Forum: Offtopic Thermomix Rezeptchips


von Mixxer (Gast)


Lesenswert?

Hallo,

es gibt seit diesem Monat einen neuen Thermmix TM5. An diesen kann 
kontaktlos ein "Rezeptchip" angeklipst werden, von dem der Thermomix 
dann Repzepte lesen und anzeigen kann. Siehe auch 
https://www.youtube.com/watch?v=WtqrjkmOZ64
Weis jemand welche Technologie dahinter streckt? RFID?

VG

Mixxer

: Verschoben durch User
von Manuel X. (vophatec)


Lesenswert?

1
Der Rezept-Chip "Das Kochbuch" bietet Ihnen mehr als 200 leckere und alltagstaugliche Gerichte

RFID.. genau. und wo kommen die Daten her?

Hast du dir das Video das du selbst gepsotet hast auch angeschaut? Und 
direkt bei Laufzeit von 2 Sekunden die Ausbuchtung für den Chip 
entdekct, welcher 4 Kontakte hat?

Oder soll das einfach nur Werbung werden ?!

: Bearbeitet durch User
von Ohne Worte (Gast)


Lesenswert?


von Markus M. (adrock)


Lesenswert?

...diese Chips halte ich ja für eine Fehlentwicklung. Wieso nicht gleich 
WLAN und/oder Bluetooth eingebaut?

Wäre mir eh zu blöd zu einem Kochassistenten bzw. Automatenbediener 
degradiert zu werden... da brate ich mir lieber ein ehrliche Currywurst 
:-)

Mittlerweile gibt es ja auch schon Kaffeevollautomaten die per App 
gesteuert werden können... brauchen tut man das in der Tat nicht...

von Georg A. (georga)


Lesenswert?

> Mittlerweile gibt es ja auch schon Kaffeevollautomaten die per App
> gesteuert werden können... brauchen tut man das in der Tat nicht...

Weil sowieso immer entweder der Wasser- oder Bohnenbehälter leer sind 
oder der Trester voll... Das Modell Primadonna von DeLonghi heisst ja 
auch nicht umsonst so, es zickt dauernd rum ;)

von Matthias L. (malo)


Lesenswert?

Um mal ganz kurz auf das eigentliche Thema zurückzukommen: Mich 
interessiert die Thematik und die eventuellen technischen Möglichkeiten, 
die Funktionen des Rezept-Chips nutzen zu können, ebenfalls. Leider habe 
ich noch kein Gerät hier, ist aber bestellt und sollte in absehbarer 
Zeit ankommen.

Der 4-polige Anschluss ist deutlich zu sehen, die interessante Frage 
ist, ob das etwas komplett proprietäres ist oder ob dort auf 
irgendwelche Standards zurückgegriffen wird. Gibt es hier sonst noch 
Thermomix-Nutzer, die diese Thematik interessiert und ggf. etwas 
(produktives) dazu beisteuern können?

Anwendungen, die ich mir für "später" vorstellen könnte: Irgendein 
Gadget, welches es ermöglich, direkt im Internet gefundene Rezepte dort 
laden zu können, oder selbst zusammengestelltes, etc...

von Max G. (l0wside) Benutzerseite


Lesenswert?

Vier Anschlüsse lassen mich spontan an I²C denken, dann kann man in den 
Rezeptchips einfach ganz normales I2C-Flash verbauen.

Kannst ja mal messen, ob irgendwo eine Betriebsspannung zu messen ist, 
irgendwas zwischen 1,8V und 5V.

Max

von Matthias L. (malo)


Lesenswert?

Max G. schrieb:

> Kannst ja mal messen, ob irgendwo eine Betriebsspannung zu messen ist,
> irgendwas zwischen 1,8V und 5V.

Wie gesagt, leider ist das Gerät noch nicht da, kann ich aber mal tun 
sobald ichs habe. Wie hoch ist denn das Risiko, irgendwas zu grillen, 
wenn man einfach mit dem Multimeter an den Anschlüssel ausprobiert?

von Udo S. (urschmitt)


Lesenswert?

Kochen hat was mit Geschmack, schmecken, Wissen und handwerklichem 
Geschick zu tun. Da hilft weder eine Smartphone App, noch ein Chip 
Kochbuch und auch kein Thermomix.
Oder warum findest du sowas in keiner professionellen Küche?

Aber die Firma Thermomix lebt gut von denen, die denken wenn man 
möglichst teure Gerätschaften kauft kann man auf einmal auch kochen.
Genau wie die Leute, die sich für tausende Euros Outdoorklamotten kaufen 
um dann 3 mal im Jahr eine 2 Stunden Wanderung zu machen.

Trotzdem viel Spass damit.

von Entsetzter (Gast)


Lesenswert?

Mixxer schrieb:
> es gibt seit diesem Monat einen neuen Thermmix TM5. An diesen kann
> kontaktlos ein "Rezeptchip" angeklipst werden, von dem der Thermomix
> dann Repzepte lesen und anzeigen kann.

Bis eben habe ich noch nie von einem "Thermomix" gehört. Da verlinkte 
Werbevideo erinnerte mich sofort an:

  http://de.wikipedia.org/wiki/Idiocracy

von Alex W. (a20q90)


Lesenswert?

Cool! Da können dann Drittanbieter "Rezeptchips" für Thermomix anbieten!
Oder Hobbybastler machen daraus ihr eigenes "Hackfood" :-) was 
irgendwann von Strafverfolgungsbehörden ins Visier gerät!

von Peter R. (pnu)


Lesenswert?

Keine proprietäre Schnittstelle anwenden, wenn der Hersteller mit einer 
solchen dem Kunden völlig sinnlose und überteuerte Soft-oder Hardware 
andrehen kann???

Das wäre das gleiche wie eine genormte Tintenpatrone für Tintendrucker.

Da fließt eher das Wasser Donau- oder Rhein-aufwärts.

von Sebastian (Gast)


Lesenswert?

Ich denke, aufgrund der Haupt-Zielgruppe dieses Gerätes wird man 
wahrscheinlich einfach eine Standardschnittstelle verwendet haben. Das 
kann durchaus I2C sein. Unschädlich ist es sicherlich, die Verbindung 
zwischen Gerät und Rezeptchip mit einem Logikanalyzer anzuzapfen. Diese 
gibt es PC-basiert recht günstig, es reicht wahrscheinlich auch ein "Bus 
Pirate". Allerdings sagt das Busprotokoll noch nichts über das 
Datenformat im Speicher, das kann durchaus proprietär sein.

von Jojo S. (Gast)


Lesenswert?

da diese Chips 30-50 € kosten wird Vorwerk kaum Interesse daran haben 
die Schnittstelle offen zu legen und den Markt den Billiganbietern zu 
überlassen. Ich denke die Daten werden verschlüsselt gespeichert und 
übertragen.

von Udo S. (urschmitt)


Lesenswert?

Jojo S. schrieb:
> da diese Chips 30-50 € kosten wird Vorwerk kaum Interesse daran haben
> die Schnittstelle offen zu legen und den Markt den Billiganbietern zu
> überlassen.

Ihr könnt darauf wetten einen Thermomix mit Messer und Gabel zu essen, 
dass die Firma Vorwerk das garantiert mit Patenten abgesichert hat. Die 
haben Jahrzehnte ihre Staubsauger völlig überteuert verkauft und hatten 
meines Wissens Patente auf Rotaionsbürsten am Saugerkopf, die wissen 
genau wie man Gewinnmaximierung betreibt.

von Harald (Gast)


Lesenswert?

Max G. schrieb:
> Vier Anschlüsse lassen mich spontan an I²C denken, dann kann man
> in den
> Rezeptchips einfach ganz normales I2C-Flash verbauen.
>

Mich lassen vier Anschlüsse spontan an USB denken, dann habe ich eine 
leistungsfähige Schnittstelle und sehr günstigen Massenspeicher.

von Harald (Gast)


Lesenswert?

Markus M. schrieb:
> ...diese Chips halte ich ja für eine Fehlentwicklung. Wieso nicht gleich
> WLAN und/oder Bluetooth eingebaut?
>

War auch mein erster Gedanke, allerdings:
Thermomix hat einen typischen Produktzyklus von 10 Jahren. Überlege mal 
den Wandel der Funkschnittstellen in den zurückliegenden 10 Jahren. Was 
willst Du nehmen WiFi b/g/n? Oder ac? Bluetooth 3.x, 4.0 oder 5.x?

Da haben die mit Ihren Chips mehr Ruhe. Und der App-Gedanke wird über 
die festen "Rezept-IDs" realisiert, d.h. die Inhalte werden einfach 
parallel gehalten. So kann man mobil trotzdem seine Einkaufsliste etc. 
haben.

von JojoS (Gast)


Lesenswert?

USB braucht aber einen Controller, das kostet wieder ein paar cent mehr.

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

JojoS schrieb:
> USB braucht aber einen Controller, das kostet wieder ein paar cent mehr.

Weißt Du, was ein "Thermomix" kostet?

von JojoS (Gast)


Lesenswert?

Rufus Τ. Firefly schrieb:
> Weißt Du, was ein "Thermomix" kostet?

Ja, aber auch bei Vorwerk werden BWLer sitzen.
Man müsste recht schnell rauskriegen wo die Versorgungsspannung anliegt 
und dann die Datenpins mit einem Logikanalysator angucken.

von Markus M. (Firma: EleLa - www.elela.de) (mmvisual)


Lesenswert?

Die Thermomix sind echt gut. Wir machen jetzt sogar Nutella selbst. Die 
Tante hat den schon seit über 10 Jahren und tut immer noch bestens.

Ist zwar teuer in der Anschaffung, dafür hält das Ding auch.

Nicht nur zerkleinern, nein auch Kochen mit Umrühren und Wiegen der 
Zutaten.

von Sprachloser (Gast)


Lesenswert?

Rufus Τ. Firefly schrieb:
> Weißt Du, was ein "Thermomix" kostet?

Knapp 1000,- € für einen Mixer mit Heizung?!?! Ach Du schöne Scheisse!

von Markus M. (Firma: EleLa - www.elela.de) (mmvisual)


Lesenswert?

Das ist echt nicht nur ein Mixer. Der macht aus Zucker Puderzucker.

von Markus M. (Firma: EleLa - www.elela.de) (mmvisual)


Lesenswert?

Für alle die es nicht wissen:

In den Thermomix schmeißt man nacheinander die Zutaten rein, wiegt die 
damit auch ab und zwischendurch mal mixen/rühren usw. und schon ist es 
fertig.
Mit dem Rezeptchip ist das ganze schon eine Erleichterung, da würde dann 
genau auf dem Display stehen was als nächstes dran kommt und stellt 
automatisch die Waage ein. Wenn alles drin ist den Deckel drauf und der 
rührt so wie es sein soll.
Um z.B. Nüsse zu mahlen muss man bisher immer im Buch nachschauen welche 
Einstellung man nehmen sollte und wie lange. Damit wäre das Buch im 
Gerät integriert. Ich finde die Idee ist ganz nett.

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Markus Müller schrieb:
> In den Thermomix schmeißt man nacheinander die Zutaten rein, wiegt die
> damit auch ab und zwischendurch mal mixen/rühren usw. und schon ist es
> fertig.

Ja. Allerdings kann man mit dem Ding keine normalen Rezepte umsetzen, 
sondern alles muss speziell auf die Eigenheiten des Thermomix angepasst 
sein.

Wenn man gar keine Küchenaustattung und gar keine Kocherfahrung hat, 
dann ist ein Thermomix sicherlich 'ne tolle Kiste.

Sonst aber ... löst das Ding Probleme, die zumindest ich nicht habe.

(Ich habe mir mal eine Thermomix-Vorführung und -Verkostung angetan)

von mein Name (Gast)


Lesenswert?

Betreutes Kochen.

Anrösten geht nicht, weil der nur 120°C schafft. Also kommen 
Röstzwiebeln an das Gulasch, hmm lecker. Von Mahlen darf man auch nicht 
sprechen, es ist ein häckseln, nicht mehr und nicht weniger.

Ein guter Herd mit einem anständigen Topf, Messer und Kochlöffel. Das 
ist kochen.

von genervt (Gast)


Lesenswert?

Markus Müller schrieb:
> In den Thermomix schmeißt man nacheinander die Zutaten rein, wiegt die
> damit auch ab und zwischendurch mal mixen/rühren usw. und schon ist es
> fertig.
> Mit dem Rezeptchip ist das ganze schon eine Erleichterung, da würde dann
> genau auf dem Display stehen was als nächstes dran kommt und stellt
> automatisch die Waage ein. Wenn alles drin ist den Deckel drauf und der
> rührt so wie es sein soll.

Super, da ist ja fast kein Unterschied zum Fertiggericht mehr! ;I)

von Sprachloser (Gast)


Lesenswert?

Also, ich koche ja nicht zu oft. Meistens meine bessere Hälfte.

Aber wenn ich koche, ist das seltenste was ich mache mixen, und das 
zweitseltenste etwas abwiegen. Was soll man denn abwiegen? Drei Tomaten, 
4 Moorrüben oder das Filet vom Metzger? Die Hauptarbeit ist doch die 
ganze Schnippelei.

Gut, beim Backen sind mal einige Zutaten zu wiegen und genauer 
abzumessen. Aber beim "normalen" kochen sieht, fühlt und schmeckt man 
doch, ob irgendetwas noch rein muss, etwas zu wenig ist, oder irgendwie 
was zu tun ist. Die Zutaten sind doch selbst so unterschiedlich. Man 
denke nur mal an die unzähligen Kartoffelsorten. Jeder Garzeit ist da 
doch nur eine grobe Hausnummer.

Abgesehen davon kann dieser beheizte Mixer doch nur breiartiges 
zubereiten? Soll das für Zahnlose sein?

Das Problem das mit dem Gerät gelöst werden soll, erschließt sich mir 
überhaupt nicht. Es sei denn, für die Käufe bedeutet kochen, 
verschiedene Pulver zusammen zu rühren. Aber dazu brauche ich so ein 
Teil nicht.

von Lothar M. (Firma: Titel) (lkmiller) (Moderator) Benutzerseite


Lesenswert?

JojoS schrieb:
> USB braucht aber einen Controller
Das Ding hat einen Touchscreen, da könnte der eingesetzte Controller 
schon USB können. Ich würde angesichts der genau 4 Pins auf USB setzen. 
Dann könnte man auch toll ein Softwareupdate oder Diagnose darüber 
betreiben...

Sprachloser schrieb:
> Abgesehen davon kann dieser beheizte Mixer doch nur breiartiges
> zubereiten?
Im Werbevideo ist bei ca. 1:25 ganz klar eine Pizza und ein Brot zu 
sehen. Dann erwarte ich, dass der das auch kann!

Rufus Τ. Firefly schrieb:
> (Ich habe mir mal eine Thermomix-Vorführung und -Verkostung angetan)
Ja, und?

von Martin P. (billx)


Lesenswert?

Warum wird hier eigentlich mal wieder eine Sinn / Unsinn disskusion 
geführt? Das is doch völlig irrelevant für was IHR es haltet.

Back to Topic:

Im Endeffekt ists nur Raten ohne das irgendwer mal captured was da so 
abläuft. Wie groß sind denn so die Maximalen i2c flash speicher? Ich hab 
ehr das gefühl USB denn da sind die speicher so billig... da kann man 
dann in der Tat ganze rezeptbücher mit Bildern und allem drauf ablegen?!

von Matthias L. (malo)


Lesenswert?

Martin P....... schrieb:
> Im Endeffekt ists nur Raten ohne das irgendwer mal captured was da so
> abläuft.
Leider fehlts mir dabei sowohl gerade noch am Thermomix als auch 
irgendwelcher Capturing-Hardware. Aber beides lösbar ;) (Empfehlungen 
für Hardware können mir gerne ausgesprochen werden).

>Wie groß sind denn so die Maximalen i2c flash speicher? Ich hab
> ehr das gefühl USB denn da sind die speicher so billig... da kann man
> dann in der Tat ganze rezeptbücher mit Bildern und allem drauf ablegen?!
Auf dem Chip sind - soweit ich das während der Vorführung erkennen 
konnte - Rezepte gespeichert, pro Rezept ein Bild und eine 
Schritt-für-Schritt-Anleitung á la "Werfen Sie jetzt 400g XYZ in den 
Topf", wenn man auf Weiter klickt erscheinen dann vordefinierte Werte 
für Dauer, Temperatur und Intensität und mit Knopfdrehen bestätigt man 
dann, dass das Messer losrotieren soll. Die Erkennung von dem Chip 
dauert nach Anstecken grob geschätzt 3-5 Sekunden (was irgendwie zu USB 
passt :D), Rezepte sind auf dem Chip nach Kategorien und alphabetisch 
durchsuchbar (was man theoretisch übers Datenformat lösen könnte).

Mehr Infos hab ich (leider) noch nicht.

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

>> Abgesehen davon kann dieser beheizte Mixer doch nur breiartiges
>> zubereiten?
> Im Werbevideo ist bei ca. 1:25 ganz klar eine Pizza und ein Brot zu
> sehen. Dann erwarte ich, dass der das auch kann!

Oh, jemand der erwartet, daß das, was die Reklame suggeriert, mit der 
Realität zu tun hat.

Pizza und Brot werden als Teig im Thermomix vorbereitet, aber das 
eigentliche Backen erfolgt nicht im Thermomix. Da braucht man einen 
Backofen. Wurde der in der Reklame nicht erwähnt?

Ein Brotbackautomat ist hier im Vorteil, der kann zwar auch keine 
Pizza anfertigen, aber wenigstens ein Brot backen.


>> (Ich habe mir mal eine Thermomix-Vorführung und -Verkostung angetan)
> Ja, und?

Naja, wenn man auf dampfgegartes Essen steht, oder kleingemöllertes, 
dann geht das so. Für alles andere (Braten, Backen etc.) braucht man 
dann doch noch andere Gerätschaften.

Ich bin ja durchaus technikaffin, aber so etwas kommt mir nicht ins 
Haus.

von Einhart P. (einhart)


Lesenswert?

Matthias Lohr schrieb:
> Max G. schrieb:
 Wie hoch ist denn das Risiko, irgendwas zu grillen,

Boah ey, der kann auch grillen! Muss habe ;-)

von Andreas D. (rackandboneman)


Lesenswert?

Das Lustige ist ja dass es eine Menge Küchenkleingeräte gibt die auf dem 
Prinzip "Thermostatisch gehaltener Behälter, mit oder ohne zusätzliche 
Agitation" basieren - Fritteusen, Eismaschinen, Schokoladenmaschinen, 
Crockpots, Joghurtbereiter, Reiskocher ... und dennoch haben sich da 
lauter Einzelapparate statt einer (nicht überteuerten) vermeintlich 
naheliegenden Kombilösung durchgesetzt...

von Agent K. (b-feld)


Lesenswert?

Hallo Forum,

dieser Chip rastet Magnetisch am Gerät ein.
Die vier Pins werden dadurch an den Kontakten gehalten.
...Zerlegen durfte ich noch nicht...

Auf dem Thermomix läuft ein Linux, was ja schon mal interessant ist.
Das spuckt er in den Infos aus.
Linux kernel 2.6.35.3-imx
Busybox 1.15.0
kobs-ng 10.12.01
mtd-utils 201006
util-linux 2.21.2
logrotate 3.8.3
dhcpd (ISC) 3.0.3b1
libpng 1.2.35
libjpeg 6b
libfreetype 2.4.8
libsqlite 3.7.16


...und Grundsätzlich ist so ein Gerät die Vorbereitung aufs 
Seniorenheim.
Nur noch kleingehacktes und püriertes... :-)

: Bearbeitet durch User
von Matthias L. (malo)


Lesenswert?

Cool! Wie bist du an die Infos gekommen?

von Agent K. (b-feld)


Lesenswert?

Ganz einfach über das Menü.
Irgendwo in den Einstellungen.

von Michael E. (Firma: irgendeine) (nodalek)


Lesenswert?

Agent K. schrieb:
> Hallo Forum,
>
> dieser Chip rastet Magnetisch am Gerät ein.
> Die vier Pins werden dadurch an den Kontakten gehalten.
> ...Zerlegen durfte ich noch nicht...
>
> Auf dem Thermomix läuft ein Linux, was ja schon mal interessant ist.
> Das spuckt er in den Infos aus.
> Linux kernel 2.6.35.3-imx

Läuft da wirklich ein Linux drauf, oder war das ein Witz?
Warum braucht man dafür schon ein Linux und wahrscheinlich einen nicht 
mehr ganz so einfachen 32bit Prozessor?
Bootet der dann bei jedem Einschalten, oder legt er sich in einen 
Energiearmen Standby-Modus und sollte immer eingesteckt bleiben?
Unser TM31 muss sich ja die Steckdose mit der Kaffeemaschine teilen.
Und wie bedient sich so ein Touchscreen mit schmierigen Fingern?

Jedenfalls wäre das dann der Beweis dafür, dass Linux Hausfrauentauglich 
ist. ;)

von Matthias L. (malo)


Lesenswert?

Wenn da Linux/BusyBox drauf ist, müsste man doch eigentlich von Vorwerk 
den Quellcode für den Thermomix anfordern können... GPL und so...

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Michael m. schrieb:
> Warum braucht man dafür schon ein Linux und wahrscheinlich einen nicht
> mehr ganz so einfachen 32bit Prozessor?

Weil es schlichtweg einfacher ist, ein fertiges OS auf einem 32-Bit-µC 
laufen zu lassen, als es selbst zu stricken. Das spart etliches an 
Entwicklungskosten, auch wenn die eigentliche Aufgabe vermutlich auch 
mit irgendeinem 8-Bit-µC mit handgedengeltem Assembler lösbar wäre.

Nur ist es deutlich teurer, das zu entwickeln und vor allem zu warten.

Ein fertiges Betriebssystem enthält eine vollständige Dateisystem- und 
Treiberunterstützung, und gerade für Linux gibt es Softwaremodule und 
Entwicklungssysteme wie Sand am Meer.
Und es gibt für verbreitete 32-Bit-µCs auch komplett angepasste 
Linux-Distributionen, so daß annähernd gar kein Portierungsaufwand 
besteht, so daß bei der Entwicklung nur noch die eigentliche 
Benutzeranwendung sowie die wenigen hardwarespezifischen Dinge 
(Benutzerschnittstelle wie Display und Bedienelemente) zu 
berücksichtigen sind.


Daß ein 32-Bit-µC etwas mehr Geld kostet als ein 8-Bit-µC, ist 
demgegenüber marginal, vor allem, wenn man sich die Kosten des 
Endproduktes ansieht.

Ist ja nicht so, daß ein "Thermomix" ein Gerät der 
unter-hundert-Euro-Klasse wäre, das in gigantischen Stückzahlen verkauft 
wird, so daß sich jeder am Einzelgerät gesparte Cent deutlich auswirken 
würde.

von El Patron B. (bastihh)


Lesenswert?

Ohne alles gelesen zu haben, jedoch dem YouTube- Link verfolgt:

Diese Apparillos gehören wohl mit zu den größten 
Ressourcenverschwendungen..

von Oliver S. (phetty)


Lesenswert?

Agent K. schrieb:
> dhcpd (ISC) 3.0.3b1

Wozu das??? Hat das Ding etwa auch noch WLAN oder eine 
Etherschnittstelle?

von Michael B. (laberkopp)


Lesenswert?

Markus Müller schrieb:
> Für alle die es nicht wissen:
> In den Thermomix schmeißt man nacheinander die Zutaten rein, wiegt die
> damit auch ab und zwischendurch mal mixen/rühren usw. und schon ist es
> fertig.

Merkwürdig, ich mache mir mein Essen anders.

Aus dem Thermomix kann höchstens Astronatennahrung bzw. Babynahrung 
kommen.

Ich brauche mehrere Töpfe und Pfannen, manchmal einen Grill oder 
Backofen, und auf dem Teller liegt kein hingeschissener Haufen, sondern 
mehrere Dinge nebeneinander garniert.

