लोकप्रिय होने की एक वजह यही थी
      उस रिश्ते में executives, हमारे साथ काम करने की तुलना में, कहीं ज़्यादा driver’s seat में होते थे
      कुछ लोग कहते हैं कि Home Assistant consumer segment “महत्वपूर्ण नहीं” है, लेकिन हक़ीक़त में है
      फिर भी असल मुद्दा data पर control से मिलने वाले दिखने वाले फ़ायदे और consumer goodwill खोने से होने वाले कम दिखने वाले नुकसान के बीच का है
      कोई company ऐसी चीज़ नहीं होती जो किसी भी क़ीमत पर सिर्फ़ profit ही maximize करे
      shareholders और executives एक ही शरीर के हिस्से नहीं हैं; उनके हित अलग होते हैं और कभी-कभी काफ़ी टकराते भी हैं

  • Client Assertion OAuth की एक सुविधा है, लेकिन यहाँ जिस चीज़ पर चर्चा हो रही है वह यह बिल्कुल नहीं है
    भ्रम हो सकता है, क्योंकि यह सिर्फ़ HN title में है और मूल पेज पर नहीं आता

    • अब app, client की Security Assertion के इस्तेमाल की माँग करता है
      इस मामले में Android पर यह Play Protect करता है, और iOS पर उनकी तरफ़ का कोई और सिस्टम इसे संभालता है
    • Client attestation शायद ज़्यादा सही शब्द है

  • लगता है Google भी इसमें शामिल है: https://github.com/robinostlund/homeassistant-volkswagencarn...

    • सही है, Google hardware attestation का इस्तेमाल करके vendors को API access रोकने में मदद कर रहा है
      हाल ही में मैंने अपनी garage door opener API, MyQ, को सीधे access करने की कोशिश की और वहीं जाकर टकराया
      अगर Google का इस तरह के व्यवहार को संभव बनाना EU competition law का ज़रा भी उल्लंघन नहीं करता, तो यह हैरानी की बात होगी

  • हाल में software supply chain का जो हाल हुआ है, उसे देखते हुए किसी भी चीज़ को connect करके रखना Russian roulette जैसा लगता है
    यह बात मैं एक ऐसे व्यक्ति के रूप में कह रहा हूँ जो कई सालों से Home Assistant इस्तेमाल कर रहा है
    ख़ासकर अभी, जबकि मेरी EV Volkswagen नहीं है, उसे HA से जोड़ना काफ़ी जोखिम भरा self-own जैसा लगता है
    हालाँकि सिर्फ़ 3 महीने पहले तक यह निश्चित रूप से काफ़ी सुविधाजनक था

  • मैं लंबे समय से smart home इस्तेमाल कर रहा हूँ, और यही उन वजहों में से एक है जिनके कारण मैंने Home Assistant छोड़ दिया
    यह बहुत शानदार और फीचर-समृद्ध प्रोजेक्ट है, लेकिन यह पूरी तरह इस बात पर निर्भर करता है कि कंपनियाँ API खुले रखें, या उससे भी ज़्यादा आम तौर पर, reverse-engineered API को संभव बनाने वाले जादू जैसे पैच न करें
    दुर्भाग्य से पिछले कुछ सालों का रुझान HA के खिलाफ रहा है
    Tesla, Ring, MyQ, Ecobee आदि API बंद करते आए हैं, और आमतौर पर “security concerns” को वजह बताते हैं
    कुछ हद तक इसमें दम है, लेकिन मेरे हिसाब से ज़्यादातर मामलों में असली वजह subscription revenue खोने का डर है
    Tesla आधिकारिक OAuth apps के लिए काफी पैसे लेता है
    हालांकि, निष्पक्ष रूप से देखें तो पुराने hacks leaked OAuth apps पर निर्भर थे, जिन्हें उन्होंने patch नहीं किया और यूँ ही छोड़ दिया था
    Ecobee ने HomeKit और कुछ features को Security+ subscription के पीछे छिपा दिया, जो उनकी कमजोर security platform को देखते हुए मज़ाक जैसा है
    MyQ ने साफ तौर पर अपने $45/साल subscription को बचाने के लिए ऐसा किया, और क्योंकि RATGDO उससे कहीं बेहतर है, आखिरकार नुकसान उनका ही हुआ
    Ring किसी वजह से अभी भी काम करता है, लेकिन इस डर की वजह से कि वे API बंद कर सकते हैं, HomeKit Secure Video support बहुत अस्थिर है
    मेरे जैसे लोगों के लिए, जो HA को मुख्य रूप से HomeKit integration के लिए इस्तेमाल करते थे, HA पर निर्भरता एक time bomb है
    नए घर में शिफ्ट होने पर मैंने ऐसी चीज़ें ढूँढने पर ध्यान दिया जो बिना किसी workaround के native तौर पर HomeKit-compatible हों, और उसकी वजह से अब मेरा smart home बहुत बेहतर चलता है

