Volkswagen bloquea Home Assistant al exigir client assertion

 (github.com/robinostlund)
1 puntos por GN⁺ 14 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Issue #967 sigue en estado abierto y aparecen como elementos relacionados #971 y la versión más reciente v5.4.7, pero con la discusión disponible no se puede confirmar si ya hubo una solución definitiva
  • El reporte inicial indica que, después de que expiró la autenticación de homeassistant-volkswagencarnet en Home Assistant, ya no fue posible volver a iniciar sesión con correo electrónico y contraseña, mientras que el inicio de sesión en la app de Android y en el navegador siguió funcionando
  • El procedimiento para reproducirlo consiste en ingresar correo electrónico y contraseña, y el mensaje de error que aparece es Anmeldung bei Volkswagen Connect nicht möglich. Bitte überprüfe deine Zugangsdaten und stelle sicher, dass der Dienst verfügbar ist.
  • Un participante opinó que no se trata de un bug, sino del resultado de que Volkswagen deshabilitó permanentemente la API; después, otro participante resumió que existe una API oficial de pago y una API no oficial gratuita, y que esta última ya no funciona
  • Algunos usuarios reportaron que el inicio de sesión web sí funciona, pero que la API y la app no funcionan o que la respuesta de la app es muy lenta; otro usuario reportó que podía iniciar sesión en la app de Android, pero que el mismo problema apareció después de reiniciar Home Assistant
  • Hubo reportes de que CarConnectivity-plugin-mqtt sí funciona, pero surgió la objeción de que, como usa la misma API, la configuración existente solo se mantendría hasta que expirara el token y que para usuarios nuevos podría no funcionar
  • Otro usuario reportó que, incluso usando CarConnectivity-plugin-mqtt por primera vez, obtuvo datos con un nuevo token de autenticación, así que la viabilidad de esa alternativa no quedó confirmada dentro de la discusión
  • En el foro de Facebook de Skoda EV se compartió un cambio relacionado, y un participante que dijo no haber visto un anuncio oficial consideró que este cambio podría afectar a todas las marcas del grupo VAG
  • Como alternativas se mencionaron Smartcar y Tibber; en el caso de Smartcar, se discutieron el flujo de datos del vehículo y si aplica el GDPR, y un usuario compartió que logró hacer que “por ahora funcione” con Smartcar junto con un comentario en wbyoung/smartcar#110
  • Hubo reportes de que Tibber funciona con la integración nativa de Tibber en Home Assistant, pero también se planteó la preocupación de que, si Tibber paga por el acceso a una API empresarial, quizá no permita por mucho tiempo una oleada de nuevos usuarios no de pago
  • Un participante interpretó que el aviso de Skoda no significa que estén pidiendo dinero, sino que los usuarios de la API deben registrarse ante Volkswagen, y preguntó si el proyecto estaba registrado; el mantenedor respondió que ya no tiene un vehículo Volkswagen, así que no lo gestionó directamente
  • El mantenedor consideró que el registro podría requerir claves por usuario y pidió ayuda de alguien que pudiera investigar y colaborar con el mantenimiento del proyecto, por lo que la vía de solución sigue dependiendo del apoyo de la comunidad

Lecturas relacionadas

1 comentarios

 
GN⁺ 14 시간 전
Comentarios de Hacker News

  • Da la impresión de que la EU Data Act se creó justo para evitar situaciones como esta, y en especial parecen aplicar los artículos 4 y 5: https://digital-strategy.ec.europa.eu/en/policies/data-act
    Dice que, si el usuario no puede acceder directamente a los datos de un producto conectado o de un servicio relacionado, el titular de los datos debe ponerlos a su disposición sin demora, de forma fácil, segura, gratuita, en un formato estructurado, de uso común y legible por máquina, y cuando sea necesario y técnicamente posible, de manera continua/en tiempo real
    También hay una guía aparte de la UE sobre datos de vehículos: https://digital-strategy.ec.europa.eu/en/library/guidance-ve...