Aber der Müsli-Generation ist es vermutlich egal.

Rufus Τ. Firefly schrieb:
> Pizza und Brot werden als Teig im Thermomix vorbereitet, aber das
> eigentliche Backen erfolgt nicht im Thermomix

Wozu braucht man dann einen Thermomix und nicht bloss eine Schüssel ?

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Michael Bertrandt schrieb:
> Ich brauche mehrere Töpfe und Pfannen, manchmal einen Grill oder
> Backofen, und auf dem Teller liegt kein hingeschissener Haufen, sondern
> mehrere Dinge nebeneinander garniert.

So schlimm muss das Zeug aus dem Thermomix nun auch nicht sein; der 
bietet durchaus die Möglichkeit, mehrere Dinge nacheinander und auch 
gleichzeitig anzufertigen - so kann eine Suppe gekocht und Gemüse o.ä. 
gleichzeitig in einem Dampfgaraufsatz zubereitet werden.

Wäre das einfach eine Art Fleischwolf mit Heizung, würden nicht so viele 
Hausfrauen (das ist das übliche Publikum) mit Tupperware-artigen 
Werbeveranstaltungen drauf ... reinf^h^h^h^abfahren.

> Wozu braucht man dann einen Thermomix und nicht bloss eine Schüssel ?

Eine Schüssel rührt nicht. Wenn Du Mehl etc. in eine Schüssel kippst und 
eine halbe Stunde später wiederkommst, ist da immer noch Mehl etc. in 
der Schüssel, und kein fertiggekneter Teig.

Das Konzept der Arbeitsersparnis durch Küchenmaschinen ist Dir 
unbekannt?

von Simon K. (simon) Benutzerseite


Lesenswert?

Rufus Τ. Firefly schrieb:
> Michael Bertrandt schrieb:
>> Ich brauche mehrere Töpfe und Pfannen, manchmal einen Grill oder
>> Backofen, und auf dem Teller liegt kein hingeschissener Haufen, sondern
>> mehrere Dinge nebeneinander garniert.
>
> So schlimm muss das Zeug aus dem Thermomix nun auch nicht sein; der
> bietet durchaus die Möglichkeit, mehrere Dinge nacheinander und auch
> gleichzeitig anzufertigen - so kann eine Suppe gekocht und Gemüse o.ä.
> gleichzeitig in einem Dampfgaraufsatz zubereitet werden.
Nö, das schlimme ist, dass man 1000€ ausgibt um offenbar Suppe 
(einfacher?!) zu kochen.

> Das Konzept der Arbeitsersparnis durch Küchenmaschinen ist Dir
> unbekannt?
Allerdings ist die Vielseitigkeit von den bekannten "Küchenmaschinen" um 
einiges höher, als bei einem Mixer mit Heizung. Zudem sind die Dinger 
gleichzeitig oft wesentlich günstiger.

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Simon K. schrieb:
> Nö, das schlimme ist, dass man 1000€ ausgibt um offenbar Suppe
> (einfacher?!) zu kochen.

Das bestreite ich ja gar nicht.

> Allerdings ist die Vielseitigkeit von den bekannten "Küchenmaschinen" um
> einiges höher, als bei einem Mixer mit Heizung.

Das Ding ist eher eine Küchenmaschine mit Heizung; es kann schon etwas 
mehr als ein Mixer. So ist beispielsweise auch eine Waage eingebaut.

Damit wir uns richtig verstehen:

Ich will so ein Ding nicht haben. Ich koche mit Gas.

Wenn man aber diese Dinger kritisiert, dann nicht mit falschen oder 
unvollständigen Argumenten.
Ein Thermomix ist praktisch, aber unnötig. Und er passt aufgrund der 
völlig anders aufgebauten Rezepte auch nicht in eine bereits etablierte 
Küchen-/Koch-Kombination.

von Markus M. (Firma: EleLa - www.elela.de) (mmvisual)


Lesenswert?

Dazu kommt noch, dass wenn man mit dem Thermomix kocht, dass der auch 
weniger Strom verbraucht da die Heizung direkt im Topf mit drin ist, 
anders als bei einem normalen Herd.

von Simon K. (simon) Benutzerseite


Lesenswert?

Markus Müller schrieb:
> Dazu kommt noch, dass wenn man mit dem Thermomix kocht, dass der
> auch
> weniger Strom verbraucht da die Heizung direkt im Topf mit drin ist,
> anders als bei einem normalen Herd.

Wie schnell hat man denn die 1000€ Mehrausgaben dann wieder drin durch 
geringeren Stromverbrauch? ;-)
Und wenn Rufus sowieso mit Gas kocht, hat das Argument noch weniger 
Rückendeckung.

von Einhart P. (einhart)


Lesenswert?

Markus Müller schrieb:
> Dazu kommt noch, dass wenn man mit dem Thermomix kocht, dass der auch
> weniger Strom verbraucht da die Heizung direkt im Topf mit drin ist,
> anders als bei einem normalen Herd.

Mit einem Induktionsherd verglichen ist das marginal und auch nach 100 
Betriebjahren nicht zu rechnen. Ich denke bei den meisten jetzt 
begeisterten Käufern steht das Gerät in zwei Jahren nutzlos herum.

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Markus Müller schrieb:
> Dazu kommt noch, dass wenn man mit dem Thermomix kocht, dass der auch
> weniger Strom verbraucht da die Heizung direkt im Topf mit drin ist,
> anders als bei einem normalen Herd.

Das ist ein eher theoretisches Argument. Der Anteil des Stromverbrauches 
durchs Kochen am Gesamtstromverbrauch eines Haushaltes liegt bei etwa 
9%*.

Wenn also durch den besseren Wirkungsgrad des Thermomix angenommene 30% 
Einsparung möglich sein sollten, sind das tatsächlich 2.7%.

Bei einem angenommenen Jahresstromverbrauch von 4 MWh sind das 108 kWh 
Einsparung, bei 30ct/kWh also 32.4 EUR.

Damit hat sich der Thermomix bei Anschaffungskosten von 1000 EUR schon 
in weniger als 31 Jahren armortisiert.

*) Quelle: 
http://www.energieagentur.nrw.de/_database/_data/datainfopool/erhebung_wo_bleibt_der_strom.pdf

von Michael E. (Firma: irgendeine) (nodalek)


Lesenswert?

Was ist der Vorteil des Thermomixers?

Man muss nicht die ganze Zeit am Herd stehen und umrühren.
Man muss nicht dauernd die Uhrzeit kontrollieren, oder wenn die Eieruhr 
läutet zum Ofen rennen und dann ausschalten.  Wenn man noch keinen Mixer 
hat, ist er schon mal ein guter Mixer ;)
Er geht gut zum kleinhacken/schnippseln von Dingen.
Ideal ist das Ding z.B. zum Soßen machen oder Pudding machen, 
Semmelknödel etc.

: Bearbeitet durch User
von Tho W. (tommyprog)


Lesenswert?

Mich würde es mal interessieren, ob jemand weiß, wie genau dort die 
Heizung aufgebaut ist?
Sind das Heizstäbe aus einen Thermomix- Sonder- Material?

Wie genau funktioniert da eigentlich die Ansteuerung von "Deckelauf" - 
"Essenrein"- "Fertig" - "Deckelauf" -"Essenraus"?

Hat da jemand schon Erfahrung (sicherlich hat niemand bis auf Vorwerk 
den Quellcode)

Mfg,
tommyProg

von Matthias L. (malo)


Lesenswert?

Wie gesagt, da anscheinend GPL-Softwar verbaut ist, müsste man 
theoretisch den Quelltext oder Teile davon anfordern können...

von Oliver S. (phetty)


Lesenswert?

Michael m. schrieb:
> Er geht gut zum kleinhacken/schnippseln von Dingen.
> Ideal ist das Ding z.B. zum Soßen machen oder Pudding machen,
> Semmelknödel etc.

Knödel?

Schnippeln, Kleinhacken... DAS ist doch grad das Erlebnis beim Kochen. 
Ich finde das ganz entspannend.

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Tho Wes schrieb:
> Sind das Heizstäbe aus einen Thermomix- Sonder- Material?

Die Heizstäbe sind im Boden des Topfes/Mischgefäßes untergebracht, also 
nicht sichtbar und auch nicht im direkten Kontakt mit dem eingefüllten 
Material. Das ist wie bei Wasserkochern mit verdecktem Heizelement.

> Wie genau funktioniert da eigentlich die Ansteuerung von "Deckelauf" -
> "Essenrein"- "Fertig" - "Deckelauf" -"Essenraus"?

Von Hand. Hast Du Dir mal ein Bild von einem Thermomix angesehen?

Auch der Austausch der verschiedenen Rühr- und Hackwerkzeuge erfolgt von 
Hand.

Das Ding ist im wesentlichen die Kombination einer Küchenmaschine mit 
einem beheizbaren Topf und einer Waage - und einer Ablaufsteuerung, die 
sich um Heizen und Werkzeugantrieb kümmert.

Hier eine englischssprachige Nutzungsbeschreibung mit Bildern (und 
Risotto-Rezept):

http://www.followmefoodie.com/2013/08/bellini-intelli-kitchen-master-home-thermomix-bacon-onion-corn-risotto-recipe/

von Tho W. (tommyprog)


Lesenswert?

Rufus Τ. Firefly schrieb:
> Tho Wes schrieb:
>> Sind das Heizstäbe aus einen Thermomix- Sonder- Material?
>
> Die Heizstäbe sind im Boden des Topfes/Mischgefäßes untergebracht, also
> nicht sichtbar und auch nicht im direkten Kontakt mit dem eingefüllten
> Material. Das ist wie bei Wasserkochern mit verdecktem Heizelement.
Klingt ehrlich  gesagt auch wie nen Wasserkocher mit einen Rührstab 
drin, und noch ein Steuergerät, dasses ja auch am Ende ist.

>> Wie genau funktioniert da eigentlich die Ansteuerung von "Deckelauf" -
>> "Essenrein"- "Fertig" - "Deckelauf" -"Essenraus"?
>
> Von Hand. Hast Du Dir mal ein Bild von einem Thermomix angesehen?

Nein, ich habe nur das Grün/weiße Modell, das damals 1200Euro gekosteet 
hat, gesehen, und mir mal das Vorwerk- Rezeptbuch angeschaut.
(Und noch ein youtube- Video mit der edelstahl?- version)


Mfg,
tommyProg

von Robert L. (lrlr)


Lesenswert?

wir habe das Vorgänger Model
ich find es auch extrem unnötig
wird tatsächlich fast nie verwendet
ausser für z.B  Kartoffelpüree .. (rohe kartoffel + milch + salz usw. 
rein.. warten .. fertig) da ist wirklich praktisch

>ist er schon mal ein guter Mixer ;)

interessant.. dafür hab ich ihn noch nie verwendet..

ich mach mit einem Mixer vorallem : eischnee und  schlagsahne, 
kuchenteig usw.
das halte ich für eher unrealistisch dass das mit dem thermomixer 
(ähnlich gut) funktioniert..



zum rezept-chip: oh Gott, ist das mit dem Linux jetzt ein Scherz?
(und nein, man müsste vermutlich den interessanten teil der Software 
NICHT herausgeben, auch wenn ein GPL linux verwendet wird.., .)

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Robert L. schrieb:
> kuchenteig usw.  das halte ich für eher unrealistisch dass das mit dem
> thermomixer (ähnlich gut) funktioniert..

Das schafft sogar ein Brotbackautomat. In den kippt man auch nur Wasser 
und die Zutaten (Backmischung oder Mehl, Salz und Hefe) und am Ende 
kommt ein durchaus passables Brot 'raus.
Klar, das ist eher würfelförmig, und hat auf der Unterseite ein Loch, 
d.h. die Kruste ist nicht mit der eines "richtigen" Brotes zu 
vergleichen, aber der Rest stimmt.

von Stefan R. (srand)


Lesenswert?

Matthias Lohr schrieb:
> Wie gesagt, da anscheinend GPL-Softwar verbaut ist, müsste man
> theoretisch den Quelltext oder Teile davon anfordern können...

Und was hilft dir das?

Den Linux-Kernel mußt du nicht von Vorwerk anfordern, den kannst du bei 
www.kernel.org downloaden.

Eventuelle Vorwerk-Änderungen werden kaum spannend sein.

Und die eigentliche Thermomix-Anwendung, die auf dem Linux läuft, ist 
nicht GPL.

von Johannes K. (anamollo)


Lesenswert?

Hallo zusammen,

ich habe vor etwa 2 Jahren an Vorwerk meinen Verbesserungsvorschlag (den 
ich wohl lieber hätte in ein eigenes Gerät verbauen sollen) gegenüber 
des damals noch "alten Thermomix" offenbart.

Da habe ich denen eine seitenlange Abhandlung geschrieben, woraufhin ich 
nicht mal Antwort bekommen habe. Wahrscheinlich beruht das jetzige 
Konzept sogar auf meiner Idee, wer weiß.. ;-)

Kurz und knapp, was ich damals an Vorwerk geschrieben habe:
Es müsste einen Thermomix geben, der über LAN/WLAN ans Netz 
angeschlossen ist und man darüber Rezepte direkt auf das Gerät 
herunterladen kann.
Die Rezepte kann man entweder aus der vorwerkeigenen Community oder eben 
selbst erstellen (nach einem Art "Programmablaufplan", klicki-Bunti für 
die Hausfrau).
Anschließend zieht man sich das entsprechende Rezept auf den Thermomix, 
woraufhin der Thermomix darüber geschwindigkeits-/temperaturgeregelt 
wird und man akustisch/optisch daran erinnert wird, nach z.b. x Minuten 
rühren die Zutat Y einzufüllen.
Wenn ich meinem Kumpel beim "kochen" (sofern man das überhaupt kochen 
nennen kann, ich nenne es eher zusammenmanschen) zuschaue, liegt sein 
iPhone neben seinem Thermomix um nebenher das Rezept zu lesen.
Dabei ist mir dann eben wie beschrieben meine Idee gekommen...


Zum Thermomix selbst:
Ich habe den Sinn von dem Ding auch noch nicht verstanden, vielleicht 
liegt es auch daran, dass mein Gaumen etwas anspruchsvoller ist und sich 
nicht nur mit "Senioren-Alete" zufrieden gibt. Für mich ist der 
Thermomix ein reines Prestigegerät, was man nicht wirklich braucht, aber 
es dann umso mehr verkündet, dass man es hat, wenn mans hat.
Vielleicht liegt meine Abneigung diesem Gerät gegenüber darin begründet, 
dass ich liebend gerne koche und auch entsprechend liebevoll meine 
Speisen kreiere.
Anständige Speisen kann man damit jedenfalls aus meiner Sicht nicht 
machen, eben nur das neumodische "Gemansche" 
(Pesto/Frischkäse/Gürteltierpastete....). Ob man das dann täglich 
braucht und wie oft man es braucht im Bezug auf das, wieviel das Ding in 
der Anschaffung kostet sei mal dahingestellt.

Meine Erfahrung im kulinarischen Bereich in der Moderne zeigt mir, dass 
man sich leider keine Zeit mehr zum Zubereiten und Genießen von Speisen 
nimmt. Dabei kommt dann raus, dass nicht mal mehr Rühreier ohne Rezept 
gelingen und man mit dem größten Mampf zufrieden ist, Hauptsache die 
Gedärme sind gefüllt.

Meine Meinung.

Gruß

von Michael E. (Firma: irgendeine) (nodalek)


Lesenswert?

Schon lustig, hier sind fast nur Techniker und Ings unterwegs, die 
versuchen alles zu Automatisieren, haben aber was dagegen, das man das 
Kochtopfumrühren automatisiert. Also mir ist es lieber, wenn ich diese 5 
Minuten Soße umrühren, das nichts anbrennt oder überläuft, was anderes 
machen kann, als ständig am Herd zu stehen. Da kann ich dann z.B. schon 
mal andere Dinge machen, welche nicht mit dem Thermomix gehen ;)

von Chris D. (myfairtux) (Moderator) Benutzerseite


Lesenswert?

Ich muss auch etwas schmunzeln, wenn ich die Beiträge lese :-}

Ich persönlich kenne das Teil (welches Modell es ist, weiss ich gar 
nicht) erst seit ein paar Monaten durch die Mutter eines Freundes. 
Diejenigen, für die dieses Gerät gedacht ist, dürften Menschen sein, die 
jeden Tag für mehrere kochen müssen und das nicht als Hobby mit viel 
Zeit betreiben. Dementsprechend scheint dort auch die Resonanz höher zu 
sein. Ich kenne jetzt drei Frauen, die das Teil auf keinen Fall mehr 
hergeben und es wirklich jeden Tag einsetzen

Ich muss sagen: mich hat es auch überzeugt, auch wegen des durchdachten 
Aufbaus und der sehr leichten Reinigung.

Man kann damit übrigens nicht nur Breie und Suppen für Zahnlose 
zubereiten, sondern durchaus auch Gewürfeltes und Gehacktes herstellen - 
das ist kein "Gnadenlosmixer", wie man sie sonst so kennt. Die Messer 
können bspw. auch entgegen der Schneide rotieren und so bspw. größere 
Stücke auch so lassen, wie sie sind, aber trotzdem rühren. So kann man 
durch die sekundengenaue Steuerung sehr genau festlegen, wie stark 
zerkleinert werden soll, bevor gerührt wird.

Toll fand ich die Herstellung von Hefeteig in extrem kurzer Zeit durch 
die genaue Erwärmung auf 37°C. Da gab es später auch kein Kleben von 
Teig und das ätzende Abspülen von anhaftendem Teig an Schüsseln und 
Händen. Man entnimmt dem Ding tatsächlich nach sehr kurzer Zeit eine 
nicht klebende Teigkugel und kann diese dann ausrollen.

Uns und den meisten hier im Forum ist er für unsere wohl geringe Nutzung 
zu teuer, aber wer wirklich "Menge" und unter "Druck" kochen muss, für 
den ist es eine tolle Sache.

Ob man jetzt vernetzt sein muss oder irgendwelche Chips einstecken 
können sollte - naja, wer es mag :-) Vorwerk muss halt irgendwie neue 
Anreize bieten.

Edit: ich hab gerade mal bei Wikipedia geguckt - ich meine, das wäre das 
Modell TM31 gewesen - die "Vorführungen" durch die Frauen liegen ja 
schon etwas zurück :-)

: Bearbeitet durch Moderator
von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Michael m. schrieb:
> Also mir ist es lieber, wenn ich diese 5 Minuten Soße umrühren, das
> nichts anbrennt oder überläuft, was anderes machen kann, als ständig am
> Herd zu stehen.

Ich muss beim Kochen nicht ständig am Herd stehen und umrühren, aber das 
hat vermutlich damit zu tun, daß mein Herd eine stufenlose 
Flammengrößeneinstellung hat, und nicht irgendwelche 
Hausfrauen-1-bis-6-Stufenschalter.

von Andreas D. (rackandboneman)


Lesenswert?

Also die Anwendungen die mir plausibel wären:

-Herstellung von gelingsicheren Teigen und Massen wenn man sich zB bei 
einer komplizierten Torte auf den Zusammenbau konzentrieren möchte... 
aber 1000 Euro ist da ein wenig viel des Luxus.

-Soja/Getreide/Nussmilch herstellen, da ist die Kombination Erhitzen und 
Zerkleinern des öfteren gefragt ... aber da gibt es beheizte Blender und 
dedizierte Maschinen die weit weniger kosten.

-Sachen wie vegetarische Dashi, Schokolade, Invertsirup bei denen 
kontrollierte Temperatur und etwas Agitation nötig sind ... aber davon 
muss man schon eine Menge brauchen damit es den Preis rechtfertigt.

Für, sagen wir, 200-300 Euro mit offenen Formaten würde das Gerät noch 
die ein oder andere Marktlücke füllen, aber 1000?

120 Grad? Wenn es 200 wären könnte das Ding wenigstens noch als 
Fritteuse aushelfen ;)


Habe das Gerät inzwischen mal in real gesehen - das ist ja riesig, den 
Platz muss man erstmal haben...

...


Will it blend? ;)

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Andy D. schrieb:
> das ist ja riesig, den Platz muss man erstmal haben...

Na, wenn alles auf den Thermomix ausgerichtet ist, braucht man ja den 
ganzen Rest nicht. Außerdem haben glückliche Thermomix-Benutzer 
logischerweise mindestens 24m²-Küchen ...

von Agent K. (b-feld)


Lesenswert?

Ich wusste nicht das es hier um Sinn und Unsinn von Küchengeräten geht.. 
;-)
Wer will soll sich das Ding kaufen oder auch nicht.
Die Diskussion ist hier wohl eher zweitrangig.

@Michael m.: Das mit Linux auf dem Gerät ist Ernst gemeint.

Jetzt bräuchte man noch jemanden der ein Teardown von dem Gerät macht.
Kennt jemand einen von iFixit? :-)

Die Suche nach "Thermomix Hack" findet irgendwie nicht das Richtige....

: Bearbeitet durch User
von Gerhard W. (gerhard_w)


Lesenswert?

Agent K. schrieb:
> Auf dem Thermomix läuft ein Linux
Hab ich nicht geglaubt, aber unser Thermomix sagt mir das gleiche!

von Johannes K. (anamollo)


Lesenswert?

>Hab ich nicht geglaubt, aber unser Thermomix sagt mir das gleiche!

Na toll. Und du bist also derjenige, der mir ständig meinen 
RiCept-Server lahmlegt?
Wenn dieser Server eine gewisse Zeit down ist, liebe ThermoMixer, dann 
wisst ihr hoffentlich, dass es spätestens dann an der Zeit wäre, sich in 
den hoffentlich an die Situation angepassten Hungerbunker zu begeben?!





Die Kohl' ist Staub, das Messer stumpf,
der Thermomix ist allseits Trumph,
doch dann das Update fehlt zum mehlen,
sich die vier Supermesser quälen.

Dann kommt der Herr mit scharfen Klingen,
die trotz Kulanz das Geld verschlingen,
doch er war nett und hat genossen,
bei Stufe zwei doch sehr verdrossen

Der Kaffee sei doch äußerst köstlich,
so sei er dieses Falls sehr tröstlich,
Ein neues Messer reicht da nicht
Ob er denn ist ein Bösewicht?

Der Kerl in Grün meint's doch nicht bös'
man gibts ihm gern, ist's sein Erlös,
Der Thermomix nun grunderneuert,
für Nichtkocher nicht überteuert

Gern mischt man da zum rohen Roggen,
auf Stufe Sieben Haferflocken
Oh Wunder wer steckt da herin,
der rauchende Herr Vorwerkling

Das ist kein Fehler, das ist klar,
ein Wunder der Saugmafia.
Man will mir zeigen wie das Teil
zerkleinern kann, das ist so weil

Solch Vorführung zahl ich doch gern,
der Kobold kommt stets aus weit fern
Und ob ich diese Speis nun esse,
ich die Gastritis fast vergesse.


Ein kleines Gedicht meinersiets zum Thema :P

von Jörg S. (joestef)


Lesenswert?

Hallo,

ich habe mal den Rezept-Chip ausgemessen.

Es ist definitiv ein USB-Device.

Wenn man von hinten auf die Kontakte schaut (Kontakte oben, Seriennummer 
unten, lesbar), so ergibt sich von links nach rechts
1 - 5V
2 - D-
3 - D+
4 - GND

Ich hab den Chip mittels Adapter (USB-Kabel abschneiden und die 4 Adern 
an eine 2.54mm Pfostenleiste anlöten - diese kann man dann prima unter 
die Federkontakte schieben) an meinen PC angeschlossen.

Unter Linux erhalte ich folgende Ausgabe im dmesg
1
[  883.872022] usb 1-7: new high-speed USB device number 6 using ehci_hcd
2
[  884.006761] scsi6 : usb-storage 1-7:1.0
3
[  885.319508] scsi 6:0:0:0: CD-ROM            General  USB Flash Disk 1100 PQ: 0 ANSI: 2
4
[  885.323224] sr1: scsi3-mmc drive: 0x/0x caddy
5
[  885.324636] sr 6:0:0:0: Attached scsi CD-ROM sr1
6
[  885.326762] sr 6:0:0:0: Attached scsi generic sg7 type 5
7
[  901.085168] usb 1-7: USB disconnect, device number 6

In Windows wird er als CDROM erkannt.