    • यह Home Assistant छोड़ने की वजह से ज़्यादा, Home Assistant से जोड़ने के लिए closed, cloud-only products न खरीदने की वजह जैसा लगता है
    • यह तो फ्राइंग पैन से निकलकर आग में कूदने जैसा है
      मैंने भी home automation की शुरुआत इसी तरह की थी, और HomeKit-केंद्रित सेटअप काफ़ी ठीक भी है
      अगला कदम मैं ऐसा setup देख रहा हूँ जिसमें 100% local-control devices वाले HA को HomeKit से bridge किया जाए
      HomeKit-only devices में अक्सर Wi-Fi stability बहुत खराब होती है, और आजकल Matter/Thread कैसे काम कर रहा है इस पर ज़्यादा ध्यान देना पड़ेगा
      कुछ लोग Zigbee/Z-Wave की शिकायत करते हैं, लेकिन औसतन वह Wi-Fi आधारित HomeKit से कहीं बेहतर रहा है
    • मेरे HA में 50 से ज़्यादा entities हैं, और दुनिया की कोई भी कंपनी उनमें से एक भी बंद नहीं कर सकती
      ईमानदारी से कहूँ तो, जिन चीज़ों का यहाँ ज़िक्र हुआ है, उनमें HA time bomb से सबसे दूर है

  • मेरी अगली कार निश्चित रूप से Sköda या Volkswagen नहीं होगी

    • तो फिर आप किस brand के बारे में सोच रहे हैं?

  • Remote attestation को, चाहे root certificate Google दे, Apple दे या GrapheneOS, गैरकानूनी बनाने वाला कानून होना चाहिए
    इस तकनीक का इस समय एकमात्र उपयोग यह है कि लोगों को उनके अपने डिवाइस पर वह करने से रोका जाए जो वे करना चाहते हैं, और interoperability को cryptographically असंभव बनाया जाए
    यह anti-competitive है, इसलिए इसे बस अवैध होना चाहिए

    • अगले 5–10 सालों में open processors और operating systems इस्तेमाल करने वाले, और proprietary products जितना या उससे बेहतर user experience और OS देने वाले laptop और smartphone आने की वास्तविक संभावना है
      लेकिन अगर Remote attestation और फैल गया, तो cryptographic रूप से किसी भी service का उपयोग करना मुश्किल हो जाएगा, और औसत उपभोक्ता के लिए ऐसे डिवाइस लगभग बेकार बन सकते हैं
    • EU में तो यह पहले से ही EU Data Act के तहत अवैध है
      VW executives बस अपराधी हैं जिन्हें लगता है कि वे पहले की तरह कानून को मोड़ सकते हैं, इसलिए उन्हें परवाह नहीं है
    • असल में ज़रूरत ऐसे services या products की है जिनमें API ही न हो
      यानी वे cloud के बिना भी काम करने चाहिए
      या फिर ऐसे products या कंपनियाँ चुननी चाहिए जो product के लिए API access साफ तौर पर उपलब्ध कराएँ
    • यह चिल्लाना कि remote attestation का कोई वैध उपयोग ही नहीं है, बस बेतुकी बात है
      इसका उपयोग तब हो सकता है जब मैं अपने स्वामित्व वाले डिवाइस ऐसे माहौल में deploy करूँ जहाँ अनचाहे लोग physical access पाकर credentials निकाल सकते हों
      यह तब भी ज़रूरी हो सकता है जब लोगों को केवल company-issued devices से sensitive company information तक पहुँचने देना हो, और accessible data को कहीं और मनमाने ढंग से कॉपी करने से रोकना हो
      यह मोबाइल फोन को card payment terminal की तरह इस्तेमाल करते समय स्क्रीन पर एक राशि दिखाकर असल में दूसरी राशि authorize करने से रोकने के लिए भी ज़रूरी हो सकता है
      मैं इस बात का काफ़ी मज़बूती से समर्थन करता हूँ कि मेरी हर owned चीज़ जो data बनाती है, वह खुले format में उपलब्ध होना चाहिए, लेकिन यह कहना कि attestation के कोई legitimate use cases नहीं हैं, तथ्यात्मक रूप से गलत है