    • Sí, esto sí parece un ámbito donde la Data Act podría devolver el derecho de acceso
      Pero no parece estar estructurado como el artículo 79 del GDPR, donde se puede reclamar directamente contra Volkswagen para exigir acceso: https://gdpr-info.eu/art-79-gdpr/
      Como no hay mucho escrito sobre cómo se hace cumplir, revisé el reglamento directamente, y el artículo 39 parece indicar que primero hay que presentar una queja ante la autoridad competente designada por el Estado miembro de residencia: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:...
      Si esa autoridad no toma ninguna medida, entonces surge el derecho a una tutela judicial efectiva conforme al derecho nacional o a una revisión por parte de un organismo independiente con experiencia
      Pero en ese caso, parecería que la demanda no sería contra la empresa sino contra esa autoridad competente, y 39(3) deja eso bastante claro
      Ojalá yo esté equivocado
      Tal vez podría aplicarse un razonamiento como en el caso Muñoz vs. Superior Fruiticola, de que “esa obligación debe poder ejecutarse mediante un procedimiento civil”, pero no estoy seguro, y se ve mucho más débil que la vía explícita del GDPR: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELE...
      Si alguien tiene mejores fuentes sobre cómo una persona puede hacer valer la Data Act, me gustaría conocerlas
    • Volkswagen también tiene un sitio de la EU Data Act: https://drivesomethinggreater.com/eu-data-act

  • Bastantes otros fabricantes han hecho prácticamente lo mismo
    Yo uso una librería de Polestar hecha por ingeniería inversa para obtener el estado de carga, pero como no puedo confiar en que ellos no vayan a bloquearla igual, estoy construyendo un sniffer de bus CAN que haga lo mismo
    No parece que esto vaya a ser una gran fuente de ingresos, y no entiendo por qué lo hacen si además molestan a la gente más involucrada con el producto

    • Ya están poniendo autenticación criptográfica en algunos mensajes CAN para que no se puedan modificar
      Parece solo cuestión de tiempo antes de que metan cifrado también
      En mi opinión, es sobre todo un tema de aversión al riesgo corporativo
      Algún departamento redacta una evaluación de riesgos con una lista de riesgos menores, por ejemplo la posibilidad de que hackeen el backend de una app de terceros o un titular en la prensa local tipo “aficionado hackeó su auto para conectarlo a Home Assistant”
      Esa lista circula, ningún gerente intermedio quiere asumir responsabilidad, y como tampoco hay casos de uso positivos aprobados oficialmente, se empiezan a planear e implementar medidas duras, una por una
    • Sí, en cualquier segmento, la primera empresa que adopte Home Assistant por completo probablemente obtendría una ventaja bastante buena en ventas o marketing
      IKEA podría verse como un ejemplo razonablemente bueno
    • Hace un contraste interesante con BSH, otra empresa alemana
      En el lado de electrodomésticos de Bosch y Siemens, parece que vieron la apertura de la plataforma Home Connect como parte del cumplimiento de las normas de la UE sobre transparencia y portabilidad de datos
    • La capacidad de interactuar con un auto choca de fondo con la tendencia regulatoria de “cifrarlo todo”
      Basta ver lo que están haciendo del lado de RISC-V automotriz o los requisitos de la EU Cyber Resilience Act
    • Un producto open source que podría servirte es WiCAN: https://www.meatpi.com/products/wican-pro

  • BYD envió una solicitud DMCA sobre todo mi repositorio de conectividad del vehículo: https://github.com/github/dmca/blob/master/2026/05/2026-05-2...
    Es realmente lamentable que las automotrices bloqueen autos que uno compró a precio premium y le declaren una cruzada al open source

    • Yo le mandaría un correo a Louis Rossmann; ya ha ayudado a personas en situaciones parecidas
    • Esto se lee como “no hiciste nada ilegal, pero vamos a hacer que parezca ilegal”
      Es como dejar la llave de un espacio público debajo del tapete de la entrada con un letrero de “llave aquí”, y luego quejarse de que no deberías usar esa llave para entrar a un lugar que ya era público
    • Me pregunto si lo movieron a otro lado
      Revisé Codeberg, pero no estaba ahí
    • Si lo que alegan es que rompieron el cifrado, entonces creo que en este caso la DMCA podría ser procedente
      En cambio, si no hay un método oficial para obtener el token de autenticación ni para conectar el auto a Home Assistant, entonces eso debería verse como una falla del servicio
      r/opensource_legalaid
      Hay que responder y exigir acceso a los datos

  • Me encantó un comentario que traduce el lenguaje corporativo a lenguaje humano: https://github.com/robinostlund/homeassistant-volkswagencarn...
    ¿Por qué se dispararían en el pie? ¿De verdad es una fuente de ingresos significativa? ¿Realmente mejora la seguridad?