Mittels dd habe ich den Inhalt von /dev/sr1 mal auf die Platte kopiert.
Sind 4GB.

Dateisystem ist unbekannt :o(

Ich werde mal gucken, dass ich noch mehr raus bekomme

Gruss
Jörg

von Matthias L. (malo)


Lesenswert?

Krasscoole Sache!!! Danke!

Kannst du die Datei vllt. irgendwo hochladen oder so? Dann kann ich 
vllt. mithelfen, das lesbar zu machen. Falls du Serverplatz o.Ä. 
brauchst -> Private Nachricht.

Viele Grüße
Matthias

von Julien M. (julien_m)


Lesenswert?

Hallo,

Ich bin julien aus Frankreich und versuche auch mit dem Thermomix zu 
spielen.

If it's OK I will however continue in english, as I can understand 
german but I'm having a hard time writing it =)

I've been able to do exactly the same as Jörg did and uploaded 
corresponding image file to google drive :

https://drive.google.com/file/d/0B9uRYf-8m0W4Rmh0LUJ6Y0dUMnM/view?usp=sharing

Here is a bit of further info using fdisk -l :

Note: sector size is 2048 (not 512)

Disk /dev/sr1: 4026 MB, 4026531840 bytes
255 heads, 63 sectors/track, 122 cylinders, total 1966080 sectors
Units = sectors of 1 * 2048 = 2048 bytes
Sector size (logical/physical): 2048 bytes / 2048 bytes
I/O size (minimum/optimal): 2048 bytes / 2048 bytes
Disk identifier: 0x781ebc15

Disk /dev/sr1 doesn't contain a valid partition table


There is no partition table on the usb flash stick, and filesystem is 
unknown. Not seen either using tools such as gparted. I've been trying 
to run scalpel on the image, to look for image file (there is a "cover" 
or "splash screen" displayed when inserting the recipe chip on the TM5) 
but failed to do so.

I will update you if I find more info.

von Jörg S. (joestef)


Lesenswert?

Hallo,

Vielen Dank Julien.

Leider bin ich bisher noch nicht dazu gekommen, mich weiter um den Chip 
zu kümmern.

Ich werde mal am Wochenende mein Image mit Juliens Image vergleichen.

Das Uploaden dürfte wegen DSL1000 :..o( bei mir schwierig werden.
Sorry Matthias

Da auf dem TM die Pakete zlib und libsqlite installiert sind, könnte der 
Inhalt des Chips entweder komprimiert oder eine Datenbank sein.

zlib könnte aber auch wegen libpng installiert sein.

Auf die schnelle habe ich keine passende "magic number" gefunden.

Gruss
Jörg

von Julien M. (julien_m)


Lesenswert?

Yeah, I've tried to play a bit with sqlite, but no results now...
Just beware that my image is the french version "Ma cuisine au 
quotidien"

von Harald A. (embedded)


Lesenswert?

Oliver Stellebaum schrieb:
> Agent K. schrieb:
>> dhcpd (ISC) 3.0.3b1
>
> Wozu das??? Hat das Ding etwa auch noch WLAN oder eine
> Etherschnittstelle?

Das bedeutet IMHO, dass es in Zukunft auch Chips mit WLAN-Anbindung 
geben wird. Evtl. erklärt das auch, warum der Speicher als CDROM 
eingebunden wird. Das habe ich schon bei USB Composite Anwendungen so 
gesehen (z.B. UMTS-Stick = Modem(CDC-Device) + Software (SCSI device))

von Harald A. (embedded)


Lesenswert?

@Mods: Warum ist dieser Thread unter Offtopic gelandet? Es geht um die 
Analyse der Schnittstelle, das gehört doch unter µC+Elektronik. Die 
Anzahl der Beitragenden sinkt durch diese Verschiebung immens. Es sind 
unter µC+Elektronik regelmäßig auch Themen, die noch wesentlich weniger 
in die Kategorie gehören?

Darf ich um Verschiebung bitten?

von Robert L. (lrlr)


Lesenswert?

der war sicher (immer) schon hier (oder schon mal), ICH hab noch nie 
einen beitrag aus  "µC+Elektronik" gelesen,

> Es geht um die
>Analyse der Schnittstelle,

inzwischen gehts hier um illegales file-sharing ;-)

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Harald A. schrieb:
> @Mods: Warum ist dieser Thread unter Offtopic gelandet?

Die Schnittstelle ist zwar analysiert (es ist USB, wie schon sehr früh 
vermutet), aber der Rest des Threads dreht sich um den Thermomix. Das 
ist in OT schon sehr gut aufgehoben.

: Bearbeitet durch User
von Jörg K. (jrg_k29)


Lesenswert?

Hallo,

btw, das Image lässt sich übrigens extrem gut Komprimieren -> 4GB auf 
7MB

Daraus lässt sich schließen, das:

- es keine komplette Verschlüsselung gibt
- wahrscheinlich nur gemappte Speicherbereiche sind
- der Speicher echte Info für etwa 5 Mb enthält

Jörg

von Matthias L. (malo)


Lesenswert?

Hallo,

wäre es denn möglich, das komprimierte Image hochzuladen? ;)

Viele Grüße
Matthias

von Jörg K. (jrg_k29)


Lesenswert?

Nach einem kurzem Blick ins File würde ich übrigens sagen das der echte 
Speicherbereich 8MB groß ist, wovon knapp 6MB benutzt werden.

Die Verteilung der Bytes lässt drauf schließen das verschlüsselt oder 
gut komprimiert wird.

http://remixshare.com/dl/cejwf/recipes.7z

Jörg

von Matthias L. (malo)


Lesenswert?

Interessant. Ist das jetzt deine Datei oder die französische, die du da 
komprimiert hast? Ich hab die französische mal mit bzip2 komprimiert: 
137MB. Find die Abweichung irgendwie... verdammt krass. Und 7 MB für 200 
(?) Rezepte incl. Bilder auch recht knapp bemessen.

von Julien M. (julien_m)


Lesenswert?

Ich habe auch mit "ultra" setting von 7zip etwa 7 MB für die französiche 
: 
https://drive.google.com/open?id=0B9uRYf-8m0W4ODRUejl2Mlh1dTg&authuser=0

von Jörg K. (jrg_k29)


Lesenswert?

Hallo,

mein File (welches ich inzwischen wieder gelöscht habe) war das 
Französische von Julien.

Da der belegte Bereich genau ins 16 Byte Raster fällt denke ich, das es 
eine Block Cipher Verschlüsselung ist, und keine Komprimierung.

Knifflig ... :-)

Jörg

von Julien M. (julien_m)


Lesenswert?

Ok guys,
Data seems to be stored at the very beginning of the device :

Looking carefully at the device block dump, there are many interesting 
facts :

1. Huge parts of the dumps contain only 0
2. Patterns of 8k seems to be repeated in the following fashion :
   AABBCC ... where A is a pattern of 8K (look for 60 57 AE A7 19 2F 75 
ED for instance)
3. Having split for all the huge 0 parts, the result is following :

Only 0
from 0x005aE000 to 0x00808000 size==> 0x25a000
from 0x1dc00000 to 0x1e400000 size==> 0x800000
from 0x59c00000 to 0x5a400000 size==> 0x800000
from 0x95c00000 to 0x96400000 size==> 0x800000
from 0xd1c00000 to 0xd2400000 size==> 0x800000

data
from 0x00000000 to 0x005aE000 size==> 0x005ae000 ==>  5955584
from 0x00808000 to 0x1dc00000 size==> 0x1d3f8000 ==>  490700800
from 0x1e400000 to 0x59c00000 size==> 0x3b800000 ==>  998244352
from 0x5a400000 to 0x95c00000 size==> 0x3b800000 ==>  998244352
from 0x96400000 to 0xd1c00000 size==> 0x3b800000 ==>  998244352
from 0xd2400000 to 0xf0000000 size==> 0x1dc00000 ==>  499122176

Apart from very first part, everything compress to almost 0.

The very first part compressed size (lzma) exceeds the data itself -> it 
probably means that useful data is located at the beginning of the 
device, and is probably compressed

: Bearbeitet durch User
von Matthias L. (malo)


Lesenswert?

Jörg K. schrieb:
> mein File (welches ich inzwischen wieder gelöscht habe) war das
> Französische von Julien.

Meinst du damit die Dateien sind identisch?

von Robert L. (lrlr)


Lesenswert?

könnte es sein, dass sich der Rezeptchip nicht SOO einfach auslesen 
lässt..

vielleicht waren die so schlau, dass man dem Rezept-Chip ein "passwort" 
schicken muss, bevor er seine Daten frei gibt..?

von Juan R. (jrg1968)


Lesenswert?

Hallo,

ich habe jetzt auch so ein Gerät ;-)

Hat denn schon Mal jemand bei Vorwerk angefragt? Vielleicht erzählen die 
ja was drüber. Wenn nein, dann würde ich das demnächst Mal machen.

Bisher hätte ich 2 Fragen an die:
* Gibt es Source-Code für die Systeme
* Gibt es eine Anleitung API für den Chip

Vielleicht habt Ihr ja noch Ideen.


bis bald


P.S: Zur Diskussion ob so ein Gerät sinnvoll oder nicht ist: ich habe 
nun viel mehr Zeit für meine Hobbys (Elektronik und Programmierung), da 
dieses Gerät mir einen großen Teil des Timings und Regelens abnimmt und 
das Essen wird super.

von Matthias L. (malo)


Lesenswert?

Hallo,

ich glaube bisher hat sich noch niemand mit Vorwerk darüber unterhalten, 
ich würde auch deren Bereitschaft dazu als verdammt gering einschätzen 
(so ein Chip kostet bei Vorwerk 50€, ein USB-Stick bekommt man heute für 
ein zehntel.. das nenne ich erfolgreiches Geschäftsmodell).

Mach das ruhig mal und lass uns an den Ergebnissen teilhaben :) Viel 
Erfolg!

Viele Grüße
Matthias

von Robert L. (lrlr)


Lesenswert?

>das nenne ich erfolgreiches Geschäftsmodell.

ich hätte ein noch viel besseres Geschäftsmodell für dich:
das Papier auf dem ein "Echtest" Kochbuch gedruckt wird, ist noch VIEL 
billiger..

von Alexander S. (aschaefer85)


Lesenswert?

Ich habe mich auch da mal dran versucht, leider mit wenig Erfolg.
Ich bekomme ihn zwar ausgelesen und die Image auf einen Stick aber der 
TM5 will nicht mit machen.
Hier mal ein paar Bilder von meinem Versuch:
https://www.dropbox.com/sh/lklhwlnzg11bhxo/AABPp2ixpc4xXfgBvd1KxnVUa?dl=0

von Juan R. (jrg1968)


Lesenswert?

ich vermute, dass es eben nicht nur ein 'reiner' Datenchip ist.
Wahrscheinlich gibt es sowas wie ein Handshake oder ein Kopierschutz, 
der nicht mit dem Image geholt werden kann.

Haben USB-Sticks nicht eigene IDs? Diese könnten doch Teil des 
Chiffriercodes sein, oder?

von Jochen H. (jochen_h10)


Lesenswert?

Agent K. schrieb:
> Das spuckt er in den Infos aus.
> Linux kernel 2.6.35.3-imx
> Busybox 1.15.0
> kobs-ng 10.12.01
> mtd-utils 201006
> util-linux 2.21.2
> logrotate 3.8.3
> dhcpd (ISC) 3.0.3b1
> libpng 1.2.35
> libjpeg 6b
> libfreetype 2.4.8
> libsqlite 3.7.16

Was mir hier auffällt ist "mtd-utils".

http://www.linux-mtd.infradead.org/doc/general.html
http://www.opensourceforu.com/2012/01/working-with-mtd-devices/

nur mal so als Anregung ;-)

von Matthias L. (malo)


Lesenswert?

Das könnte auch einfach für den internen Flash im Thermomix sein 
(Firmware-Upgrades?) Solche Sachen kennt man ja, wenn man z. B. auf 
OpenWRT-Geräte etc. schaut, wo das Betriebssystem auf nem 
NAND-Flash-Speicher liegt.

Durch die Mengen an 0-Blöcke bin ich davon überzeugt, dass wir irgendein 
Dateisystem vor uns haben, dessen Inhalt entweder komprimiert oder 
verschlüsselt ist - gegen Verschlüsselung sprechen ein wenig die bisher 
gefundenen Muster, die sich wiederholen. Ich vermute auch, dass 
innerhalb des Dateisystems ne SQLite-DB zu finden ist... aber wenn wir 
soweit sind ist eh alles geklärt, nur dahinzukommen wird schwer. Im 
Moment versuche ich gerade, alle möglichen Dateisysteme durchzutesten, 
mit denen das Image formatiert sein könnte. Bisher ohne jeglichen 
Erfolg.

von Andreas D. (rackandboneman)


Lesenswert?

@lrlr nur dass man sich heutzutage dreimal überlegt ob man ein Kochbuch 
kauft weil sich der Standard der Rezepte -was die Fehlerfreiheit, 
Zuverlässigkeit, Massangaben, Prüfung und Erklärung angeht- nicht mehr 
immer von dem von freien Internetrezepten abhebt (bei denen man eben 
erwartet dass man dem Rezept nicht trauen kann und mitdenken und 
recherchieren muss).
Und dieses Misstrauen wird auch solchen Chips erstmal entgegengebracht 
werden...

von Uwe W. (uwe_w45)


Lesenswert?

UFF!! Da hatte ich wohl ein bisschen zu viel übersprungen :)
Usprüngliche Nachricht:

Also, dass da Linux läuft, ist doch völlig irrellevat, oder???
Ist es nicht wichtig, ob das "Programm", welches die Daten liest, auf 
dem Chip oder im Gerät ist und in welchem Format und in welcher Struktur 
die Daten vorliegen müssen. Wer gibt der Waage die Anweisung, sich 
einzuschalten? Woher kommt wann der Impuls fürs Verschließen? Ist das 
eine Funktion des Programms oder des Rezepts? Wenn alles identifizeirt 
ist: Wie kann ich dann meine eigenen Rezepte so dengeln und an den TM 
legen, dass der denkt, er hätte einen Chip anliegen.

Wer das Problem günstig löst, wird viele Freunde gewinnen und vielleicht 
sogar ne gute Mark verdienen.

Erstmal grundsätzlich. Rechtliche Fragen sind vielleicht später auch 
noch rellevant...

Ist doch scheißegal, wer den TM nützlich findet.

: Bearbeitet durch User
von Alexander S. (alexschabel)


Lesenswert?

Ich habe zwei verschiedene Rezeptchips mit dd ausgelesen. Habe beide 
Images mit tar.gz Standardeinstellungen komprimiert. Jeweils ca 500MB.

Mit einem schnellen Hexdump konnte ich keine Bereiche mit 0-Blöcken 
finden.

Verstehe im Moment nicht ganz, wie einige von Euch auf 5MB kommen.

von Julien M. (julien_m)


Lesenswert?

Ok few more experiments :

@alexschwabel : try to 7z you file with stronger settings. To have fast 
access to the zeros try this :
 dd if=YourFile of=ZeroDump.img bs=4096 count=2048 skip=121856
 (from 0x1dc00000 to 0x1e400000 size==> 0x800000)

About the compressed vs ciphered discussion, interesting reading can be 
found here :
http://www.devttys0.com/2013/06/differentiate-encryption-from-compression-using-math/
http://www.devttys0.com/2013/06/encryption-vs-compression-part-2/

The tool used (call ent) can be retrieved here : 
http://www.fourmilab.ch/random/

I ran it on the first part of the file (6 MB), it gaves following 
results :

Entropy = 7.999970 bits per byte.

Optimum compression would reduce the size
of this 5955584 byte file by 0 percent.

Chi square distribution for 5955584 samples is 251.59, and randomly
would exceed this value 54.86 percent of the times.

Arithmetic mean value of data bytes is 127.4856 (127.5 = random).
Monte Carlo value for Pi is 3.141464260 (error 0.00 percent).
Serial correlation coefficient is 0.000243 (totally uncorrelated = 0.0).

Which seems to be a good indication that the segment is probably 
AES-128b encoded.
Another good indication for this claim is the following :
Linux kernel 2.6.35.3-imx (from Freescale SDK 10.12.01, + custom 
patches) seems to be indicating the board inside is based on a IMX.28 
which features HW dedicated to AES-128 decoding.

von David N. (knochi)


Lesenswert?

Hi Leute,

nach langem hin und her mit Thermomix (hatten den TM31 2 Wochen lang, 
dann kam der TM5, Widerrufen, neuen TM5 geordert), haben mich ähnliche 
Gedanken wie euch geplagt.

Lustigerweise hatte ich die gleichen Gedankengänge bezüglich der 
Schnittstelle. I2C, properitär oder doch USB?
Die Infos bezüglich Lizenzen und Versionen habe ich auch gefunden.

Da ich an der Schnittstelle 5V gemessen habe, bin ich auch direkt auf 
USB gekommen. Ich würde auch meinen Ar*** darauf verwetten, das Vorwerk 
über kurz oder lang ein WiFi Adapter rausbringt. DHCP deutet ja 
zumindest schon mal auf was Netzwerkmässiges hin. Obwohl ich mich 
andereits wieder frage, was man mit DHCP auf der Client seite soll.

Da das Gerät auch prominent eine Software Version präsentiert, könnte 
ich mir auch Softwareupdates via Chip vorstellen.

Ich habe mir vorsorglich schon mal einen USB-Datenlogger besorgt. Ich 
weiss noch nicht so recht, was ich damit anfangen soll aber das Teil 
kann auf HW Ebene die Kommunikation abhören und analysieren. Das hat den 
Vorteil, dass man tatsächlich den Datenverkehr zwischen TM und Disc 
abhören kann.

Das mit dem CD-ROM kenne ich so von Geräten, welche erstmal Treiber für 
ein properitäres Protokoll installieren wollen. Also zum Beispiel 
HW-verschlüsselte USB Sticks oder BlackBerry Telefone. Das virtuelle 
CD-ROM enthält dann nur den Treiber für die eigentliche Datenverbindung.

Jetzt bin kein Softwerker, aber ich denke die wirklich Interessanten 
Daten dürften sich hinter einem anderen virtuellem Gerät verbergen. 
Vielleicht ist das CD-ROM-Gerät nur für Software-Updates und ähnlichem 
vorgesehen.

Ich werde mal versuchen den Datenverkehr zwischen TM5 und Disc 
abzuhören.

Bis denne
Knochi

: Bearbeitet durch User
von Alexander S. (alexschabel)


Angehängte Dateien:

Lesenswert?

Ich habe mit binwalk die Entropie der ersten ca. 40 MB berechnen lassen 
und das Ganze mal als Diagramm dargestellt. Kann jemand etwas damit 
anfangen?

@julien_m Ich habe die ganzen 4GB mit 7z tatsächlich auf 7,2MB 
komprimiert bekommen. Spricht also vieles dafür, dass im Rest des Files, 
der nicht in meiner Grafik enthalten ist, sich das Muster fortsetzt?

Alex

von Alexander S. (alexschabel)


Lesenswert?

Hallo alle zusammen,

hab Euch wohl mit dem letzten Post erschreckt... Möchte mal folgende 
Fragen/Anregungen in den Raum werfen.

Wenn wir davon ausgehen müssen, dass es sich hier um verschlüsselten 
Inhalt handelt, stellt sich die Frage ob man an den Schlüssel dran 
kommt.
Jemand hatte weiter oben gemutmaßt, dass es sich um einen Freescale 
Prozessor handeln könnte. Wie läuft das in so nem Fall ab? Thermomix 
bestellt seine Prozessoren mit "eingebranntem" Schlüssel oder kommt der 
über die Firmware zur Laufzeit in den Prozessor? Gibt es nur einen 
Schlüssel für alle Chips? Kann ich mir eher nicht vorstellen - denn was 
passiert, wenn den jemand ausließt?

Meine Frau ist nicht begeistert, dass ich den Thermomix öffnen möchte. 
Was denkt Ihr, liegt der Schlüssel im Klartext auf dem internen Flash?

Alex

von Christian K. (ivenae)


Lesenswert?

Wir gehen bisher davon aus, dass das "CD Image" zwar verschlüsselt ist, 
aber es sich nicht um einen CBC Schlüssel handeln kann, sonst wäre das 
Image nicht mehr gut komprimierbar. Die Frage ist, wie groß ist der 
Schlüssel?
Wir gehen davon aus, dass nach dem Kochbuch nur noch Nullen stehen und 
schauen mal an, nach welchem Intervall sich der Inhalt wiederholt.

Ich habe die 7z Datei mal entpackt und mir mit einem Hexeditor 
angesehen, und zwar ab dem 0x5000000 Halbbyte (hexadezimal)

hexdump recipes.img | grep ^5

Der hexdump ist beim 0x6000000 Halbbyte identisch:

hexdump recipes.img | grep ^6

Nun schaut man sich mal an, ab wo er sich wiederholt: Ab 0x5002000 fängt 
er wieder von vorne an, d.h. der Schlüssel ist 0x2000 Halbbytes lang, 
das entspricht 8192 Halbbytes = 4096 Bytes = 4kb.


Jetzt bräuchten wir noch eine Known-Plaintext Attacke. Hier ist das 
Ergebnis eines verschlüsselten Blocks voller Nullen:

5000000 6eb3 4cd5 6074 a913 48e4 d37c b2f9 c1b2
5000010 c284 61da 3dc7 94c4 d5ec f555 ad58 79d7
5000020 de0f 7578 0b07 8c96 78a8 831b 0501 a95c
5000030 0fa4 b74b 2ebf 7dc7 a383 9388 80c9 aae4
5000040 2bb6 d0fd 55c5 5139 2468 e58d 6de3 6229
5000050 5ca6 eb34 082d 2051 52e3 8feb 9e85 c740
5000060 0ab9 118e 574d 6f7f 5790 a0ea 7e5a 4b26
5000070 7555 c3d6 f41f 3537 7b00 aec5 9172 38d2
5000080 3667 55fc 9217 d355 781b c54a b5e6 dc4e
5000090 8f54 de81 f234 30ac 5eef 157e 2449 2b09
50000a0 90f9 60b1 6b2c 6b09 a7be 26d5 1eb0 6cb5
50000b0 f5df 2827 3e0d 368b 5d21 b502 d0f5 51a3
50000c0 a8db 5192 6f93 5f4d 87ff 7dfa 629e 18c4
50000d0 27a2 47c2 e52e 227e 210b c340 7ef9 04bb
50000e0 3677 5c30 61d2 39a1 6d26 a016 7f4b 9ff6
50000f0 9c01 ff53 fcd2 1bee 8b65 6d89 e9de b9fa
5000100 4f17 c65d d83c 7d49 24cf a823 52b0 c732
5000110 8ce4 fef5 6c60 3e2c f80f a03b b79a e77f
5000120 d19e 0748 5716 23c0 bc13 eca5 929d 562a
5000130 3fc1 2dce 9dbf 624b d337 f78a d9f4 643f
5000140 9820 4597 14fd 784c 8fa0 dbf6 df06 ac02
5000150 e874 2f1d ef46 fa30 da1f 08f4 edf7 0758
5000160 5eda d005 56e7 f998 f7c1 9c87 7c79 3e9b
5000170 bc6d 6cad f875 2200 a103 a9a8 0ad3 9a79
5000180 b211 cb5c 99e0 5887 51f0 e002 43f3 5626
5000190 3994 a85d d2b8 adda f8ce 6037 e806 a940
50001a0 003d c11d 8b4c a76b ed26 ce98 f283 74ce
50001b0 9279 5a91 e136 5b94 3e19 3d74 d295 650b
50001c0 8047 2da8 101d 0284 3813 f66b 0a60 dc28
50001d0 02f6 be4e 1910 314d 8d7b ad69 be9f d0d0
50001e0 9d14 29b0 69f7 1d96 c627 5a07 6bd0 6a18
50001f0 736e cf81 2235 6478 db06 d842 fd41 4e27
5000200 dc09 cc72 4354 1b88 06c7 0d46 02fa b81b
5000210 9c83 7e4a 42ea 8690 2922 e122 506b b1ad
5000220 ed7d 8227 1900 3881 7ebe 479d aba2 b58c
5000230 57b9 6a08 7aa2 3c44 c8c1 7145 be5a 12ef
5000240 bef9 5d72 fddb c294 6816 ce02 7e30 c0d1
5000250 9009 67f5 3a6f cd5a 54aa 05e1 a7d4 ad22
5000260 fbec c896 3baf d04a 11a7 9daf 6b87 20f2
5000270 1d7e ccc9 0163 528d 062f 07a8 599e 8146
5000280 f0b4 0a8c d4f5 25e3 bdee 30a8 5cdc 690f
5000290 1eb4 6e86 89ae 12da 7b82 2fdc 2f4a a5ac
50002a0 9420 d957 2ba2 db02 da71 8130 74da 9986
50002b0 d525 313f 0b26 4212 85b2 8183 328b 2961
50002c0 a037 b1cf 62ec 9e99 c8d9 7cef b47d 8de1
50002d0 21da 0a80 d2a0 a070 f2e9 ff39 7725 feb2
50002e0 2f46 a3f9 11b3 9650 e433 f0fb 4dcc b0c2
50002f0 b9a5 019b 51af ae8e d401 2094 90dc ac06
5000300 ea47 536c d5bb bfbf c348 7a9f fd59 438d
5000310 d62e 537c dc77 4c7a 29bc 6fa2 9805 8920
5000320 9596 4029 fda5 429c 02fe ba28 e0f2 44b7
5000330 0765 9fc7 5b49 f18c 14be 3959 6e04 08b7
5000340 ace2 e6fc 8d9b a3e1 1c19 9c77 7b3d 6fd8
5000350 1a3e 9fb9 db41 9b64 6094 a79b ea62 9fdb
5000360 54d0 87da b14d e3f5 20a1 55a7 dea8 38d6
5000370 3454 298d a8ea 96da 614c b721 a548 989b
5000380 07a0 5df8 78a4 854e 8092 e65b c035 9cb2
5000390 b902 4c35 6efc 0b95 0443 3555 f491 b27b
50003a0 40ab 7cbc fca4 9f80 186f 6c59 fd02 0f32
50003b0 3dad 1f33 30b0 5176 6328 81ba f1a5 de5c
50003c0 3da1 1966 b523 1e71 acb9 aa43 6618 efae
50003d0 f0de 817b 31a9 81c0 739e c8c5 7376 c22b
50003e0 2812 fb76 4425 8fb0 d23a 2cc3 46f6 fd49
50003f0 4a41 25eb b988 c94a 2926 e311 2c1a 8b50
5000400 dd66 98aa c0e8 5327 90c8 a7f9 65f3 8365
5000410 8509 c3b4 7b8e 2989 aad9 eaab 5bb1 f2ae
5000420 bc1f eaf0 170e 192d f050 0637 0a02 53b9
5000430 1e48 6f97 5d7e fb8e 4707 2711 0193 55c9
5000440 576c a1fb aa8a a272 49d0 cb1b dac6 c552
5000450 b84c d669 105a 41a2 a5c6 1fd7 3c0b 8f81
5000460 1572 221c ae9a dffe af20 40d5 fcb4 964c
5000470 ebaa 86ad e83f 6a6e f700 5c8b 23e5 70a4
5000480 6dce aaf8 242f a6ab f036 8b95 6acd b89d
5000490 1fa9 bc03 e569 6158 bcde 2afc 4892 5712
50004a0 21f3 c062 d658 d712 4f7d 4daa 3d60 d96a
50004b0 eabf 504e 7d1a 6c16 ba42 6b05 a1eb a346
50004c0 51b7 a324 de26 bf9a 0fff fbf4 c53c 3188
50004d0 4f44 8e84 ca5d 44fc 4216 8781 fdf2 0876
50004e0 6cee b960 c3a4 7242 da4c 402d ff96 3eed
50004f0 3803 ffa7 f9a5 36dc 17cb db12 d3bd 72f5
5000500 9e2e 8cbb b079 fb92 489e 5147 a460 8f65
5000510 19c9 fceb d8c0 7c58 f01f 4177 6e35 cfff
5000520 a23d 0e90 af2c 4680 7927 d94b 243b ad54
5000530 7f82 5b9c 3a7f c496 a76f ef15 b2e9 c87e
5000540 3141 8b2e 28fa f198 1f41 b6ed be0d 5805
5000550 d0e9 5e3a de8d f461 b53f 11e8 daef 0fb0
5000560 bcb4 a10b adce f331 ef83 380f f9f2 7c36
5000570 79db d85a f0eb 4400 4307 5351 14a6 34f3
5000580 6423 97b9 33c1 b10e a2e0 c105 86e6 ad4c
5000590 7228 51bb a571 5bb5 f09d c06e d00d 5281
50005a0 007a 823b 1699 4ed7 db4d 9d31 e507 e89c
50005b0 25f3 b422 c36d b628 7c32 7be8 a42b ca16
50005c0 018f 5a50 213a 0408 7026 ecd7 14c0 b951
50005d0 04ec 7c9d 3220 629a 1af7 5bd3 7d3f a0a1
50005e0 3b29 5360 d3ee 3a2c 8c4f b50e d6a0 d430
50005f0 e7dc 9e03 446a c8f0 b60d b085 fa83 9c4e
5000600 b813 98e5 87a8 3710 0c8e 1b8c 04f4 7137
5000610 3807 fd94 85d4 0c21 5244 c245 a1d6 625b
5000620 dafb 044f 3300 7102 fd7c 8f3a 5745 6b19
5000630 ae72 d510 f444 7988 9083 e28a 7db5 25de
5000640 7cf3 bbe4 fbb7 8429 d02c 9c05 fd60 80a3
5000650 2113 ceea 74de 9bb5 a954 0bc2 4ea9 5b45
5000660 f7d9 912d 765e a195 234e 3b5f d70e 40e4
5000670 3bfc 9893 03c6 a41a 0d5e 0f50 b23c 038d
5000680 e169 1518 a9eb 4bc6 7bdd 6150 b8b8 d31e
5000690 3d68 dd0c 135d 25b4 f704 5eb8 5f94 4a59
50006a0 2841 b3af 5644 b605 b4e3 0361 e9b4 320d
50006b0 aa4b 627e 164c 8524 0b65 0307 6416 52c2
50006c0 416f 639f c5d8 3d33 91b3 f8de 69fb 1bc3
50006d0 43b4 1500 a441 41e1 e4d3 fe73 ef4a fc65
50006e0 5f8c 47f3 2266 2ca1 c967 e1f7 9b98 6185
50006f0 734b 0336 a35e 5c1d a903 4128 20b9 580d
5000700 d48f a7d8 ab77 7e7f 8791 f43e fbb3 861a
5000710 ac5d a6f8 b8ef 99f4 5378 de44 300b 1341
5000720 2a2d 8152 fb4b 8538 04fc 7551 c1e5 886e
5000730 0fca 3e8f b792 e319 287c 72b2 dd08 116e
5000740 59c5 cdf9 1b37 46c3 3832 38ef f77a deb0
5000750 357c 3e73 b683 37c9 c128 4e37 d5c5 3fb7
5000760 a9a0 0eb5 639b c7eb 4142 ab4e bd51 70ac
5000770 69a8 531a 51d5 2cb5 c298 6e43 4b91 3137
5000780 0f40 bbf0 f048 0b9d 0025 ccb7 816b 3865
5000790 7205 996a ddf8 162a 0886 6baa e823 65f7
50007a0 8156 f978 f949 3e01 30de d8b2 fa05 1f64
50007b0 7a5a 3f66 6060 a2ec c750 0375 e24b bdb9
50007c0 7a42 32cc 6a47 3de2 5873 5487 cd30 df5d
50007d0 e0bd 03f7 6352 0381 e73c 908b e6ec 8457
50007e0 5024 f6ed 894a 1e61 a575 5986 8cec fa93
50007f0 9582 4bd6 7211 9295 524c c623 5834 17a1
5000800 bbcd 3155 80d1 a74e 2191 4ff3 cae6 06cb
5000810 0b13 8769 f71c 5312 55b3 d557 b762 e45d
5000820 793f d4e1 2e1c 325a e0a1 0c6e 1504 a672
5000830 3d90 de2e bbfc f61d 8e0e 4f22 0326 aa92
5000840 afd8 43f7 5415 45e5 92a0 9737 b48d 8aa5
5000850 7099 acd3 21b4 8344 4b8d 3eae 7916 1e03
5000860 2ae4 4538 5d35 befd 5f41 81aa f869 2d99
5000870 d755 0c5b d07f d4dc ef01 b916 47ca e148
5000880 db9c 54f1 495e 4c57 e16d 172b d59a 713b
5000890 3e52 7807 cad3 c3b0 79bd 55f8 9024 af24
50008a0 42e6 80c5 acb1 ae25 9ffa 9a54 7ac0 b3d5
50008b0 d47f a09c fa34 d82c 7485 d70a 42d7 478d
50008c0 a26e 4649 bd4d 7f35 1ffe f6e9 8b79 6210
50008d0 9f88 1c09 95bb 88f8 852c 0f03 fae5 11ec
50008e0 d8dc 73c1 8649 e484 b499 815a ff2d 7cda
50008f0 7106 ff4f f34b 6db8 2e96 b725 a77b e4ea
5000900 3d5d 1877 61f3 f725 903c a28e 48c1 1fcb
5000910 3392 f9d7 b081 f8b0 e03f 82ee dd6a 9eff
5000920 457b 1c20 5f59 8c00 f24e b297 4876 5ba9
5000930 ff04 b638 75fe 882d 4edf df2b 64d3 90fd
5000940 6282 175d 51f4 e231 3f82 6cdb 7c1b b10a
5000950 a0d3 bd74 bc1b e8c3 6b7f 23d0 b5df 1f60
5000960 7869 4317 5a9d e763 de07 711e f2e5 f96c
5000970 f2b6 b1b5 e0d7 8800 860e a7a2 294c 68e6
5000980 c946 2f73 6682 631d 44c1 830b 0ccd 5a99
5000990 e550 a276 4be3 b76a e03b 80dd a11b a402
50009a0 00f4 0577 2d32 9cae b69b 3a63 cb0f d139
50009b0 4ae6 6845 86db 6c51 f964 f6d0 4857 952d
50009c0 021e b4a0 4274 0810 e14c d9af 2880 73a3
50009d0 09d8 f83a 6540 c534 35ee b6a6 fb7e 4043
50009e0 7652 a7c0 a6dd 7458 189f 6b1d ac41 a961
50009f0 ceb9 3c07 89d4 90e1 6d1b 610b f407 389d
5000a00 7127 31cb 0e51 6f20 191c 3718 08e8 e26e
5000a10 710e fb29 0aa9 1842 a488 858b 42ad c5b6
5000a20 b4f7 089e 6600 e204 faf9 1e75 ae8a d632
5000a30 5ce5 aa21 e989 f310 2107 c515 fb6a 4bbc
5000a40 f9e6 77c9 f66f 0853 a059 380b fbc1 0047
5000a50 4326 9dd5 e9bc 366b 53a9 1784 9c52 b78a
5000a60 eeb3 225b edbc 422b 469c 76be af1d 81c8
5000a70 77f8 3127 068c 4835 1abc 1ea0 6579 061a
5000a80 c2d3 2b30 53d7 978c f6ba c3a0 7071 a63d
5000a90 7ad0 ba19 27ba 4a68 ef09 bd70 be28 94b2
5000aa0 5182 665f ac88 6d0b 68c7 07c2 d269 641a
5000ab0 5497 c4fc 2c98 0a49 16ca 060e c92c a484
5000ac0 83de c73e 8ab1 7b66 2367 f1bd d3f6 3786
5000ad0 8668 2a00 4983 83c2 c8a7 fce7 de95 f9cb
5000ae0 bf18 8ee6 45cc 5842 93cf c3ef 3731 c20a
5000af0 e696 066c 46bd b83a 5207 8350 4072 b11a
5000b00 a91f 4eb1 56ef fdfe 0e23 e97d f667 0c35
5000b10 59bb 4df1 71df 32e9 a6f0 bc89 6016 2682
5000b20 545a 02a5 f697 0b71 08f8 eba2 82cb 11dd
5000b30 1f94 7d1e 6e25 c633 51f8 e464 ba11 23dc
5000b40 b38a 9af3 376e 8c86 7164 70de eff5 bc61
5000b50 6af8 7de6 6d07 6e92 8251 9d6e ab8b 7f6e
5000b60 5341 1d6a c736 8ed7 8284 569d 7ba3 e158
5000b70 d250 a734 a3aa 596a 8431 dd86 9622 626e
5000b80 1f80 76e1 e191 163a 014a 986f 02d7 70ca
5000b90 e40a 33d5 baf1 2d54 110c d654 d147 caee
5000ba0 02ad f2f1 f293 7d02 61bc b065 f40b 3ec8
5000bb0 f4b4 7ecc c1c0 44d9 8ea1 06ea c597 7a73
5000bc0 f584 6498 d58e 7ac4 b1e6 a80e 9a61 bfbb
5000bd0 c17b 06ee c7a4 0602 cf79 2117 ccd9 08af
5000be0 a148 ecdb 1295 3cc2 4beb b30c 19d9 f527
5000bf0 2b05 96ac e522 242b a498 8c47 b168 2f42
5000c00 769b 63aa 00a3 4f9d 4322 9fe6 95cd 0c96
5000c10 1626 0ed3 ee39 a724 aa66 aaaf 6ec5 c8bb
5000c20 f37e a8c3 5c38 65b4 c043 18dc 2a08 4de5
5000c30 7a20 bd5d 76f9 ec3b 1c1d 9e44 074c 5525
5000c40 5fb1 86ee a92a 8bca 2441 2f6f 691b 154b
5000c50 e132 59a7 4268 0789 971a 7c5c f22c 3d06
5000c60 54c8 8a70 bb6a 7cfb bf82 0255 f1d3 5a32
5000c70 aeab 18b6 a1ff a8b9 de03 732d 8e94 c391
5000c80 b739 a8e2 92bc 98ae c2db 2f56 aa35 e276
5000c90 7ca4 f10e 95a7 8761 f37a aaf0 2049 5f49
5000ca0 85cc 018b 5863 5d4b 3ef5 35a9 f580 66ab
5000cb0 a9ff 4039 f469 b159 e80a af15 85ae 8e1a
5000cc0 44dd 8c92 7a9b ff6a 3ffc ecd3 16f3 c520
5000cd0 3e11 3912 2b77 10f1 0a59 1f06 f5cb 23d8
5000ce0 b1b9 e682 0d93 c909 6833 02b5 ff5b f8b4
5000cf0 e20c fe9f e797 db70 5c2c 6e4b 4ff7 c8d5
5000d00 7aba 31ee c2e6 ee4b 2179 451d 9182 3f96
5000d10 6724 f3af 6103 f061 c17f 04dd bbd5 3cff
5000d20 8af6 3840 beb2 1801 e59d 642f 91ec b652
5000d30 fe09 6d71 eafc 115b 9cbe bf57 c9a6 21fb
5000d40 c404 2fba a2e8 c563 7f04 d8b6 f836 6315
5000d50 40a7 7ae9 7937 d087 d7fe 47a0 6abf 3ec0
5000d60 f0d2 872e b43a cec7 bc0f e33c e4cb f3d9
5000d70 e56d 636b c0af 1001 0d1d 4e45 5398 d0cc
5000d80 928d 5fe6 cc04 c73a 8882 0717 199a b432
5000d90 caa1 45ed 96c6 6ed5 c177 00bb 4237 4905
5000da0 00e8 0aee 5b64 395d 6c37 74c6 961f a373
5000db0 94cc d18a 0cb7 d8a2 f3c9 eca1 90ae 2a5b
5000dc0 053c 6841 84e8 1020 c399 b35f 5100 e746
5000dd0 12b0 f075 ca80 8b69 6bdc 6c4d f6fd 8086
5000de0 eda4 4f81 4cbb e9b0 303e d63a 5883 53c3
5000df0 9c73 790e 13a9 20c3 da36 c216 e90f 703a
5000e00 e34e 6296 1ca2 de40 3238 6f30 10d0 c4dd
5000e10 e21c f753 1452 3184 4911 0b17 855a 8b6d
5000e20 69ef 103c cc00 c509 f4f3 3dea 5c15 ad65
5000e30 b8ca 5543 d213 e621 420e 8a2b f7d5 9778
5000e40 f3cd ee92 ecdf 10a6 40b3 7116 f683 008e
5000e50 874c 3bab d279 6dd6 a752 2e08 39a5 6f15
5000e60 dc67 45b6 da79 8556 8d38 ec7c 5f3b 0391
5000e70 eef0 634e 0c18 916a 3578 3c40 caf2 0d34
5000e80 84a7 5760 a7ae 2f19 ed75 8641 e0e2 4d7b
5000e90 f4a0 7533 4e74 94d0 de13 7ae1 7d51 2965
5000ea0 a204 cdbe 5811 db16 d18e 0e84 a4d3 c934
5000eb0 a92e 89f9 5830 1592 2c94 0c1c 9359 4909
5000ec0 06bd 8f7d 1463 f6cc 47ce e37b a7ed 6e0c
5000ed0 0cd1 5500 9306 0785 914f f9cf bd2b f297
5000ee0 7f31 1dcd 8a98 b184 279f 86df 6e62 8515
5000ef0 cc2d 0dd8 8c7a 7075 a40e 06a1 80e4 6235
5000f00 533f 9d62 adde fafd 1c46 d2fb eccf 196a
5000f10 b376 9be2 e3be 65d2 4de1 7813 c12c 4c04
5000f20 a9b4 054a ec2f 17e2 11f0 d745 0597 23ba
5000f30 3e28 fa3c dc4a 8d67 a2f0 c8c9 7523 47b8
5000f40 6715 34e7 6fdc 180d e3c8 e1bc deeb 79c3
5000f50 d5f0 facc db0e dc24 04a3 3bdd 5617 fedc
5000f60 a682 3ad4 8f6d 1daf 0509 ad3a f646 c2b1
5000f70 a4a1 4f69 4655 b2d4 0963 ba0d 2c45 c5dc
5000f80 3f00 edc2 c223 2c74 0294 31df 05ae e094
5000f90 c915 67aa 74e3 5aa8 2218 aca9 a38f 95dd
5000fa0 055a e5e3 e427 fb04 c278 60cb e917 7d90
5000fb0 e969 fd98 8381 89b2 1d43 0dd4 8a2f f5e6
5000fc0 eb09 c930 ab1d f588 62cd 501d 35c3 7e77
5000fd0 83f7 0ddc 8e49 0c04 9ef3 432e 99b3 105e
5000fe0 4391 d9b7 252a 7984 96d6 6719 32b2 ea4f
5000ff0 570a 2c59 ca45 4956 4831 188f 62d1 5f84
5001000 ed36 c754 0146 9e3a 8744 3fcd 2b9b 182c
5001010 2d4c 1ca6 dc73 4e49 55cd 555f dd8a 9077
5001020 e7fd 5087 b970 ca68 8187 30b8 5510 9aca
5001030 f440 7bbb ecf2 d877 383a 3c89 0e98 ab4a
5001040 bf62 0cdd 5355 1695 4882 5ede d236 2a96
5001050 c365 b24e 85d0 0e12 2e35 f8b8 e459 7b0c
5001060 a890 14e1 77d5 f9f6 7e05 05aa e2a7 b564
5001070 5d57 316c 43ff 5073 bc07 e75a 1d29 8623
5001080 6f73 51c5 2579 315d 84b7 5eac 546b c5ed
5001090 f848 e31d 2a4f 0ec3 e7f5 54e1 4092 bf92
50010a0 0b99 0216 b0c6 bb96 7dea 6b52 eb01 cd56
50010b0 52ff 8072 e8d3 62b3 d015 5f2b 0a5d 1d35
50010c0 89ba 1925 f436 ffd5 7ff8 d9a7 2ce6 8a41
50010d0 7c22 7224 57ee 20e2 14b2 3f0c eb97 47b0
50010e0 6373 cd05 1a26 9213 d166 046a ffb7 f069
50010f0 c519 fd3f ce2f b6e1 b858 dd96 9fee 91ab
5001100 f574 63dc 84cd dc97 42f2 8b3a 2305 7e2c
5001110 cf48 e65f c206 e0c3 83ff 09ba 77ab 79fe
5001120 14ed 7180 7c65 3102 ca3b c95e 22d9 6ca5
5001130 fc13 dbe2 d4f9 23b6 387d 7faf 934d 42f6
5001140 8909 5f74 44d1 8ac7 ff08 b06d f06d c72a
5001150 814e f4d2 f36e a10f affd 8f40 d57e 7d80
5001160 e0a5 0e5d 6975 9c8f 781f c779 c997 e6b3
5001170 cadb c7d6 805f 2002 1a3a 9d8a a730 a199
5001180 251b becc 9809 8f75 1005 0f2e 3234 6965
5001190 9543 8bda 2d8d dcaa 83ef 0076 846e 930a
50011a0 01d0 14dc b6c8 72ba d96e e88c 2c3f 47e7
50011b0 2999 a315 196e b145 e793 d943 205d 54b6
50011c0 0a78 d182 08d1 2140 8633 66bf a200 cf8d
50011d0 2460 e1eb 9401 17d3 d6b8 d99a edfb 010d
50011e0 db49 9f02 9976 d261 607c ad75 b106 a686
50011f0 38e7 f31c 2752 4086 b46d 842d d21f e074
5001200 c79d c52c 3844 bc81 6470 df60 21a0 88bb
5001210 c439 eea7 29a4 6208 9222 162e 0ab5 17db
5001220 d2de 2078 9801 8b13 e9e7 7ad4 b82a 5bcb
5001230 7095 aa86 a427 cc43 841c 1557 eeab 2ff1
5001240 e79b dd25 d9bf 214c 8066 e32c ed07 001c
5001250 0f99 7656 a5f3 daac 4ea5 5d10 724a de2a
5001260 b9cf 8a6c b4f3 0aad 1a71 d8f9 bf76 0722
5001270 dce1 c69c 1830 22d5 6af0 7980 94e5 1b68
5001280 084f afc0 4e5d 5e32 daeb 0d83 c0c5 9bf6
5001290 e841 ea66 9de8 28a1 bd27 f4c2 faa2 52ca
50012a0 4509 9a7d b022 b72d a31d 1d08 48a7 9269
50012b0 535d 12f3 b160 2b24 5828 1838 26b3 9312
50012c0 0c7a 1efb 29c6 ed99 8e9c c7f7 4edb dd18
50012d0 18a2 aa00 270d 0e0a 239f f29f 7b57 e42f
50012e0 ff62 3b9a 1531 6309 4f3e 0cbf dcc4 0a2b
50012f0 995b 1ab0 18f5 e0ea 491d 0d42 00c9 c46a
5001300 a67e 3bc5 5bbd f4fb 398c a5f7 d89f 32d4
5001310 67ed 37c5 c77d cba4 9ac2 f026 8259 9908
5001320 5269 0a94 d95f 2fc4 22e0 af8b 0b2e 4674
5001330 7c50 f479 b895 1bcf 45e1 9093 eb46 8e70
5001340 cf2a 69ce deb8 311a c791 c379 bdd7 f386
5001350 abe1 f499 b61d b949 0946 76ba ad2e fdb9
5001360 4d05 74a8 1fdb 3a5e 0a12 5a75 ed8d 8563
5001370 4843 9ed2 8daa 64a9 12c6 741b 598a 8ab9
5001380 7f00 da85 8447 59e8 0528 63be 0b5c c029
5001390 932b cf54 e9c6 b450 4530 5953 471f 2abb
50013a0 0bb4 cac7 c84f f609 85f1 c096 d32f fa20
50013b0 d3d3 fb31 0703 1265 3b86 1aa8 155f eacd
50013c0 d613 9261 573b eb11 c49a a13a 6a86 fdee
50013d0 07ef 1ab8 1c93 1908 3ce7 875c 3267 21bc
50013e0 8722 b26f 4b54 f308 2cad cf32 6464 d49f
50013f0 ae14 58b2 948b 92ac 9162 311e c5a2 bf08
5001400 da6d 8ea9 028c 3c75 0f89 7f9a 5636 3058
5001410 5b98 384c b8e7 9d92 aa9a abbe ba15 21ef
5001420 cffb a00e 72e1 95d1 030f 6070 ab20 3495
5001430 e981 f776 d8e5 b0ef 7174 7912 1c30 5695
5001440 7fc5 18ba a7aa 2d2a 9104 bcbc a56d 542c
5001450 86cb 659d 0aa1 1c24 5d6a f071 c8b3 f718
5001460 5121 29c2 efaa f2ed fd0a 0b54 c44f 6ac9
5001470 baae 63d8 86fe a0e6 780f ceb5 3a52 0c47
5001480 dfe6 a28a 4af2 63ba 096f bc58 a9d6 8adb
5001490 f091 c63b 559e 1d86 cfeb a9c2 8124 7f25
50014a0 1632 052c 618d 772d fad4 d6a4 d603 9bad
50014b0 a4fe 01e5 d1a7 c466 a02b be56 14ba 3b6a
50014c0 1275 324a e96d ffab fff0 b34f 58cc 1483
50014d0 f844 e548 afdc 41c4 2864 7f18 d72f 8e60
50014e0 c6e6 9a0b 344c 2427 a2cd 09d4 fe6f e0d3
50014f0 8a33 fa7f 9d5f 6cc3 71b1 bb2d 3fdd 2257
5001500 ebe9 c7b8 099b b92f 84e4 1675 460a fc58
5001510 9e91 ccbf 850d c187 07ff 1374 ef56 f3fc
5001520 29da e200 f8ca 6204 9477 93bd 45b2 d84a
5001530 f927 b7c5 a9f3 466c 71fa fe5e 279b 84ec
5001540 1213 bfe8 89a2 148f fe11 60db e0db 8e55
5001550 039d e8a5 e6dd 431f 5efb 1e81 abfd fb00
5001560 c04b 1cba d3ea 381f f03e 8ff3 932f cd67
5001570 95b7 8ead 00bf 4004 3574 3a15 4f61 4233
5001580 4b36 7c99 3013 1eeb 200a 1e5c 6468 d2ca
5001590 2b87 17b5 5b1a b955 06df 00ec 08dd 2715
50015a0 03a0 29b8 6d91 e474 b3dd d019 597e 8fce
50015b0 5232 462b 32dc 638b ce27 b287 41ba a86c
50015c0 15f0 a305 10a2 4280 0d67 cc7e 4501 9e1b
50015d0 49c0 c2d7 2903 2fa6 ad71 b335 daf7 021a
50015e0 b693 3e05 32ed a4c3 c0f8 5aeb 630d 4d0d
50015f0 70ce e639 4fa4 800c 68db 085b a43f c1e9
5001600 8e3b 8a59 7188 7803 c8e0 bfc1 4340 1077
5001610 8973 dd4f 5248 c410 2445 2d5c 156a 2fb6
5001620 a4bd 40f0 3003 1727 d3cf f4a8 7155 b796
5001630 e12a 540d 484f 9887 0839 2bae dd57 5fe2
5001640 ce37 bb4b b27f 4298 00cd c659 da0f 0138
5001650 1e32 edac 4be7 b559 9c4a ba20 e494 bd55
5001660 729f 15d9 69e7 145a 35e2 b0f3 7eed 0f44
5001670 b9c3 8c39 3160 45aa d5e0 f300 28cb 36d0
5001680 119e 5e81 9cba bd64 b5d7 1b06 818b 36ed
5001690 d083 d5cd 3bd1 5042 7b4f e985 f545 a494
50016a0 8a12 34fb 6045 6e5b 463b 3b10 904e 24d3
50016b0 a7ba 24e6 62c1 5648 b050 3170 4c66 2625
50016c0 19f4 3df6 538c db33 1d39 8fef 9cb6 bb31
50016d0 3044 5401 4e1a 1d14 473e e43f f6ae c85f
50016e0 ffc5 7634 2a62 c612 9f7c 197e b889 1456
50016f0 33b7 3560 31ea c0d5 923a 1b84 0092 88d5
5001700 4dfd 778a b77a e9f7 7318 4bef b13f 65a8
5001710 cfda 6e8a 8ffb 9749 3485 e04d 04b3 3211
5001720 a5d2 1428 b3bf 5f88 45c0 5e17 165c 8ce8
5001730 f8a0 e9f3 712b 379e 8bc2 2027 d68d 1ce1
5001740 9f55 d39c bc71 6334 8e23 87f3 7baf e70d
5001750 57c3 e833 6c3b 7293 138c ec74 5b5d fa73
5001760 9b0a e950 3eb6 74bc 1424 b5ea da1b 0ac7
5001770 9186 3da5 1b55 c952 248c e936 b314 1473
5001780 ff00 b40b 098f b2d0 0b50 c67c 16b8 8053
5001790 2657 9fa9 d28d 68a1 8a60 b2a6 8f3e 5576
50017a0 1768 948f 909f ed13 0be3 802d a65f f541
50017b0 a6a7 f663 0e06 25ca 770c 3450 2bbe d49b
50017c0 ac27 24c3 ae76 d723 8835 4375 d50c fbdd
50017d0 0fde 3570 3826 3310 78ce 0eb9 65ce 4278
50017e0 0e45 64df 96a8 e711 585a 9e65 c9c8 a83f
50017f0 5d29 b164 2917 2459 22c5 633c 8a45 7e11
5001800 db6c 53b5 181d ea04 1279 341f 6cfe b0ac
5001810 3061 98b6 cf71 2571 353b 7d55 2b56 de75
5001820 f743 1d9e c241 a3e5 1e2a e006 41c0 2a57
5001830 0369 edd2 cbef dfb1 e860 24e2 60f2 2a39
5001840 8aad 74ff 5531 544e 095a 7923 db78 584a
5001850 97a9 3a0d 42cb 4814 d438 e3ba 67e1 3190
5001860 42ee 84a3 5553 dbdf 15e4 a8fa 9f16 9289
5001870 5dd5 b075 fdc7 cd0d 1e40 6bf1 a49c 8e74
5001880 cd19 15bf e445 7495 dec6 b112 ad79 b753
5001890 2315 77e0 3c8d 0cab d73b 859f 4952 4a02
50018a0 64fe 582c 1a0b 5ac2 a9ef 49f5 07ac 5bad
50018b0 fd37 ca49 4f03 cda2 5788 ad40 747d d428
50018c0 ea76 9424 db64 57d3 e1ff 9ffe 9867 06b1
50018d0 8928 91f0 b9cb 885f c882 3050 5ffe c1ae
50018e0 cd1d 178c 9834 4e68 9b49 a845 df12 a7fd
50018f0 67c0 ff14 bff4 863b 62d9 5be2 ba77 ae7e
5001900 d345 71d7 368f 5f12 c973 ea08 142c b18c
5001910 23f9 7f3d 1b98 0f0b fe83 e80e ad26 f9df
5001920 b4e7 0152 95c5 08f0 efc4 7b29 6427 958a
5001930 4fb0 8bf3 e76f d852 f48d bde2 36fd d94f
5001940 2608 d125 457f 1e13 2328 b6fd b7c1 abc0
5001950 3a1d 4b07 bbd1 3ecc f687 02bd fb3d 0156
5001960 97f6 7481 d539 3ea6 7d70 e7e1 5f1e cf26
5001970 6f9b 5b2b 7e1d 0800 e880 2a6a c274 669e
5001980 6c84 3297 26f8 d661 143c b840 d03c 95c9
5001990 0ea5 6a57 342e abb6 be73 d80d ba01 2a10
50019a0 404f 7007 2253 e9da bbc9 3366 fca0 9db3
50019b0 641e 56a4 b88d 1665 4fc6 0f9d 7465 d982
50019c0 e051 0b2a 4447 0021 ce84 fd1a 0298 378a
50019d0 803d af93 0684 4c53 e35e 6b5a ef67 34b4
50019e0 2705 0a6c da7d 8765 f149 d681 1ab4 1ac6
50019f0 9c9b 73e0 48cd 199e b601 b6d0 7f10 d349
5001a00 7782 b31c 1015 06e2 c1f1 8391 807e ee86
5001a10 e720 9f12 90ba 21a4 8a88 b848 d45a 6c2b
5001a20 7b5f e049 0680 4e60 9f2f 51a7 aae8 2de3
5001a30 556e 1ac2 9ea8 0f91 7230 5c11 af56 c4bb
5001a40 6fbe 979c ff76 3065 9a85 b300 1f8c 70b4
5001a50 6402 593d cedb b396 956a 4138 2975 abc8
5001a60 3e7b b2e5 ce2b b4d2 c429 e76b da61 88fc
5001a70 871f 7372 c018 5463 c18b 01aa 96e7 a051
5001a80 3c6d 0223 75bd c938 af7b 0c6a 1737 da03
5001a90 076d 9ba1 a2ab 8476 9ea0 0bf7 8bd2 29eb
5001aa0 2548 f615 8a68 b6c0 76dc 208c 9d76 a621
5001ab0 7549 cc4f 8249 90c4 a1ac e060 cc62 4a98
5001ac0 e84d ec33 187b 67a6 72b6 df3b 6d1f 6338
5001ad0 8876 0260 34a8 289c 7c3a 7f8e 5dc9 bfec
5001ae0 8b91 68fe c4ec 2554 f98c fc3e 1333 ac70
5001af0 6e29 c066 d46b ab63 7580 0825 2437 ab01
5001b00 fa11 149b f5ee ef6f 30d2 dee7 7f96 5063
5001b10 b5cb 149f f7dd 931e 0a2f 9b68 66c1 2208
5001b20 a565 504a 7f29 1067 80bf 2e8a b8bc d12d
5001b30 4119 e7f1 56d2 3ce3 856f 4e16 1b41 c2ad
5001b40 ab38 393f e3a6 6878 47c6 e71d 5e0f 1bf6
5001b50 86cf 67ae 76d0 26d9 18e5 e926 bad8 e7b6
5001b60 15f4 a136 6cd3 787d 48e8 d529 376a 8eb5
5001b70 0d15 4a23 aa7a a536 1893 6d48 29d2 e666
5001b80 0128 17fe 1e69 a113 a064 f916 708d a72c
5001b90 ae00 534d 1b3f 42a5 c1d0 4d15 7d64 ec1e
5001ba0 d0aa 1f2f 3f29 2720 c6db 5b16 bf00 834c
5001bb0 4feb c74c 0cec 941d 184a a0ee 7c69 3757
5001bc0 4fa8 8659 ed48 475c 6bae ea10 1986 bbab
5001bd0 bcf7 e01e 4c6a 2070 9c67 72f1 9c1d f0ca
5001be0 8a84 be1d 51c9 232c b4ce cbb0 913d 7f92
5001bf0 5250 c9ba 2e62 b252 8a49 7844 8bc6 2214
5001c00 b7d9 a66a 303a d409 24f2 693e d9fc 6059
5001c10 61c2 306d 9ee3 4ae2 6a76 faaa 56ac bceb
5001c20 ef87 3a3c 8583 46cb 3c54 c10d 8280 54ae
5001c30 07d2 dba5 97df be63 d1c1 49c4 c0e4 5572
5001c40 155b e8fe aa62 a89c 12b4 f246 b6f1 b194
5001c50 2e53 751a 8496 9028 a971 c775 cfc2 6320
5001c60 85dc 0847 aba6 b7bf 2bc8 50f5 3f2d 2513
5001c70 baaa 61eb fa8f 9a1b 3d80 d7e2 4839 1ce9
5001c80 9b33 2a7e c98b e92a bc8d 6225 5af3 6ea7
5001c90 472a efc0 791a 1856 af77 0a3f 92a4 9504
5001ca0 c8fc b058 3516 b584 53df 93ea 0f58 b65a
5001cb0 fa6f 9493 9f06 9b45 ae10 5a81 e8fa a851
5001cc0 d4ed 2849 b7c9 afa6 c3ff 3efd 31cf 0c62
5001cd0 1351 23e1 7297 11bf 9005 61a0 bffc 825d
5001ce0 9b3b 2e18 3069 9cd0 3693 508b bf25 4ffb
5001cf0 ce80 ff29 7ee9 0d77 c5b2 b6c4 74ef 5cfd
5001d00 a78b e3ae 6c1e be24 92e7 d411 2958 6319
5001d10 46f2 ff7a 3630 1f16 fc07 d01d 5b4d f3bf
5001d20 68cf 03a4 2b8b 11e0 de89 f652 c94e 2b15
5001d30 9f60 16e7 cedf b1a5 e91b 7bc5 6cfa b29f
5001d40 4c10 a24b 8afe 3c26 4750 6dfb 6f83 5681
5001d50 743a 970e 77a3 7d98 ed0f 047a f67b 03ac
5001d60 2fed e802 ab73 7c4c fbe0 cec3 be3c 9f4d
5001d70 de36 b656 fc3a 1100 d001 54d4 85e9 cd3c
5001d80 d908 652e 4cf0 acc3 2878 7081 a179 2b93
5001d90 1c4a d4ae 695c 566d 7ce7 b01b 7403 5420
5001da0 809e e00e 45a6 d3b5 7693 67cc f941 3a67
5001db0 c93c ad48 701b 2dca 9f8c 1e3a e9ca b205
5001dc0 c0a3 1654 888e 0142 9c09 fb35 0530 6e14
5001dd0 017b 5f27 0c08 98a6 c6bd d6b4 dfcf 6868
5001de0 4e0a 14d8 b4fb 0ecb e393 ad03 3568 358c
5001df0 3937 e7c0 919a 323c 6d03 6ca1 fe20 a793
5001e00 ee04 6639 212a 0dc4 83e3 0623 01fd dc0d
5001e10 ce41 3f25 2175 4348 1411 7091 a8b5 d856
5001e20 f6be c193 0c00 9cc0 3f5f a34e 55d1 5ac6
5001e30 abdc 3584 3d51 1e22 e460 b822 5fad 8977
5001e40 df7c 2e39 feed 61ca 340b 6701 3f18 e068
5001e50 c804 b37a 9db7 662d 2ad5 8270 53ea 5691
5001e60 7df6 64cb 9d57 68a5 8853 ced7 b5c3 10f9
5001e70 0e3f e6e4 8031 a9c6 8317 0354 2ccf 40a3
5001e80 78da 0546 ea7a 9271 5ef7 18d4 2e6e b407
5001e90 0fda 3743 4457 09ed 3d41 17ee 17a5 52d6
5001ea0 4a90 ec2b 15d1 6d81 edb8 4018 3aed 4c43
5001eb0 ea92 989f 0593 2189 4259 c0c1 99c5 9430
5001ec0 d09b d867 31f6 cf4c e46c be77 da3e c670
5001ed0 10ed 05c0 6950 5038 f974 ff1c bb92 7fd9
5001ee0 1723 d1fc 88d9 4ba8 f219 f87d 2666 58e1
5001ef0 dc52 80cd a8d7 57c7 ea00 104a 486e 5603
5001f00 f523 2936 eadd dfdf 61a4 bdcf fe2c a1c6
5001f10 6b97 293e eebb 263d 145e 37d1 cc82 4410
5001f20 4acb a094 fe52 21ce 017f 5d14 7079 a25b
5001f30 8332 cfe3 ada4 78c6 0adf 9c2c 3782 845b
5001f40 5671 737e c64d d1f0 8e8c ce3b bd1e 37ec
5001f50 0d9f cf5c eda0 4db2 30ca d34d 75b1 cf6d
5001f60 2ae8 436d d8a6 f1fa 90d0 aa53 6fd4 1c6b
5001f70 1a2a 9446 54f5 4b6d 3026 db90 52a4 cccd
5001f80 0350 2efc 3cd2 4227 40c9 f32d e01a 4e59
5001f90 5c01 a69a 377e 854a 82a1 9a2a fac8 d93d
5001fa0 a055 3e5e 7e52 4f40 8cb7 b62c 7e01 0799
5001fb0 9ed6 8f99 18d8 283b 3194 40dd f8d2 6fae
5001fc0 9e50 0cb3 da91 8fb8 d65c d521 330c 7757
5001fd0 78ef c03d 98d4 40e0 39cf e4e2 393b e195
5001fe0 1409 7d3b a292 4758 699d 9661 237b fe24
5001ff0 a5a0 9275 5cc4 64a5 1493 f188 168d 4528