    • No se están disparando en el pie.
      A la gran mayoría de los usuarios no les importa, y algún gerente intermedio en MySkoda puede reportar que “detuvimos un gran riesgo de seguridad y devolvimos los valiosos datos de ~~ganado~~ usuarios a su lugar”.
    • He visto directamente el tráfico que genera Home Assistant, y el modelo de uso está al revés.
      La infraestructura, los servidores y el ancho de banda cuestan dinero.
      Para bien o para mal, la mayoría de los dispositivos no tienen interfaz local.
      En los últimos 1 o 2 años han salido algunos dispositivos Matter, pero no todos los datos ni todas las funciones se ofrecen por Matter, y es muy probable que los dispositivos viejos no se actualicen para soportarlo.
      Además, HA es una app local y centrada en lo local, así que no encaja bien con sistemas de entrega de datos/API basados en la nube sin desarrollo adicional del lado del OEM.
      Por último, cuando hicimos los cálculos en sistemas internos, durante 24 horas el tráfico de HA era alrededor de 20% del total, mientras que representaba menos de 1% de los usuarios.
      Eso pasa porque cada instancia llama directamente al API cada pocos minutos, o incluso con más frecuencia.
      Si un ejecutivo escucha esa cifra, probablemente ordenará bloquearlo.
      Independientemente de si está bien o mal, así es como reacciona la gente.
    • Sobre el tema de ingresos adicionales, antes ya se necesitaba una suscripción a WeConnect para acceder a los datos de VW.
      Había que pagar 100 euros al año, aunque en ese entonces se podía acceder a los mismos datos desde otras apps o automatizaciones.
      Ahora, aunque ya estés pagando la suscripción, para acceder a los mismos datos estás obligado a usar WeConnect y sus socios.
    • Porque la gente igual va a seguir comprando el auto.
      Al usuario promedio casi no le importa la privacidad, y nos han condicionado a volvernos insensibles.
      Sí es una fuente de ingresos real, y no mejora la seguridad.
    • La mayoría de los ejecutivos toma decisiones comercialmente desfavorables para ganar más poder.
      Casi como una ley de negocios: los ejecutivos priorizan su propio poder antes que el margen de ganancia de la empresa.
      Esa es una de las razones por las que la subcontratación de programación fue popular, aunque no reducía costos y era un desastre comercial.
      En esa relación, los ejecutivos estaban mucho más al volante que cuando trabajaban con nosotros.
      Hay quienes dicen que el segmento de consumidores de Home Assistant “no importa”, pero en realidad sí importa.
      Aun así, en el fondo esto se trata del beneficio visible de controlar los datos frente a la pérdida menos visible de la buena voluntad del consumidor.
      Una empresa no es una entidad que solo maximiza ganancias a cualquier costo.
      Los accionistas y los ejecutivos no forman un solo cuerpo: tienen intereses distintos y a veces muy desalineados.

  • Client Assertion es una función de OAuth, pero eso no es en absoluto de lo que se está hablando aquí.
    Puede prestarse a confusión, porque solo aparece en el título de HN y no en la página original.

    • Ahora la app exige usar la Security Assertion del cliente.
      En este caso, en Android lo hace Play Protect, y en iOS se encarga algo que usan de ese lado.
    • Quizá client attestation sea el término más preciso.

  • Parece que Google también tiene parte de responsabilidad en esto: https://github.com/robinostlund/homeassistant-volkswagencarn...

    • Sí, Google está ayudando a que los fabricantes bloqueen el acceso al API mediante atestación por hardware.
      Hace poco me topé con la misma pared al intentar acceder directamente al API de MyQ, el abridor de puerta de mi garaje.
      Me sorprendería mucho que el hecho de que Google haga posible este tipo de prácticas no violara en absoluto la legislación europea de competencia.

  • Viendo el desastre reciente de la cadena de suministro de software, dejar algo conectado se siente como jugar a la ruleta rusa.
    Lo digo como alguien que lleva años usando Home Assistant.
    Sobre todo ahora, aunque mi vehículo eléctrico no es un Volkswagen, conectarlo a HA sí se siente como un riesgo bastante innecesario.
    Y eso que hace apenas 3 meses claramente habría sido conveniente.