Edit: Das ist übrigens SEHR groß für einen AES Schlüssel. Ggf. handelt 
es sich hierbei auch nur um reines XOR?

Edit2:
Das stimmt leider nicht ganz. Es gibt einen anderen Codeblock, der immer 
wieder auftritt mit einer Periodizität von 15103 Bytes.

: Bearbeitet durch User
von Georg A. (georga)


Lesenswert?

Hab das Mixer-Ding nicht, aber wenn da ein Linux drauf läuft, könnte es 
doch cryptofs oder sowas "standardmässiges" sein.

von David N. (knochi)


Lesenswert?

So... es ist soweit.. ich habe mal den USB Protocol Analyzer zwischen 
TM5 und Rezeptchip gehangen.

Bisher habe ich noch nicht viel in den Daten herumgestöbert. Man sieht 
nur einen IN und einen OUT Endpoint "Mass Storage Device".

In den grossen Datenpaketen konnte ich keinen Klartext erkennen. Aber 
wer weiss schon, in welchem Format die Daten vorliegen?

Der Trace ist folgendermassen entstanden:
1. recording starten
2. chip anschliessen
3. nach Erkennung -> Menü -> Rezepte
4. "Das Kochbuch"
5. "Nach Kategorie"
6. "Vorspeisen und Salate"
7. "Brokkoli Salat mit Pinienkernen"
8. Starten (rechts oben)
9. ca. 4 mal "weiter"

Den Trace gibt es hier (14.5Mb):
https://mega.co.nz/#!2h0QTYZY!UAgvTRrAN7ne1SK7BF6wh8swa_cITtvP7KZvjrY7Qo4

Und die Software gibt es Gratis bei LeCroy:
http://teledynelecroy.com/support/softwaredownload/download.aspx?mseries=0&did=8337

Ich muss mich da selber noch etwas reinfuchsen. Aber ich denke mal, dass 
die Daten die wir gerippt haben, auch das Kochbuch sind.
Ich habe noch keine Hinweise finden können, dass eine weitere Partition 
freigschaltet wird.

Viel Spass
Knochi

von Tobias S. (tobias_s77)


Lesenswert?

Hallo,

da ja sqlite und linux schon aus den Lizenzinformationen geschlossen 
werden können, wäre eine naheliegende Möglichkeit das hier:

SQLite mit SEE (SQLite Encryption Extension)
http://www.sqlite.org/see/doc/trunk/www/readme.wiki

Intern arbeitet dies mit RC4 oder AES in den Schlüssellängen 128,256 BIT

Viele Grüße,
Tobias

von Fab!an (fabiiian)


Angehängte Dateien:

Lesenswert?

Hallo,

das Bild hier wird denke ich nicht viel helfen. Es ist außer einer Art 
"Seriennummer" KEIN Text auf dem Chip aufgedruckt. Lässt sich so aber 
problemlos in einen USB Port stecken.

Gruß
Fabian

: Bearbeitet durch User
von Dani D. (danida)


Lesenswert?

Nunja, beim verbauten USB-Chip handelt es sich ja aller 
warscheinlichkeit nach um einen Standardchip (garantiert aus Asien) in 
Kurzform.

Ist es nicht möglich den Stick zu clonen auf einen Bauähnlichen Chip? 
Das löst zwar noch nicht den Ansatz der Eigens erstellten 
Guided-Cooking-Rezepte. Würde dies aber sicher in der Entwickler 
Community interessanter machen.

Bin mir nicht sicher in wie weit das mit der Verschlüsselung möglich 
ist...?

von Jonas W. (jonaswi)


Lesenswert?

Ich klinke mich hier auch mal ein und verfolge aufmerksam!

USB-Stick könnte z.B. der hier sein. Findet man auch noch von anderen 
Anbietern bzw. in anderen größen.
http://www.aliexpress.com/item/DIY-MINI-COB-COB-Mini-USB-Module-CHIP-SET-128MB-16GB-USB-Flash-Drive-Memory-2GB/1851966883.html

Eigene Guided-Cooking Rezepte wären natürlich spitze!

von Juan R. (jrg1968)


Lesenswert?

Eine wirklich interessante Lösung wäre ja eine Anbindung via WLAN ans 
Internet o.ä.

Aber ich habe den Eindruck, dass dies ggf. gar nicht möglich ist, denn 
es wird ja nur einmal per bunch vom USB gelesen ... alles andere 
passiert inbox.

Oder es ist wirklich so, dass der Chip die Treiber oder zumindest den 
Zugriffcode mitliefert ... dann ginge das natürlich wieder.




Beste Grüße
Juan

von Malte R. (muskelkatermann)


Lesenswert?

Dani Da schrieb:
> Ist es nicht möglich den Stick zu clonen auf einen Bauähnlichen Chip?

Das würde mich auch interessieren, sollte ja mit dd möglich sein.
Wenn ich mir das Bild von Fabian O. ansehe, kann man dann ja aus dem 
Originalgehäuse den Chip entfernen und auf die verbleibenden Kontakte 
einen USB Buchse ansetzen.

Vielleicht hat ja jemand mal ein paar Minuten Zeit das mal zu testen.

von Alexander S. (aschaefer85)



Lesenswert?

Hab es schon weiter oben mit ein paar Bildern gezeigt das ich es mit dd
probiert habe. Der TM5 reagiert aber nicht auf den geclonten Stick.
Auch andere Programe unter Windows erkennen entweder den Chip nicht oder
verweigern das clonen. Komme da leider nicht mehr weiter. Wenn einer
einen Tipp hat immer her damit und ich würde es testen.

: Bearbeitet durch User
von Fab!an (fabiiian)


Lesenswert?

Das wird mit dd nicht funktionieren, da der Stick sich ja as CDrom LW 
ausgibt. Ich habe mich mal eine Zeit mit der Massenproduktion von USB 
Sticks beschäftigt. Es gibt s.g. MPTools von jedem Controllerhersteller 
(http://flashboot.ru). Dort lassen sich u.a. die Sticks als CD Laufwerk 
ausgeben und das üblichste ist dort die Hardware und Hersteller ID zu 
verstellen. Einfach mal nach Screenshots schauen, da geht echt viel.

Ich könnte mir vorstellen das ähnliches gemacht wurde und die Daten 
entweder:
- nur gelesen werden können wenn der Stick mit einem anderen 
"Dateisystem" gemontet wird und erst dann seine Daten preisgibt
- ein spezieller Befehlt an das Laufwerk geschickt werden muss
- der TM sich zu erkennen geben muss damit der Chip darauf reagiert
- oder vlt. einfach die Zieldatei gelesen werden kann wenn man den 
Dateinamen kennt

Kennt sich denn niemand mit den Logs von knochi aus?

Hat mal jmd. an die opensource@vorwerk.de oder wie die heißt 
geschrieben?

von Tobias S. (tobias_s77)


Lesenswert?

Es ist nicht gesagt, dass ein Dateisystem verwendet wurde, da es ja 
durch den TM keine Schreibvorgänge gibt. Das würde erklären, weshalb 
kein Mass Storage Device und Laufwerk erkannt werden kann.

Falls eine Verschlüsselung angewendet wurde, dann muss der Schlüssel ja 
irgendwo im Gerät versteckt sein.

Es könnte auch sein, dass im Gerät ein Reed Kontakt ist, der noch prüft, 
ob Magnete vorhanden sind.

Grüße,
Tobias

: Bearbeitet durch User
von Alexander S. (aschaefer85)


Lesenswert?

Ich habe leider keine Ahnung wie ich ein komplettes dump machen kann.
Könntest du mir das erklären?

Hochladen würde ich vermeiden wollen da es wohl als Raubkopie eingestuft 
werden kann und ich probleme bekomme.

Falls es einen Schlüssel gibt ist er universall da man ja die Chips 
kaufen kann und die funktionieren an jedem TM5.
Spätestens wenn man ein anderes Kochbuch dran macht und alles mit logt 
könnte man die logs vergleichen und den Schlüssel ermitteln.

Die Idee mit den Magneten hatte ich auch schon.
Hab es auch probiert aber leider ohne Erfolg.

: Bearbeitet durch User
von Tobias S. (tobias_s77)


Lesenswert?

Alexander Schäfer schrieb:
> Ich habe leider keine Ahnung wie ich ein komplettes dump machen kann.
> Könntest du mir das erklären?
Hier ist eine gute Erklärung
http://wiki.ubuntuusers.de/dd

Dein Befehl war also korrekt:
1
sudo dd if=/dev/rdisk1r0 of=image.img bs=1M

> Hochladen würde ich vermeiden wollen da es wohl als Raubkopie eingestuft
> werden kann und ich probleme bekomme.
Hast Recht, müsste man erst prüfen. Gibts sowas wie ne Eula oder 
Lizenzvereinbarung?

Siehe 
http://de.wikipedia.org/wiki/Reverse_Engineering#Rechtliche_Aspekte

> Falls es einen Schlüssel gibt ist er universall da man ja die Chips
> kaufen kann und die funktionieren an jedem TM5.
> Spätestens wenn man ein anderes Kochbuch dran macht und alles mit logt
> könnte man die logs vergleichen und den Schlüssel ermitteln.
Wenn man den hätte ;-)

: Bearbeitet durch User
von Alexander S. (aschaefer85)


Lesenswert?

Mit diesem Befehl bekomme ich aber nur die 2,39GB.
Gibt es aber eine Möglichkeit den Chip komplett aus zu lesen?
Deinen Link lese ich mir lieber morgen in Ruhe durch.

von Tobias S. (tobias_s77)


Lesenswert?

Alexander Schäfer schrieb:
> Mit diesem Befehl bekomme ich aber nur die 2,39GB.
> Gibt es aber eine Möglichkeit den Chip komplett aus zu lesen?

Experte bin ich auch nicht aber eventuell mit
1
sudo dd if=/dev/rdisk1r0 of=image.img bs=1M count=63?????

: Bearbeitet durch User
von Alexander S. (aschaefer85)


Lesenswert?

Mit sudo dd if=/dev/rdisk1s0 beziehe ich mich auf disk1s0 die auch 2,4GB 
groß ist, ich will aber disk1 mit 4,6GB kopieren (siehe das Bild nach 
dem Befehl diskutil list).
Mit count=xxx wirst du da nicht viel erreichen.

von Tobias S. (tobias_s77)


Lesenswert?


: Bearbeitet durch User
von Fab!an (fabiiian)


Lesenswert?

Fabian O. schrieb:
-- Zitat Anfang --
Das wird mit dd nicht funktionieren, da der Stick sich ja as CDrom LW 
ausgibt. Ich habe mich mal eine Zeit mit der Massenproduktion von USB 
Sticks beschäftigt. Es gibt s.g. MPTools von jedem Controllerhersteller 
(http://flashboot.ru). Dort lassen sich u.a. die Sticks als CD Laufwerk
 ausgeben und das üblichste ist dort die Hardware und Hersteller ID zu 
verstellen. Einfach mal nach Screenshots schauen, da geht echt viel.

Ich könnte mir vorstellen das ähnliches gemacht wurde und die Daten
entweder:
- nur gelesen werden können wenn der Stick mit einem anderen
"Dateisystem" gemontet wird und erst dann seine Daten preisgibt
- ein spezieller Befehlt an das Laufwerk geschickt werden muss
- der TM sich zu erkennen geben muss damit der Chip darauf reagiert
- oder vlt. einfach die Zieldatei gelesen werden kann wenn man den
Dateinamen kennt

Kennt sich denn niemand mit den Logs von knochi aus?
Hat mal jmd. an die opensource@vorwerk.de oder wie die heißt
geschrieben?
-- Zitat Ende --

Ich pushe meinen Eintrag nochmal. Das clonen wird nicht gehen. Ihr dump 
ja den Inhalt des CD Laufwerks. In die andere Richtung muss ja dann auch 
wieder der Inhalt als CD Laufwerk präsentiert werden.

von Alexander S. (aschaefer85)


Lesenswert?

@Fabian O.
Doch wir versuchen gerade das ganze laufwerk zu dumpen.
Der dd Befehl ist eigentlich recht mächtig, nur habe ich noch zu wenig 
Ahnung von Ihm.

Also das bekomme ich raus:



        USB Flash Disk:

          Product ID: 0x1000
          Vendor ID: 0x090c  (Silicon Motion, Inc. - Taiwan)
          Version: 11.00
          Serial Number: 1004000540010005
          Speed: Up to 480 Mb/sec
          Manufacturer: General
          Location ID: 0x14100000 / 8
          Current Available (mA): 500
          Current Required (mA): 300
          Capacity: 4,62 GB (4.624.220.160 bytes)
          Removable Media: Yes
          Detachable Drive: Yes
          BSD Name: disk1
          Partition Map Type: Unknown
          S.M.A.R.T. status: Not Supported
          Volumes:
            disk1s0:
              Capacity: 2,39 GB (2.389.080.064 bytes)
              BSD Name: disk1s0
              Content: CD_ROM_Mode_1

: Bearbeitet durch User
von David N. (knochi)


Angehängte Dateien:

Lesenswert?

Tobias S. schrieb:
> Es könnte auch sein, dass im Gerät ein Reed Kontakt ist, der noch prüft,
> ob Magnete vorhanden sind.

Das ist definitiv der Fall. Ich habe mir einen Adapter aus Acryl gebaut, 
und die Verbindung kommt nur zustande, wenn da auch Magneten drin sind.

Aber das würde ich jetzt nicht wirklich als Sicherheitshürde ansehen. 
;-)

Ich habe mal durch die Logs durchgesehen und nicht entdecken können, 
dass eine weitere Partition freigeschaltet wird. Man bräuchte mal ein 
Log von so einem sicherem USB Stick.

So ganz durch bin ich mit dem Thema aber auch noch nicht. Der Controller 
IC im Stick kommt laut VID:PID von "Silicon Motion, Inc. - Taiwan 
(formerly Feiya Technology Corp.)".
Schaut man sich auf der Homepage des Herstellers um, findet man 
zahlreiche Chips mit Sicherheitsfunktionen.
Der Mechanismus ist so wie ich weiter oben schon geschrieben habe. Also 
ein CD-ROM enthält die Sicherheitssoftware, welche die Datenpartition 
freischalten kann. Eine dritte Partition enthält das Geheimnis und ist 
niemals zu sehen.

In dem angehängtem Exploid wird beschrieben, wie man den Schutz bei 
Sticks eben dieses Herstellers umgehen kann.

Bis denne
David

: Bearbeitet durch User
von Juan R. (jrg1968)


Lesenswert?

was haltet Ihr von einer 2. Front?

hat sich denn schon jemand den code im TM selber angeschaut?
Wäre es nicht vielleicht einfacher den zu knacken und durch einen eigene 
Controller zu ersetzen?


beste Grüße

von Barney G. (fuzzel)


Lesenswert?

Was sagen denn diverse Diagnosetools wie fdisk, fsck, gparted, 
smartmontools und Co zu dem Stick ?
Auch clonezilla oder dd ueber die Konsole sollte funktionieren den Stick 
1:1 zu kopieren und oder ein Image zu erzeugen. Dann hat man doch 
wenigstens schon mal die Partitionen, Filesysteme und genaue Groesse.

: Bearbeitet durch User
von Fab!an (fabiiian)


Lesenswert?

Hier das könnte der Controller sein:

Device ID       : VID = 090C     PID = 1000
Device SN       : 1004000540010005
Device version  : 1100

Controller      : SMI
Controller model: SM3257ENLT
Flash Vendor    : Samsung
Score           : 34       (Normal Score >= 30)
Firmware        : ISP 130816-AA-

von Fab!an (fabiiian)


Lesenswert?

David N-K schrieb:
> Ich habe mal durch die Logs durchgesehen und nicht entdecken können,
> dass eine weitere Partition freigeschaltet wird. Man bräuchte mal ein
> Log von so einem sicherem USB Stick.

Ich bin ganz deiner Meinung, dass der Controller die richtige Partition 
versteckt. Der Unlock-Befehl wir in in deinem Trace irgendwo drin sein. 
Schau dir das mal an: http://www.dfrws.org/2010/proceedings/bang.pdf

Wie gesagt, ich habe mich mit diesen Tools um solche Sticks zu erzeugen 
schon viel beschäftigt und auch einige hier, aber keine mit einem 
SMI-Controller.

von Dominik S. (dasd)


Lesenswert?


von Mode M. (mode)


Lesenswert?

Kann man nicht den Chip am Thermomix entsperren lassen und dann die 
Datenleitungen auf ein NOtebook umklemmen? Die Versorgungsspannung muss 
dabei natürlich unterbrechungsfrei erhalten bleiben. Oder merkt der 
Chip, dass er sich am Notebook neu initialisiern muss?

von Martin P. (billx)


Lesenswert?

Ich gehe mal davon aus das keiner schonmal den thermo mix selbst auf 
gemacht hat? Gibts vielleicht ne serielle oder sowas?

von David N. (knochi)


Lesenswert?

Vielleicht sollten wir uns erstmal klar werden, was überhaupt das Ziel 
der ganzen Aktion sein soll.

Ich für meinen Teil strebe an, die Verschlüsselung des Rezeptchips zu 
verstehen und so in der Lage zu sein eigene Chips herzustellen. Das 
ganze sollte ohne Garantieverlust möglich sein. Dazu ist so ein 
Thermomix einfach zu teuer.

Alleine das Umgehen einer Verschlüsselung ist schon rechtlich heikel. 
Wenn man unverschlüsselte Daten hat um Dateiformat und Struktur zu 
verstehen und der TM diese auch unverschlüsselt akzeptiert ist man 
rechtlich bestimmt schon etwas sicherer.
Ist hier jemand, der sich mit sowas auskennt? Ich habe keinen Lust 
aufgrund irgendeiner Veröffentlichung hier Post vom Vorwerk-Anwalt zu 
bekommen. Ich verstehe das so, das man den Kopierschutz umgehen muss um 
auch wirklich Kopien anzufertigen und anzubieten. Wenn man dem Gerät 
eigene Inhalte zuführt kann da doch eigentlich nix unrechtes dran sein!?

Ich denke mal wir begeben uns da auf ähnliches Territorium wie diese 
NDS-Module.
Ich werde mit Sicherheit nichts hier veröffentlichen, was es Dritten 
erlaubt Kopien von TM Rezept-Chips herzustellen und würde es auch jedem 
anderen raten.

Bis denne
Knochi

: Bearbeitet durch User
von David N. (knochi)


Lesenswert?

Fabian O. schrieb:
> Hallo,
>
> das Bild hier wird denke ich nicht viel helfen. Es ist außer einer Art
> "Seriennummer" KEIN Text auf dem Chip aufgedruckt. Lässt sich so aber
> problemlos in einen USB Port stecken.
>
> Gruß
> Fabian

Wie hast du den Chip geöffnet? Ging das Zerstörungsfrei?
Poste doch mal eine Anleitung.

Bis denne
Knochi

von Alexander S. (alexschabel)


Angehängte Dateien:

Lesenswert?

Hallo zusammen,

ich habe bereits von zwei Chips mit diesem Adapter und dem Befehl "sudo 
dd if=/dev/sr1 of=KochenHatSaison.img" ein Image erstellt. Verstehe ich 
einige von Euch richtig, dass die kopierten Daten andere wären, wenn man 
vor dem Kopiervorgang einen Befehl zur Initialisierung an den Chip 
senden würde?

Viele Grüße
Alex

von Alexander S. (aschaefer85)


Lesenswert?

Hallo David N-K,
ich Teile deine Meinung zu 100%.
Wenn ich mir so anschaue wie oft ich und meine Dame den Chip wirklich 
brauchen, könnte man fast glauben das es absolut unnütz ist. Meistens 
schauen wir ins Internet oder arbeiten mit kleinen Zettelchen, weil 
diese Rezepte nicht direkt von Vorwerk sind.
Mein Ziel ist es eigene Rezepte und Chips her zu stellen.
Leider hast du meiner Meinung nach mit einem Punkt unrecht. Man muss den 
Kopierschutz knacken um das Dateisystem sehen und analysieren zu können. 
Ist einmal der Schutz geknackt kann man auch kopien erstellen. Wenn du 
es schaffst den Schutz zu umgehen und das für dich behälst kann dir 
keiner bei der Analyse des Systems helfen. Zudem hilft es keinen wenn 
man Informationen zurück hält. Es ist nur eine Frage der Zeit bis es ein 
anderer auch hin kriegt.

von David N. (knochi)


Lesenswert?

Alexander Schäfer schrieb:
> Hallo David N-K,
> ich Teile deine Meinung zu 100%.
> Wenn ich mir so anschaue wie oft ich und meine Dame den Chip wirklich
> brauchen, könnte man fast glauben das es absolut unnütz ist. Meistens
> schauen wir ins Internet oder arbeiten mit kleinen Zettelchen, weil
> diese Rezepte nicht direkt von Vorwerk sind.
> Mein Ziel ist es eigene Rezepte und Chips her zu stellen.
> Leider hast du meiner Meinung nach mit einem Punkt unrecht. Man muss den
> Kopierschutz knacken um das Dateisystem sehen und analysieren zu können.
> Ist einmal der Schutz geknackt kann man auch kopien erstellen. Wenn du
> es schaffst den Schutz zu umgehen und das für dich behälst kann dir
> keiner bei der Analyse des Systems helfen. Zudem hilft es keinen wenn
> man Informationen zurück hält. Es ist nur eine Frage der Zeit bis es ein
> anderer auch hin kriegt.

Ja sowas wollte ich im Grunde auch damit ausdrücken. Habe mich nur etwas 
unverständlich ausgedrückt. Ich könnte aber, (rein theoretisch) für mich 
im Geheimen, die Daten entschlüsseln und das Dateiformat 
veröffentlichen.
Wenn der TM5 dann Rezepte in diesem Format von einem schnöden USB Stick 
mit FAT32 Formatierung einliest ist doch alles gut.
Leider liegt ja gerade in der Verschlüsselung der Knackpunkt und hier 
wird "Crowd-Sourcing" gebraucht.

Schwierige Sache das.

Bis denne
David

P.S.: Ich habe leider die Erfahrung machen müssen, dass gerade die 
Rezepte vom Chip (oder aus dem Buch) immer gut funktionieren. Die Sachen 
aus der Rezeptwelt sind leider oft, trotz guter Bewertungen, nicht so 
der Knaller.

von Alexander S. (aschaefer85)


Lesenswert?

Rezeptwelt interessiert mich nicht.
Es gibt sehr schöne Gerichte aus dem Grillsportverein.

Ich würde von der Veröffentlichung von Datein abraten. Glaube da bekommt 
man eher einen auf den Deckel. Lieber zeigen wie es geht. Wenn jemand 
Interesse hat so was zu machen muss es selber machen.

Werde es morgen mal mit der Idee mich zwischen Chip und tm5 zu schalten. 
Glaube nicht das es funktioniert aber ich will nicht sagen ich habe es 
nicht versucht.

Im übrigen hat mal jemand geschrieben dass da eventuell ein Reedkontakt 
eingebaut ist.
Ich habe gestern das mal ganz genau angeschaut und es ist wirklich so 
dass der usb Stick nur dann gescannt wird wenn ein Magnet in der Nähe 
ist. Ganz genau genommen ist der Reedkontakt auf der linken Seite 
(Richtung Rückseite) der Einbuchtung eingebaut.

von Juan R. (jrg1968)


Lesenswert?

Hallo liebe TM Freunde ;-)

ich denke nicht, dass es um die Verschlüsselung geht, sondern um das 
Verfahren an sich.

Hätte sich Vorwerk auf eine Verschlüsselung festgelegt wäre das sehr 
blauäugig.

Ich denke, dass keiner von uns an die Rezepte ran will, sondern eigene 
Rezept dem TM einspeißen.

Die Verschlüsselung wird wohl vom Chip vorgegeben und der Treiber, der 
Standardverschluesselt sein wird ist eben der Schlüssel zu dem 
Geheimnis.

lg

von Hans Ulli K. (Gast)


Lesenswert?

Hallo,

ich habe mal versehentlich einige Offsets, die hier gepostet worden 
worden sind, falsch eingebeben.
Da hatte ich denn eine Aer ASCII Tabelle gefunden ...
1
1DFFFE00   00 01 02 03  04 05 06 07  08 09 0A 0B  0C 0D 0E 0F  ................
2
1DFFFE10   10 11 12 13  14 15 16 17  18 19 1A 1B  1C 1D 1E 1F  ................
3
1DFFFE20   20 21 22 23  24 25 26 27  28 29 2A 2B  2C 2D 2E 2F   !"#$%&'()*+,-./
4
1DFFFE30   30 31 32 33  34 35 36 37  38 39 3A 3B  3C 3D 3E 3F  0123456789:;<=>?
5
1DFFFE40   40 41 42 43  44 45 46 47  48 49 4A 4B  4C 4D 4E 4F  @ABCDEFGHIJKLMNO
6
1DFFFE50   50 51 52 53  54 55 56 57  58 59 5A 5B  5C 5D 5E 5F  PQRSTUVWXYZ[\]^_
7
1DFFFE60   60 61 62 63  64 65 66 67  68 69 6A 6B  6C 6D 6E 6F  `abcdefghijklmno
8
1DFFFE70   70 71 72 73  74 75 76 77  78 79 7A 7B  7C 7D 7E 7F  pqrstuvwxyz{|}~.
9
1DFFFE80   80 81 82 83  84 85 86 87  88 89 8A 8B  8C 8D 8E 8F  ................
10
1DFFFE90   90 91 92 93  94 95 96 97  98 99 9A 9B  9C 9D 9E 9F  ................
11
1DFFFEA0   A0 A1 A2 A3  A4 A5 A6 A7  A8 A9 AA AB  AC AD AE AF  ................
12
1DFFFEB0   B0 B1 B2 B3  B4 B5 B6 B7  B8 B9 BA BB  BC BD BE BF  ................
13
1DFFFEC0   C0 C1 C2 C3  C4 C5 C6 C7  C8 C9 CA CB  CC CD CE CF  ................
14
1DFFFED0   D0 D1 D2 D3  D4 D5 D6 D7  D8 D9 DA DB  DC DD DE DF  ................
15
1DFFFEE0   E0 E1 E2 E3  E4 E5 E6 E7  E8 E9 EA EB  EC ED EE EF  ................
16
1DFFFEF0   F0 F1 F2 F3  F4 F5 F6 F7  F8 F9 FA FB  FC FD FE 00  ................
Weitere Positionen sind hier:
1
hexdump -C recipes.img | grep "31 32 33 34 35 36 37 38  39 3a 3b 3c 3d 3e 3f 40"
2
1dffff30  31 32 33 34 35 36 37 38  39 3a 3b 3c 3d 3e 3f 40  |123456789:;<=>?@|
3
59fffd20  31 32 33 34 35 36 37 38  39 3a 3b 3c 3d 3e 3f 40  |123456789:;<=>?@|
4
95fffb10  31 32 33 34 35 36 37 38  39 3a 3b 3c 3d 3e 3f 40  |123456789:;<=>?@|
5
d1fff900  31 32 33 34 35 36 37 38  39 3a 3b 3c 3d 3e 3f 40  |123456789:;<=>?@|

Meine Vermutung ist, das die Daten schon so auf dem Stick liegen, also 
keine versteckte Partition.
Irgendwo habe ich hier gelesen, das der Rezeptchip sich als CD-ROM 
meldet, das dürfte schon las einfacher Kopierschutz funktionieren.
Kopiert doch mal die Daten auf einem USB Stick, was passiert dann ??
ggf. mal mit einem Linux-Board hacken, das ein "Software" USB Device 
emulieren kann, unter Linux nennt sich das USB Gadget Driver.
Ein Raspberry PI dürfte das mit dem aktuellen 3.18 Kernel können, da 
habe ich mal den Merge für den Dual-Role USB Treiber für den Designware 
Controller  (dwc2) gesehen.

von Barney G. (fuzzel)


Lesenswert?

Alexander Schabel schrieb:
> ich habe bereits von zwei Chips mit diesem Adapter und dem Befehl "sudo
> dd if=/dev/sr1 of=KochenHatSaison.img" ein Image erstellt.

Das macht ja nun irgendwie ueberhaupt keinen Sinn. /dev/sr1 ist doch ein 
Laufwerk und nicht der Stick. Was erwartest Du da fuer ein image ? Du 
kopierst doch so nur den lesbaren Bereich auf den man ja auch so gucken 
kann.

Versuche das mal mit clone-tools wie clonezilla und Co. Das kopiert auch 
defekte oder ganz unlesbare Partitionen mit.

Was kommt denn eigentlich dabei raus, wenn man das Orioginal auf einen 
anderen USB-Stick klont ? Nimmt die Maschine den ?

: Bearbeitet durch User
von Michael M. (do7tla)


Lesenswert?

Was Passiert wenn man über einen USB Adapter einen Leeren USB Stick an 
dem Termomix anschließt ?

Gibt der TM eine Fehlermeldung aus?

Zum Test kann man auf dem Stick eine Normale Textdatei mit ein Text 
erstellen und mal schauen ob der TM diese Lesen kann.

: Bearbeitet durch User
von Alexander S. (aschaefer85)


Lesenswert?

Er macht nichts!
Ihm ist es egal ob da was drauf ist oder nicht.
Hab schon sehr viel probiert.
Wichtig ist das ein Magnet in der Nähe ist, Sonst wird er gar nicht 
gelesen.

von Hans Ulli K. (Gast)


Lesenswert?

Barney Geroellheimer schrieb:
> Alexander Schabel schrieb:
>> ich habe bereits von zwei Chips mit diesem Adapter und dem Befehl "sudo
>> dd if=/dev/sr1 of=KochenHatSaison.img" ein Image erstellt.
>
> Das macht ja nun irgendwie ueberhaupt keinen Sinn. /dev/sr1 ist doch ein
> Laufwerk und nicht der Stick. Was erwartest Du da fuer ein image ? Du
> kopierst doch so nur den lesbaren Bereich auf den man ja auch so gucken
> kann.
>

Wenn der Chip sich wie gehabt als CD-ROM Lauftwerk anmeldet ist das OK.