  • Llevo mucho tiempo metido en la casa inteligente, y esta es una de las razones por las que dejé Home Assistant
    Es un proyecto muy bueno y funcional, pero depende por completo de que las empresas sigan dejando abiertas sus API o, más comúnmente, de que no parcheen la “magia” que hace posibles las API obtenidas por ingeniería inversa
    Por desgracia, la tendencia de los últimos años ha sido desfavorable para HA
    Tesla, Ring, MyQ, Ecobee y otros han ido cerrando sus API, normalmente alegando “preocupaciones de seguridad”
    Hay algo de justificación, pero creo que en la mayoría de los casos la motivación es el miedo a perder ingresos por suscripción
    Tesla cobra mucho dinero por las apps oficiales con OAuth
    Aunque, siendo justos, los hacks anteriores dependían de apps OAuth filtradas que ellos dejaron expuestas sin parchearlas, así que también hay ese lado
    Ecobee escondió HomeKit y algunas funciones detrás de la suscripción Security+, lo cual es casi un chiste considerando lo débil que es su plataforma de seguridad
    MyQ claramente lo hizo para proteger su suscripción anual de 45 dólares, y al final se perjudicaron porque RATGDO es mucho mejor
    Ring de algún modo todavía funciona, pero el soporte para HomeKit Secure Video es muy inestable por el temor constante de que apaguen la API
    Para alguien como yo, que usaba HA principalmente para integrar con HomeKit, depender de HA es una bomba de tiempo
    Cuando me mudé a una casa nueva, me enfoqué en buscar cosas compatibles de forma nativa con HomeKit y sin rodeos, y gracias a eso mi casa inteligente ahora funciona mucho mejor

    • Esto parece menos una razón para dejar Home Assistant y más una razón para no comprar productos cerrados y solo en la nube para conectarlos a Home Assistant
    • Eso es pasar de la sartén al fuego
      Yo también empecé la automatización del hogar de esa misma manera, y un enfoque centrado en HomeKit no está nada mal
      Lo siguiente que estoy viendo es una configuración donde HA use dispositivos con control 100% local y haga de puente hacia HomeKit
      Los dispositivos exclusivos de HomeKit muchas veces tienen una estabilidad Wi‑Fi pésima, y creo que hoy en día hay que prestar más atención a cómo están funcionando Matter/Thread
      Hay gente que se queja de Zigbee/Z-Wave, pero en promedio me ha ido muchísimo mejor que con HomeKit basado en Wi‑Fi
    • Tengo más de 50 entidades en HA, y no hay ninguna empresa en el mundo que pueda hacer que aunque sea una de ellas deje de funcionar
      Sinceramente, de todo lo mencionado, creo que HA es lo más alejado posible de ser una bomba de tiempo

  • Está claro que mi próximo auto no será un Sköda ni un Volkswagen

    • Entonces, ¿qué marcas estás considerando?

  • La atestación remota debería ser ilegal sin importar quién proporcione el certificado raíz, ya sea Google, Apple o GrapheneOS
    En este momento, el único uso de esta tecnología es impedir que la gente haga lo que quiera con dispositivos que posee y volver criptográficamente imposible la interoperabilidad
    Es anticompetitiva, así que simplemente debería ser ilegal

    • Hay una posibilidad real de que en 5 a 10 años existan laptops y smartphones con procesadores y sistemas operativos abiertos, con una experiencia de usuario y un OS igual o mejor que los productos propietarios
      Pero si la atestación remota se vuelve más común, podría ser criptográficamente difícil usar cualquier servicio, así que para el consumidor promedio esos dispositivos podrían volverse prácticamente inútiles
    • En la UE ya es ilegal bajo la EU Data Act
      Los ejecutivos de VW solo son criminales a los que no les importa porque creen que todavía pueden torcer la ley como antes
    • Lo que realmente hay que buscar son servicios o productos sin API
      Es decir, que funcionen sin la nube
      O, en su defecto, elegir productos o empresas que proporcionen explícitamente acceso por API al producto
    • Decir a gritos que la atestación remota no tiene ningún uso legítimo simplemente no tiene sentido
      Puede servir cuando despliego un dispositivo que me pertenece en un entorno donde personas no deseadas pueden tener acceso físico y extraer credenciales
      También hace falta cuando quieres que la gente solo acceda a información sensible de la empresa desde dispositivos corporativos, y que no pueda copiar sin más los datos accesibles a cualquier otro lugar
      También hace falta para evitar que alguien use un teléfono como terminal de pago con tarjeta, muestre una cantidad en pantalla y en realidad apruebe otra distinta
      Estoy bastante de acuerdo en que todo lo que poseo debería entregar los datos que genera en un formato abierto, pero decir que la atestación no tiene usos legítimos no es cierto en absoluto