Jörg S. schrieb:
> Hallo,
>
> ich habe mal den Rezept-Chip ausgemessen.
>
> Es ist definitiv ein USB-Device.
>
> Wenn man von hinten auf die Kontakte schaut (Kontakte oben, Seriennummer
> unten, lesbar), so ergibt sich von links nach rechts
> 1 - 5V
> 2 - D-
> 3 - D+
> 4 - GND
>
> Ich hab den Chip mittels Adapter (USB-Kabel abschneiden und die 4 Adern
> an eine 2.54mm Pfostenleiste anlöten - diese kann man dann prima unter
> die Federkontakte schieben) an meinen PC angeschlossen.
>
> Unter Linux erhalte ich folgende Ausgabe im dmesg
>
1
> [  883.872022] usb 1-7: new high-speed USB device number 6 using 
2
> ehci_hcd
3
> [  884.006761] scsi6 : usb-storage 1-7:1.0
4
> [  885.319508] scsi 6:0:0:0: CD-ROM            General  USB Flash Disk 
5
> 1100 PQ: 0 ANSI: 2
6
> [  885.323224] sr1: scsi3-mmc drive: 0x/0x caddy
7
> [  885.324636] sr 6:0:0:0: Attached scsi CD-ROM sr1
8
> [  885.326762] sr 6:0:0:0: Attached scsi generic sg7 type 5
9
> [  901.085168] usb 1-7: USB disconnect, device number 6
10
>
>
> In Windows wird er als CDROM erkannt.
>
> Mittels dd habe ich den Inhalt von /dev/sr1 mal auf die Platte kopiert.
> Sind 4GB.
>
> Dateisystem ist unbekannt :o(
>
> Ich werde mal gucken, dass ich noch mehr raus bekomme
>
> Gruss
> Jörg

Noch eine Sache zur Krypto
Wenn ich mich richtig erinnere soll, eine "ideale" verschlüsselte Datei 
(oder auch Stücke davon) kaum von der Ausgabe von
cat /dev/ramdom
zu unterscheiden sein.
Also alle Zahlenwerte von 0-255 verwende, seht euch mal die Entropie in 
diesem Beitrag an
Alexander Schabel schrieb:
> Ich habe mit binwalk die Entropie der ersten ca. 40 MB berechnen lassen
> und das Ganze mal als Diagramm dargestellt. Kann jemand etwas damit
> anfangen?
>
> @julien_m Ich habe die ganzen 4GB mit 7z tatsächlich auf 7,2MB
> komprimiert bekommen. Spricht also vieles dafür, dass im Rest des Files,
> der nicht in meiner Grafik enthalten ist, sich das Muster fortsetzt?
>
> Alex

Und wenn die CPU HW-Crypto kann, brauche ich  einen Kerneltreiber und 
eine Schnittstelle dazu.
Unter Linux gibt es OCF und Cryptode, beides kann mit openssl arbeiten.

Es kann ja auch nur komprimiert sein, mit zlib.
Da kann ich einfach die rohen Daten (ohne zlib oder gzip header) 
ausgeben lassen.

von Fab!an (fabiiian)


Lesenswert?

Wenn ich den Stick mit nem Tool von SMI dumpe und komprimiere komm ich 
auf 50mb.

Das mit dem Stick am Strom lassen und dann an den PC klemmen ist ne sehr 
gute Idee. Bei den anderen Sticks bleibt nach dem öffnen der versteckten 
Partition diese nach dem neustart vom PC erhalten. Kann das mal einer 
Testen? Ansonsten mach ich das am Samstag mal

von David N. (knochi)


Lesenswert?

Fabian O. schrieb:
> Wenn ich den Stick mit nem Tool von SMI dumpe und komprimiere komm ich
> auf 50mb.
>
> Das mit dem Stick am Strom lassen und dann an den PC klemmen ist ne sehr
> gute Idee. Bei den anderen Sticks bleibt nach dem öffnen der versteckten
> Partition diese nach dem neustart vom PC erhalten. Kann das mal einer
> Testen? Ansonsten mach ich das am Samstag mal

Das mit den SMI Tools habe ich auch schon gesehen. Da gibt es doch 
unlock Funktionen und Partition Table Recovery. Hat das schon mal jemand 
probiert? Habe ein bisschen bammel den Chip unbrauchbar zu machen, da 
die Tools auch teilweise neue Firmware in den Controller schreiben.

Wenn man nach SMI und SM3257 sucht, findet man verschiedene Tools von 
SMI, welche wahrscheinlich für die Produktion gedacht sind.
Hier scheint es eine ganz gute Übersicht zu geben:
http://usb-fix.blogspot.de/p/smi.html


Bis denne
Knochi

von David N. (knochi)


Lesenswert?

Also DAS ist jetzt mal Interessant!
In der Google Bildersuche zu SM3257 fielen mir merkwürdige Bilder mit 
schwarzweiss Pattern auf. Darüber gelangt man auf folgende Webseite:

http://rusolut.com/xor-key-library/

Mit dieser Software kann man die Rohdaten aus dem NAND-Chip 
dechiffrieren.
Also die löten quasi den Flash IC (eMMC) runter und extrahieren die 
Rohdaten.

Das können wir wohl knicken, da ja hier ein COB (Chip on Board) verbaut 
ist. Ich denke mal das wird sehr schwer an den eMMC zu kommen, wenn 
nicht sowieso Controller und eMMC auf einem Die sind.

Eventuell ist aber der Rohdatendumb mit der SMI Software identisch mit 
den Rohdaten auf dem eMMC. Dann könnte man die VNR Software anwenden. 
Ich habe nur noch nicht herausgefunden was die Software kostet, oder wie 
man da dran kommt.

Aber die Informationen sind sehr wertvoll.

von Fab!an (fabiiian)


Lesenswert?

Ich habe gerade ein paar USB Sticks geschenkt bekommen, welche zufällig 
genau den Chip haben (SM3257ENLT) welchen auch der Rezeptchip benutzt. 
To be continued...

von Juan R. (jrg1968)


Lesenswert?

Fabian O. schrieb:
> Ich habe gerade ein paar USB Sticks geschenkt bekommen, welche zufällig
> genau den Chip haben (SM3257ENLT) welchen auch der Rezeptchip benutzt.
> To be continued...

wo bekommt man denn sowas geschenkt? So eine Ehefrau will ich auch haben 
;-=

von Fab!an (fabiiian)


Angehängte Dateien:

Lesenswert?

Ehefrau? Werbegeschenk vom Lieferanten.

von David N. (knochi)


Lesenswert?

Alexander Schäfer schrieb:
> Es gibt sehr schöne Gerichte aus dem Grillsportverein.

Wie jetzt? Für den Thermomix? Ich hole mir da immer anregungen fürs 
Grillen. Aber Grill und Thermomix treffen sich ja höchstens bei den 
Soßen oder Marinaden.

von Alexander S. (aschaefer85)


Lesenswert?

Ich habe gestern versucht etwas zu bauen womit ich mich zwischen dem 
Chip und dem TM5 schalten kann, leider ohne Erfolg.
Hat jemand eine Idee die funktionieren könnte?

von Alexander S. (alexschabel)


Lesenswert?

Ist Dein Problem mechanischer, elektrischer, oder softwaremäßiger Natur?

von Alexander S. (aschaefer85)


Lesenswert?

Eher mechanisch.
Ich habe keine Ahnung wie ich es schaffen soll mich dazwischen zu 
schalten.

von Carlos B. (morpheus128)


Angehängte Dateien:

Lesenswert?

Mir sind da zwei Kontakte aufgefallen, beim ausseinander nehmen des 
Chips. Könnten zum freischalten des Sticks zum Wiederbeschreiben gedacht 
sein, oder um eine andere Sperre aufzuheben (wer weiss).
Den kleinen Stick kann man schön auf ein Stück Pappe aufkleben und 
direkt in den USB Anschluss des Computers stecken. Feine Sache...

von Alexander S. (aschaefer85)



Lesenswert?

Ich habe keine Ahnung warum aber der TM5 merkt das der Chip abgegriffen 
wird und er stellt keine Verbindung her. Ich habe mehr mals alles 
geprüft und gemessen aber sobald ich eine Y-Verbindung herstelle weigert 
er sich den Chip aus zu lesen (USB-Seite ist nicht am PC angeschlossen). 
Einfach auf den Chip zu gehen funktioniert.
Mache ich da was falsch oder woran könnte es liegen?

: Bearbeitet durch User
von Jonas W. (jonaswi)


Lesenswert?

Alexander Schäfer schrieb:
> Ich habe keine Ahnung warum aber der TM5 merkt das der Chip abgegriffen
> wird und er stellt keine Verbindung her. Ich habe mehr mals alles
> geprüft und gemessen aber sobald ich eine Y-Verbindung herstelle weigert
> er sich den Chip aus zu lesen (USB-Seite ist nicht am PC angeschlossen).
> Einfach auf den Chip zu gehen funktioniert.
> Mache ich da was falsch oder woran könnte es liegen?

Mal doof gefragt... du sagtest ja weiter oben selbst, dass der Thermomix 
einen Magneten zum aktivieren braucht. Hast du daran bei deinem Test 
gedacht?

: Bearbeitet durch User
von Alexander S. (aschaefer85)


Lesenswert?

Ja den Magneten habe ich dran gehalten.
Wenn ich auf den Chip direkt gehe und den Magneten dran halte wird er 
gelesen. Gehe ich mit dem Y-Kabel drauf und halte den Magneten dran 
macht er nichts. Ich habe mehr als nur einmal die Verkabelung und die 
Kontakte geprüft es ist alles richtig angeschlossen und er hat auch 
kontakt.

von Georg A. (georga)


Lesenswert?

Sieht mir eher nach einem HF-Problem aus, das wird ja USB2 sein. Da kann 
man nicht mehr einfach so rumfummeln... Der Stick sieht ähnlich wie 
diese Fingernagel-Sticks aus, die haben auch tw. so extra Pads. Die sind 
aber auch nicht dokumentiert, so einfach ein Freischalter ist das sicher 
nicht.

Ich glaube aber ohnehin nicht, dass da irgendwas besonderes mit USB 
gemacht wurde oder der Stick "entsperrt" werden muss. Die werden wenn 
überhaupt VID/PID und evtl. noch eine Stick-Seriennummer im 
Hotplug-Event checken. Man könnte noch probieren, ob ein Hub unterstützt 
wird, dann könnte man einen USB1.1-Hub und daran ein Beagle USB zum 
Mitspannen nehmen.

von G. H. (schufti)


Lesenswert?

korrekt, die Signale am USB Bus sind sehr heikel und die Leitungen 
müssen "abgeschlossen" werden. Ein Kabel mit "offenen" Enden führt zu 
Reflektionen und stören die Funktion. Da müßte man schon direkt am 
USB-Stick die Datenleitungen mit 2.poligem Umschalter zwischen TM und PC 
wechseln.

Aber selbst das wird nicht funktionieren, da das Ruhepotential der 
Datenleitungen definiert überwacht wird und eine Abweichung als 
"Abmeldung" bzw. Anmeldung mit nachfolgender Initialisierung des USB 
Gerätes ausgewertet wird. Würde ein "Kryptochip" das nicht auch 
auswerten und sich nicht sperren, verdiente er seinen Namen nicht.

: Bearbeitet durch User
von Carlos B. (morpheus128)


Angehängte Dateien:

Lesenswert?

Für das Konfigurieren des SMI Chips gibt es diverse Tools von SMI.
Das UFDiskUtilities habe ich gefunden und an meinem Stick getestet.
Die Infos seht ihr auf den Screenshots.
Das Programm habe ich von hier:
http://www.flashdrive-repair.com/2014/05/smi-ufdisk-utilities-repair-software.html
Vor dem Ausführen natürlich auf Viren gescannt.

Wie man sieht, ist nur eine Partition vorhanden und sichtbar, plus einen 
Sicherheitsbereich. Der Stick ist automatisch "Eingeloggt". Dabei 
sollten die Daten doch eigentlich entschlüsselt sein...

Ich traue mich nicht auf "Logout" zu klicken um zu schauen was passiert.

von Jonas W. (jonaswi)


Lesenswert?

Carlos C. schrieb:
> Für das Konfigurieren des SMI Chips gibt es diverse Tools von SMI.
> Das UFDiskUtilities habe ich gefunden und an meinem Stick getestet.
> Die Infos seht ihr auf den Screenshots.
> Das Programm habe ich von hier:
> 
http://www.flashdrive-repair.com/2014/05/smi-ufdisk-utilities-repair-software.html
> Vor dem Ausführen natürlich auf Viren gescannt.
>
> Wie man sieht, ist nur eine Partition vorhanden und sichtbar, plus einen
> Sicherheitsbereich. Der Stick ist automatisch "Eingeloggt". Dabei
> sollten die Daten doch eigentlich entschlüsselt sein...
>
> Ich traue mich nicht auf "Logout" zu klicken um zu schauen was passiert.

Du hast das an deinem Rezeptchip getestet!?
Verwunderlich ist ja, dass bei CDROM size 0MB/0% steht, da der Stick ja 
offensichtlich als CD-ROM erkannt wird.

von Carlos B. (morpheus128)


Lesenswert?

Jonas W. schrieb:
> Du hast das an deinem Rezeptchip getestet!?
> Verwunderlich ist ja, dass bei CDROM size 0MB/0% steht, da der Stick ja
> offensichtlich als CD-ROM erkannt wird.

Ich denke, die Option würde für eine lesbare Partition gelten.
Übrigens, die Speichergrößen stimmen auch nicht: "Total Size 663210.02 
MB" wäre ein halbes Terrabyte. Die sichtbare Partition hat wie üblich 
3,75 GB.

von Alexander S. (aschaefer85)


Angehängte Dateien:

Lesenswert?

Nur so als Info.
Wenn jemand wie ich auf die glorreiche Idee kommt den Chip mit SMI 
MPTOOL aus zu lesen kann sich bei Vorwerk direkt einen neuen bestellen 
:-(
Jetzt ist das Teil Nagelneu als USB Stick zu sehen.

von Fab!an (fabiiian)


Lesenswert?

Ich würde kein Y-Kabel nehmen, sondern die Datenleitungen nach dem 
Connect trennen und zum PC leiten...

von Georg A. (georga)


Lesenswert?

> Ich würde kein Y-Kabel nehmen, sondern die Datenleitungen nach dem
> Connect trennen und zum PC leiten...

Bitte mal mehr USB-Grundlagen lesen ;)

von Juan R. (jrg1968)


Lesenswert?

Alexander Schäfer schrieb:
> Nur so als Info.
> Wenn jemand wie ich auf die glorreiche Idee kommt den Chip mit SMI
> MPTOOL aus zu lesen kann sich bei Vorwerk direkt einen neuen bestellen
> :-(
> Jetzt ist das Teil Nagelneu als USB Stick zu sehen.

Hallo Alexander,

verstehe ich nicht ... was ist da passiert?

beste Grüße
Juan

von Fab!an (fabiiian)


Angehängte Dateien:

Lesenswert?

Georg A. schrieb:
>> Ich würde kein Y-Kabel nehmen, sondern die Datenleitungen nach dem
>> Connect trennen und zum PC leiten...
>
> Bitte mal mehr USB-Grundlagen lesen ;)

Probieren geht über Studieren.

Habe mit einen Adapter gebaut. Trotz das die Stromverbindung nicht 
unterbrochen wir, gibt sich der Stick auch nach dem Verbindungswechsel 
zum Thermomix nur als CD Laufwerk aus. Doch eine "Hidden LUN" welche 
nicht freigeschaltet, sondern nur richtig angesprochen werden muss. 
Wären wir wieder beim USB Trace...

PS: Da hier ja öfters der "Sinn und Zweck" angesprochen wurde: Ich für 
meinen Teil möchte wissen was und wie es auf dem Chip ist um eigene 
Rezepte drauf zu bekommen. Wifi wird von Vorwerk früher oder später 
kommen, da bin ich mir ziemlich sicher.

von Georg A. (georga)


Lesenswert?

> Probieren geht über Studieren.

Nach 15 Jahren USB-Probieren und USB-Studieren kann ich da IMO schon ein 
paar fundierte Aussagen machen ;) Der Wechsel löst zwangsläufig am PC 
einen Port-Reset und eine Re-Enumeration des Sticks aus. Das ist so gut 
wie ein Power-Cycle.

So vom Gefühl her würde ich da aber nicht zuviel auf den Trace geben. 
Ich zweifele daran, dass die Entwickler da so tief in USB gegraben 
haben. Die Daten werden schon in dem normal lesbaren Teil irgendwie 
verschlüsselt liegen.

von Simon B. (sib)


Lesenswert?

Fabian O. schrieb im Beitrag #3933285

> PS: Da hier ja öfters der "Sinn und Zweck" angesprochen wurde: Ich für
> meinen Teil möchte wissen was und wie es auf dem Chip ist um eigene
> Rezepte drauf zu bekommen. Wifi wird von Vorwerk früher oder später
> kommen, da bin ich mir ziemlich sicher.

Laut Aussage einer Thermomix Beraterin soll ein Stück zum selber 
beschreiben kommen.
Natürlich nur mit kostenpflichtigen Thermomix Rezepten.

von Hans Ulli K. (Gast)


Lesenswert?

Georg A. schrieb:
>> Probieren geht über Studieren.
>
> Nach 15 Jahren USB-Probieren und USB-Studieren kann ich da IMO schon ein
> paar fundierte Aussagen machen ;) Der Wechsel löst zwangsläufig am PC
> einen Port-Reset und eine Re-Enumeration des Sticks aus. Das ist so gut
> wie ein Power-Cycle.
>

Dem stimme ich voll zu.
Es ist so das pro USB-Device eine Art Divice ID (Filedescriptor) am Bus 
vertreilt wird.
Diese ist wenn das Device am BUS hängt konstant. Der Bus ist wie eine 
Punkt-zu-Punkt Verbindung zu behandeln.
Von besonderheiten wie Split-Transaction und Transaction-Translator 
(beim USB2 Hub) will ich jetzt nicht sprechen.

> So vom Gefühl her würde ich da aber nicht zuviel auf den Trace geben.
> Ich zweifele daran, dass die Entwickler da so tief in USB gegraben
> haben. Die Daten werden schon in dem normal lesbaren Teil irgendwie
> verschlüsselt liegen.

Irgendwo habe ich hier eine Liste gesehen die vermutet welche Programme 
auf dem Thermomix sind.

Aber auf die "einfachste" Möglichkeit ist z.Zt. noch kein Thermomix User 
gekommen.
Hat das DING einen Debug-Port ??

von Fab!an (fabiiian)


Lesenswert?

Hans Ulli Kroll schrieb:
> Aber auf die "einfachste" Möglichkeit ist z.Zt. noch kein Thermomix User
> gekommen.
> Hat das DING einen Debug-Port ??

Von außen ist keiner zu sehen. IR hatte ha nur der alte. Entweder gehts 
auch über den Port an der Seite (Host2Host) oder einer macht seinen mal 
auf :D

von Hans Ulli K. (Gast)


Lesenswert?

Fabian O. schrieb:
> Hans Ulli Kroll schrieb:
>> Aber auf die "einfachste" Möglichkeit ist z.Zt. noch kein Thermomix User
>> gekommen.
>> Hat das DING einen Debug-Port ??
>
> Von außen ist keiner zu sehen. IR hatte ha nur der alte. Entweder gehts
> auch über den Port an der Seite (Host2Host) oder einer macht seinen mal
> auf :D

Der Sinn eines Debug Port ist, das man ihn nicht sieht ...
Mit den Port an der Seite meinst du wohl den USB-Port ??

von David N. (knochi)


Lesenswert?

Hat schon mal jemand versucht, ob sich der TM als device anmeldet, wenn 
man den Reedkontakt nicht auslöst und den mit dem PC verbindet?
Vielleicht dient der auch dazu um zwischen Host und Device Rolle 
umzuschalten (analog zum Pin4 bei microUSB).

Bis denne
Knochi

von David N. (knochi)


Angehängte Dateien:

Lesenswert?

Christian Krause schrieb:

Hi Christian,
nachdem ich mich ein bisschen mit "sicheren" Flash Controllern 
beschäftigt habe, ist mein Ansatz jetzt erstmal den hexdump zu 
entschlüsseln.
Die meisten Controller scheinen ja einfach einen mehr oder weniger 
langen, festen Schlüssel zu benutzen.


> Ich habe die 7z Datei mal entpackt und mir mit einem Hexeditor
> angesehen, und zwar ab dem 0x5000000 Halbbyte (hexadezimal)
>
> hexdump recipes.img | grep ^5
>
> Der hexdump ist beim 0x6000000 Halbbyte identisch:
>
> hexdump recipes.img | grep ^6
>
> Nun schaut man sich mal an, ab wo er sich wiederholt: Ab 0x5002000 fängt
> er wieder von vorne an, d.h. der Schlüssel ist 0x2000 Halbbytes lang,
> das entspricht 8192 Halbbytes = 4096 Bytes = 4kb.


Dieser (http://rusolut.com/xor-key-library/) grafische Ansatz hat mich 
mal dazu inspiriert, den von dir genannten Bereich grafisch 
darzustellen. Ich habe dazu ImageJ benutzt und die Rohdaten als 1-bit 
Bitmap interpretiert (0 ist weiss, siehe Anhang).
edit: ich benutze Hex Workshop unter Windows. Der Offset ist in bytes 
angegeben und die bytes sind bei mir "verdreht", irgendwie big-little 
endian krams. Für die Statistik ist das aber erstmal egal.

Ich sehe da immer noch Wiederholungen (auch mehr als zwei, also hat nix 
mit den halbbytes zu tun)... die genaue Länge habe ich noch nicht 
herausbekommen. Man bräuchte mal ein anständiges Tool.

> Edit: Das ist übrigens SEHR groß für einen AES Schlüssel. Ggf. handelt
> es sich hierbei auch nur um reines XOR?
Da gehe ich mal von aus, also ein "Block Cipher". Die Frage ist nur, 
macht der TM5 die Verschlüsselung oder der Flash Controller?
Gegen den Controller sprechen IMHO mehrere Gründe:
laut obiger URL
* der betreffende Controller (oder die Familie) benutzt 4/8/16kB grosse 
"pages" davon 32-256 Stück
* nur Daten werden verschlüsselt (0 sollte also 0 bleiben)
** obwohl auch ein Segment mit Nullen existiert (zwischen 0x9c00000 und 
0xA400000 = exakt 8Mb), vielleicht beginnt hier ein neuer logischer 
Block?
* So ein Controller versteckt eigentlich die Partition, man müsste den 
Flashchip runterlöten um an die Daten zu kommen

Für den Controller würde sprechen, das so kein Dateisystem sichtbar ist. 
Der TM5 müsste das entschlüsseln also quasi beim mappen machen. Ich habe 
keine grosse Ahnung von Linux, vielleicht ist das ja auch standard.
> Edit2:
> Das stimmt leider nicht ganz. Es gibt einen anderen Codeblock, der immer
> wieder auftritt mit einer Periodizität von 15103 Bytes.
Wie findest du die Wiederholungen? Hast du ein Tool oder starrst du die 
Zahlen an (grün auf schwarzem Hintergrund)? :-)

Bis denne
David

: Bearbeitet durch User
von Hans Ulli K. (Gast)


Lesenswert?

David N-K schrieb:
> Da gehe ich mal von aus, also ein "Block Cipher". Die Frage ist nur,
> macht der TM5 die Verschlüsselung oder der Flash Controller?
> Gegen den Controller sprechen IMHO mehrere Gründe:
> laut obiger URL
> * der betreffende Controller (oder die Familie) benutzt 4/8/16kB grosse
> "pages" davon 32-256 Stück
> * nur Daten werden verschlüsselt (0 sollte also 0 bleiben)
> ** obwohl auch ein Segment mit Nullen existiert (zwischen 0x9c00000 und
> 0xA400000 = exakt 8Mb), vielleicht beginnt hier ein neuer logischer
> Block?

Gibt es denn noch mehr Leerstellen ???

von Juan R. (jrg1968)


Lesenswert?

Kann mich jemand kurz aufklären?

Was ist ein Debug-Port? ... und wo findet man den normalerweise? bei 
allen embedded Geräten?

besten Dank!

von Carlos B. (morpheus128)


Lesenswert?

Hans Ulli Kroll schrieb:
> David N-K schrieb:
>> Da gehe ich mal von aus, also ein "Block Cipher". Die Frage ist nur,
>> macht der TM5 die Verschlüsselung oder der Flash Controller?
>> Gegen den Controller sprechen IMHO mehrere Gründe:
>> laut obiger URL
>> * der betreffende Controller (oder die Familie) benutzt 4/8/16kB grosse
>> "pages" davon 32-256 Stück
>> * nur Daten werden verschlüsselt (0 sollte also 0 bleiben)
>> ** obwohl auch ein Segment mit Nullen existiert (zwischen 0x9c00000 und
>> 0xA400000 = exakt 8Mb), vielleicht beginnt hier ein neuer logischer
>> Block?
>
> Gibt es denn noch mehr Leerstellen ???

Ich habe Nullstellen bei
0x00393000 - 0x00808000 (0x475000 lang)
0x59C00000 - 0x5A400000 (0x800000 lang)
0x1DC00000 - 0x1E400000 (0x800000 lang)
0x95C00000 - 0x96400000 (0x800000 lang)
0xD1C00000 - 0xD2400000 (0x800000 lang)
Interessant ist vielleicht, dass mitten in den Nullblöcken einige 
aufeinanderfolgende "Asciitabellen" vorhanden sind (also Aufzählungen 
von 0x00 bis 0xFF).
Beim ersten Nullblock startet die erste Aufzählung bei 0x59FFFC00 an und 
wird bis 0x5A000BFF wiederholt. Danach folgen wieder Nullen.
Beim zweiten fängt die Aufzählung bei 0x1DC00000 an und endet bei 
0x1E000DFF.
Beim dritten fängt sie bei 0x95FFFA00 an und endet bei 0x960009FF.
Beim vierten fängt sie bei 0xD1FFF800 an und endet bei 0xD20007FF.
Sind also nicht immer an der selben Stelle innerhalb des Nullblocks.

: Bearbeitet durch User
von Christian K. (ivenae)


Lesenswert?

Ich habe einfach vermutet, dass die Wiederholungen im Bereich 2^x 
stattfinden.
Weiterhin habe ich einfach Teile aus dem Hexview in einen Editor kopiert 
und nach bestimmten Strings gesucht.

Ich glaube übrigens nicht, dass sich Vorwerk hier wahnsinnig viele neue 
Dinge ausgedacht hat.
Hat mal jemand probiert, ob der TM nicht einfach /dev/sr1 mountet? D.h. 
man müsste schlicht deshalb ein "CD-ROM"-Stick anschließen, weil Linux 
nur dieses unter /dev/sr1 einbindet. Ggf. kann man also das dd-Abbild 
auf eine CD-Rom brennen und mit einem externen USB-CD-ROM lesen.
Unser TM ist leider noch nicht da.

von Georg A. (georga)


Lesenswert?

> Ggf. kann man also das dd-Abbild
> auf eine CD-Rom brennen und mit einem externen USB-CD-ROM lesen.

loop mounten spart Rohlinge :)

http://www.cyberciti.biz/tips/how-to-mount-iso-image-under-linux.html

von Mode M. (mode)


Lesenswert?

Aber nur wenn man Konsolenzugang hat...

von Georg A. (georga)


Lesenswert?

Hm? Das hat nichts mit der TM-Konsole zu tun. Entweder hat man ein 
Iso-Image oder nicht. Wenn man eins hat, braucht man keinen Rohling, um 
das an einem normalen Linux zu mounten... Für ein Iso-Image sollte dann 
aber "file" schon den passenden Typ ausspucken und es sollte einiges an 
lesbarem Text in den ersten 60KB des Image auftauchen.

von Fabian S. (seitfa)


Lesenswert?

Kurze Frage (ich hoffe es habe es nicht überlesen): Wie habt ihr den 
Rezept-Chip ohne Beschädigung am Gehäuse auf bekommen?

von Mode M. (mode)


Lesenswert?

Ich nehme an das externe CD Rom sollte an den Thermomix angeschlossen 
werden. Möchte man dort alternativ loop mounten bräuchte man einen 
Konsolenzugang.

von Jonas W. (jonaswi)


Lesenswert?

Fabian Seither schrieb:
> Kurze Frage (ich hoffe es habe es nicht überlesen): Wie habt ihr den
> Rezept-Chip ohne Beschädigung am Gehäuse auf bekommen?

Der hat 3 Haltenasen, welche sich bei mir beim Öffnen leicht verformt 
haben, hat aber beim Zusammenklipsen wieder ohne Probleme gehalten.
Ich dachte mir, dass es im Zweifel mit Sekunden oder Heißkleber wieder 
fest zu bekommen ist.
Ich bin mit einer dünnen Taschenmesserklinge zwischen grünen Ring und 
Rückseite gegangen und habe an verschiedenen Stellen Vorsichtig 
gehebelt.

von Markus W. (markus_w60)


Lesenswert?

Eine Frage in die Runde:
Gibt es auch ein Image mit einem vollständigen Auszug der Daten von 
einem Chip? Die oben genannte recipes.7z ist ja wenn ich das richtig 
verstanden habe nur ein Auszug des Speicherbereichs vom Chip, da laut 
Julien M. der Speicher mit dem folgenden Befehl kopiert wurde:
1
dd if=YourFile of=ZeroDump.img bs=4096 count=2048 skip=121856
Interessant wäre ein Auszug ohne SKIP/COUNT-Parameter.
(http://wiki.ubuntuusers.de/dd#Optionen)
Habe leider noch nicht meinen TM erhalten um es selbst komplett 
auszulesen.

von Florian S. (florian_s22)


Lesenswert?

Hallo,

ich bin neu hier, hatte aber noch eine Idee zu einer etwas anderen 
Herangehensweise:

Und zwar ist auf dem Gerät ja ein Linux mit DHCP-Client installiert. 
Vielleicht ist in dem verwendeten Kernel ja ein Treiber für eine 
USB-Netzwerkkarte enthalten. Dann könnte man ja mal versuchen so eine an 
den Rezeptchip-Port anzuschließen (evtl. mit einem USB-Hub). Mit etwas 
Glück holt sich der TM darüber eine IP vom Router. Mit noch mehr Glück 
läuft dann noch irgend eine Verwaltungssoftware auf dem Gerät.

Vielleicht könnte man sich über irgendwelche Sicherheitslücken (z.B. 
Heatbleed/SSL/SSH) dort Zugang zu einem Terminal zu verschaffen. Dann 
hätte man vermutlich viel gewonnen. Ich könnte mir vorstellen, dass der 
Rezeptchip an irgendeiner Stelle unverschlüsselt in das Dateisystem des 
Geräts gemountet wird. So käme man vielleicht an die verschlüsselten 
Daten heran oder man könnte vielleicht auch einfach einen eigenen Ordner 
mit Rezeptdaten an der entsprechenden Stelle mounten. Oder es liegt 
irgendwo der Schlüssel im Speicher.

Die Chance ist zugegebenermaßen nicht hoch, dass das wirklich alles 
klappt, könnte aber einfacher sein, als eine Datenträgerverschlüsselung 
zu brechen. Leider habe ich weder die Materialien um an den 
Rezept-Chip-Port andere Geräte anzuschließen, noch eine entsprechende 
LAN-Karte.

von Fab!an (fabiiian)


Lesenswert?

Ich habe ja bekanntlich einen Stick mit dem gleichen Chip. Habe die 
letzten Stunden versucht mit dd und dem Dumptool von SMI die Daten auf 
den Stick zu bekommen, jedoch ohne Erfolg. Die SN, Vendor-ID, 
Stromaufnahme, LUN-Size etc. habe ich gleich gesetzt, doch leider gehts 
nicht.

BTW: Wie groß waren eure dumps? Ich habe mit dem SMI Tool im "auto find 
end LBA" Modus 7MB und im "Full Dump" ca. 24 MB...

von Markus W. (markus_w60)


Lesenswert?

Fabian O. schrieb:
> Ich habe ja bekanntlich einen Stick mit dem gleichen Chip. Habe
> die
> letzten Stunden versucht mit dd und dem Dumptool von SMI die Daten auf
> den Stick zu bekommen, jedoch ohne Erfolg. Die SN, Vendor-ID,
> Stromaufnahme, LUN-Size etc. habe ich gleich gesetzt, doch leider gehts
> nicht.
>
> BTW: Wie groß waren eure dumps? Ich habe mit dem SMI Tool im "auto find
> end LBA" Modus 7MB und im "Full Dump" ca. 24 MB...

ein "end lba" kann eigentlich nicht drin sein, wenn keine 
partionstabelle drauf ist und full dump mit 24mb erscheint auch etwas 
klein oder? ist dein dump bereits komprimiert?

von David N. (knochi)


Lesenswert?

Fabian O. schrieb:
> Ich habe ja bekanntlich einen Stick mit dem gleichen Chip. Habe die
> letzten Stunden versucht mit dd und dem Dumptool von SMI die Daten auf
> den Stick zu bekommen, jedoch ohne Erfolg. Die SN, Vendor-ID,
> Stromaufnahme, LUN-Size etc. habe ich gleich gesetzt, doch leider gehts
> nicht.
>
> BTW: Wie groß waren eure dumps? Ich habe mit dem SMI Tool im "auto find
> end LBA" Modus 7MB und im "Full Dump" ca. 24 MB...

Also wenn der Stick die Daten verschlüsselt, muss wahrscheinlich auch 
die gleiche Firmware auf dem Flash Controller sein.
Kann man die nicht irgendwie mit den SMI Tools kopieren?

von Markus W. (markus_w60)


Lesenswert?

>Also wenn der Stick die Daten verschlüsselt, muss wahrscheinlich auch
>die gleiche Firmware auf dem Flash Controller sein.
>Kann man die nicht irgendwie mit den SMI Tools kopieren?
Wie kommst Du darauf, dass der Stick verschlüsselt? Ich denke eher, dass 
der Controller des TM entschlüsselt (vorausgesetzt das die Daten 
überhaupt verschlüsselt sind)

EDIT:
Was bisher abgeht, ist die Information wie der TM die Daten liest und 
wie er das Laufwerk mountet.

: Bearbeitet durch User
von Markus W. (markus_w60)


Lesenswert?

Hat inzwischen schon jemand den TM geöffnet? Die Idee von "Hans Ulli 
Kroll" mit dem Debug-Port war doch garnicht schlecht.

von Hans Ulli K. (Gast)


Lesenswert?

Denkt aber bitte dran :

Das sind am Debug-Port meisten "TTL-Pegel" von 3,3V.
Also nicht direkt das serielle Kabel anschließen.

Wer schon mal mit OpenWRT gearbeitet hat, kennt das verfahren ...

von Fab!an (fabiiian)


Lesenswert?

...das setzt aber voraus das hier jmd. seine Garantie opfert.

Ich habe mal an die opensource@vorwerk.de geschrieben, natürlich keine 
Antwort bekommen. Vielleicht sollten das mal mehr machen.

von Alexander S. (alexschabel)


Angehängte Dateien:

Lesenswert?

David,

nachdem ich mir Deinen Link zu rusolut auch mal angeschaut habe, hab ich 
obiges Bild erzeugt. Es startet bei 0x800000 in der ersten Nullstelle 
(weißer Bereich), bei 0x808000 folgen dann die ersten Daten. Das Bild 
ist mit 1024 Bits Breite erzeugt. Es handelt sich hier um einen Auszug 
von 256kB. Null ist weiß.

Interessant ist vielleicht, dass die Daten Deckungsgleich in zwei 
verschiedenen Rezeptchips sind (verschiedene Kochbücher!)

Allerdings stelle ich mir nach der Aktion nun die Frage, inwieweit uns 
das weiterbringt, denn auf rusolut wird - wenn ich das richtig 
verstanden habe - beschrieben, was du tun kannst, wenn Daten von einem 
ordinären Flash gerettet werden sollen. Soweit ich verstehe "scrambeln" 
alle Flash Controller heutzutage - möglicherweise um die Lebensdauer der 
NAND chips zu maximieren? Und wenn nun der Controller einen Schaden hat, 
muss man eben den Schlüssel rausfinden um die Daten rückzu"scrambeln". 
Richtig?

Nehmen wir mal an, dass diese Annahme stimmt - die erzeugten Bilder 
sehen ja trotzdem so aus, als ob sie durch einen solchen XOR Filter 
gelaufen wären. Wäre ja also durchaus denkbar, dass der TM mit diesem 
Schlüssel die Daten selbst entschlüsselt und der Flash Chip dumm ist. 
Gibt es hierfür Gegenargumente? Wenn nicht, stelle ich mir die Frage, 
wie genau ich den Schlüssel mit den ersten ca. 8MB verarbeiten müsste um 
mal zu sehen, was dort wirklich steht. In diesen ca 8MB müssen meiner 
Meinung nach die Nutzdaten stehen.

Alex

: Bearbeitet durch User
von Hans Ulli K. (Gast)


Lesenswert?

Hallo,

sind denn die beiden Chips im ersten 1MByte identisch ?
Außer vielleicht einige Bytes am Anfang (MBR ??)

von Markus W. (markus_w60)


Lesenswert?

Hans Ulli Kroll schrieb:
> Hallo,
>
> sind denn die beiden Chips im ersten 1MByte identisch ?
> Außer vielleicht einige Bytes am Anfang (MBR ??)

gibt es schon ein komplettes image eines chips? (gerne auch "nur" per 
pm)

von Alexander S. (alexschabel)


Lesenswert?

Hans Ulli Kroll schrieb:
> Hallo,
>
> sind denn die beiden Chips im ersten 1MByte identisch ?
> Außer vielleicht einige Bytes am Anfang (MBR ??)

Die zwei Chips die ich getestet habe enthalten scheinbar unterschiedlich 
viele Nutzdaten. DasKochBuch ca. 6,2MiB und KochenHatSaison ca. 3,6 MiB 
unterscheiden sich von 0B bis zur angegebenen Größe. Der Rest des Chips 
inkl. der weiter oben gezeigten Daten (evtl. ja auch Schlüssel) und 
Nullstellen ist identisch.

Alex

von Hans Ulli K. (Gast)


Lesenswert?

Hmmm,

Aber den Dump mit dem SMI Tool gemacht ??
Sorry ich habe nur das hier verlinkte Image mit 4GB Daten.

Zu der Frage die hier nich herumgeistert:
Wenn das Device sich selber als CD meldet (*) , es ist eigentlich egal 
wie der NAND Speicher aufgebaut ist.
Außerdem sind ja zu einem NAND Block von 2k noch die Reed Solomon Codes 
abgelegt.

*
Seit BAD-USB sollte jeder wissen, das auf dem USB-Stick ein 
Mikrocontroller 8051 am laufen ist. Und auf einigen USB WLAN Adaptern 
ist es auch so (Realtek)

von Alexander S. (alexschabel)


Lesenswert?

Meine img's der Chips habe ich, wie weiter oben beschrieben, mit dd von 
/dev/sr1 gezogen.

von Hans Ulli K. (Gast)


Lesenswert?

OK.

Dann ist das Image was ich hier habe falsch
http://remixshare.com/dl/cejwf/recipes.7z
Das ist entpackt 4GB !!!

von Mode M. (mode)


Lesenswert?

Ist das alles legal?

https://www.youtube.com/watch?v=oE4rmzkL4tk



PS: Wir sind hier ein Hackerforum ;-)

von Hans Ulli K. (Gast)


Lesenswert?

Geil ...

Ein Problem wird dabei aber nicht erwähnt :

Auf dem Linux Kernel bzw. auf einigen Tools z.B. busybox existiert eine 
GPL
Was es auf sich hat, sollten wenigstens die Hersteller wissen.

UND damit meine ich nicht Vorwerk allein ...

Ob da jetzt ein Kopierschutz drauf ist, kann ich nicht sagen.
Ich habe so ein Teil nicht und ich werde mir so ein DING nicht zulegen, 
da habe ich genug andere elektronische Spielsachen womit ich am arbeiten 
bin:

Siehe https://github.com/ulli-kroll/rtl8821au

OK da fehlt die GPL und das README, aber die sind irgendwo in den Files 
versteckt.
Und der Treiber ist im Original von der Edixmax Seite (glaube ich, steht 
in den logs).
Außerdem möchte ich damit auch noch nich hausieren gehen, da dieser 
z.Zt. für mich zu schlecht ist um in den Staging Zweig zu kommen.

Hans Ulli

von Robert L. (lrlr)


Lesenswert?

"die hacker leihen sich von deren Frauen die Küchenmaschine"
lol

da dreht sich ja Alice Schwarzer  im Grabe um..

>Ist das alles legal?

Natürlich nicht,..

interessanter wäre jetzt, wer das jetzt NOCH versucht (und geschafft 
hat?)

von Jonas W. (jonaswi)


Lesenswert?

Mode M. schrieb:
> Ist das alles legal?
>
> https://www.youtube.com/watch?v=oE4rmzkL4tk
>
>
>
> PS: Wir sind hier ein Hackerforum ;-)


Ob diese "Popularität" so gut ist...? Und wie kommt er auf dieses Thema?

Aber zum Inhalt, selbstverständlich ist das vervielfältigen der von 
Thermomix erstellen Chips nicht legal. Aber das probiert hier ja niemand 
der Ansatz ist ja EIGENE Rezepte auf einen EIGENEN Chip zu bringen.

von Hans Ulli K. (Gast)


Lesenswert?

Naja,

wenn die Hacker die Küchenmaschine klauen und wie in iFixit zerlegen, 
dann glaube ich könnte der Haussegen etwas schief hängen.
Besonders wenn da irgendwo (auch hinten am Gerät) ein Kratzer von den 
Öffnungsversuchen zu sehen ist.

von Barney G. (fuzzel)


Lesenswert?

Naja, "Hacken" ist ja nicht verboten, so lange man es fuer sich im 
Stuebchen macht. Sich dabei mit anderen auszutaschen um zum Ziel zu 
gelangen duerfte auch nicht wirklich illegal sein.
Guckt man sich die Amis an, was so in den Nachrichten auftaucht / 
aufgetaucht ist, interessiert das eh niemanden. Denn alles was bei rum 
kommt ist " Das war aber nicht nett was ihr da seit 100 Jahren gemacht 
habt". Ich mein', das ist ja alles nix Neues.

Aber was ich eigentlich sagen wollte. Respekt was ihr hier so 
veranstaltet.

von Hans Ulli K. (Gast)


Lesenswert?

So,

ich habe mal meine Murmel benutzt und ein paar Werte nachgerechnet:

Nehme ich ein normales Rezept, aus dem Kochbuch, bin ich bei ca. 3-4k an 
Text. Wenn ich die Sache noch UTF8 encode komme ich auf 8k. Plus noch 
irgendwelchen Krempel den ich in eine XML Datei packen würde, um jetzt 
Pausen und Steuerungen für den TM5 anzugeben, würde ich so bei 15-20k 
liegen.


Bilder und Ton dürften da nicht auf dem Stick sein.
Bei ca. 300 Rezepten komme ich auf ca. 6 MB, wenn ich nicht noch gzip 
benutze ...


Alles was darüber liegt ist einfach BLOAT

Was mir gerade noch eingefallen ist:

Was passiert denn bei einem DoS auf dem TM5 ?
Die Milch kocht über

von Alexander S. (aschaefer85)


Lesenswert?

Meine Dame hat es gemerkt das ich den Chip geschossen habe und mich 
beauftragt unverzüglich einen neuen zu besorgen. So jetzt habe ich zwei 
davon...
Dann kann das Spiel ja weiter gehen. ;-)

Ich bin Freitag ganze drei Stunden eher zu Hause als der Drachen, werde 
diese blöde Wunderkiste zerlegen und schauen was drin ist.
Kann mir einer sagen worauf ich besonders achten muss damit wir hier 
weiter kommen?

Selbstverständlich werde ich alles haargenau mit Fotos dokumentieren.

Ach übrigens wurde öfters gefragt wie man dann Chip aufmacht.
Man kann zwischen die obere weiße Kappe und den mittleren grünen 
Gummiring den Fingernagel eindrücken und ein mal rings rum fahren.

von Barney G. (fuzzel)


Lesenswert?

Alexander Schäfer schrieb:
> Kann mir einer sagen worauf ich besonders achten muss damit wir hier
> weiter kommen?

Mach' halt viele viele Fotos, nichts sagt mehr. Ich kaufe mir jetzt 
bestimmt keine 1000.- Maschine nur um das verfolgen zu koennen. 
Ausserdem habe ich Messer Topf, Pfanne, Induktionsfeld. Kuechenmaschinen 
mag ich nicht.

Und als Drachen wuerde ich sie jetzt nicht bezeichnen, immerhin hat sie 
Dich beauftragt Deine Bastelware zu besorgen :o) Wenn ihr nu getrennte 
Konten habt ist das natuerlich Dein Ding. shit happens.

: Bearbeitet durch User
von Hans Ulli K. (Gast)


Lesenswert?

Ein Bootlog wäre auch schön, aber auch gefährlich ....

Es dürfte sich nach meiner Meinung noch irgendwo eine Reihe mit vier 
offenen Lötpunkten auf der Platine befinden. Das ist im Normalfall die 
serielle Schittstelle.
ACHTUNG
Dort sind Pegel von 3.3V, also einen Adapter dafür nehmen.
Früher hatte ich dazu immer ein Handy USB-seriell Kabel genommen.
Masse und RX sind relativ einfach mit einem Voltmeter/Ohmeter erstmal 
auf der Kabelseite zu finde.
TX finde ich auf dem Kabel durch Spannungsänderung.

Oder auch hier http://www.adafruit.com/product/954
Farben sind glaube ich Standard.

Die rote Ader auf keinen Fall verbinden 5V, die CPU hat aber 
3,3V(Platine) oder auch weniger

Wenn Masse und RX bekannt sind, wird dann erstmal die Masse bei den vier 
Lötpunkten gesucht. Die RX Leitung vom Kabel kannst du dann über die 
restlichen Punkte "proben".
Wenn Datenmüll im Terninalprogramm kommt, die Baudraute ändern.

Zwischen 19200-115200 habe ich schon alles gesehen ..

Achja Link zu meinem vermuteten SoC
http://www.freescale.com/webapp/sps/site/prod_summary.jsp?code=i.MX6SL

MCIMX6LxDVN10xx
MCIMX6LxDVN10xx

Hat alles was der Mensch braucht.

GPIO, USB, MAC (Ethernet) und eine LCD Treiber ..

von Alexander S. (aschaefer85)


Lesenswert?

Ich habe noch aus der arduino Zeit diesen hier:
http://www.watterott.com/de/TTL-232R-USB-Serial-Converter
Leider 5V Version

von Hans Ulli K. (Gast)


Lesenswert?

Das ich gerade noch online bin.

Es dürfte bei den bekannten Handyläden für alte Geräte noch Datenkabel 
geben ..
Die bekommst du dort für 5 EUR nachgeworfen

Hmmm,
messe trotzdem dein Kabel mal nach.

Blau(TX) mi Schwarz (GND) dürfte 3.3V sein.

Bei den aktuellen Kabel die aus China kommen, ist auf dem roten immer 
5V. Jedensfalls die aktuell habe.

von Mode M. (mode)


Lesenswert?

Was ist passiert, Alex? Hat dich der Drachen am Freitag doch früher als 
erwartet überrascht und du darfst jetzt hier nicht mehr posten?? ;-)

von Alexander S. (aschaefer85)


Lesenswert?

Nein ;-)
Ich habe das Teil einfach nicht richtig aufbekommen und hab nur mit dem 
Handy ein paar Bilder gemachen.
Hatte es mir eigentlich leichter vorgestellt.
Hab extra eine Kamera mit Stativ aufgestellt um gute Bilder machen zu 
können, aber stattdessen musste ich das Handy in die Lücken quetschen um 
überhaupt was an Bildern zu bekommen.
Ich will aber zu mindestens das was ich habe nicht verstecken. :-)
Sorry für die schlechten Bilder.
https://www.dropbox.com/sh/l45mhe442zxa3pk/AABtsN-zJmSLyLRh2kzvaEiLa?dl=0

Sobald ich etwas mehr Zeit habe werde ich es noch mal versuchen.

von Hans Ulli K. (Gast)


Angehängte Dateien:

Lesenswert?

Nette Bilder ...

*32_jpg zeigt so wie es aussieht, Hauptplatine.
Ich kann die Haltenase für den Displayrahmen erkennen.
Vorne sind zwei Haltenase klar zu erkennen und unten kann ich auch noch 
zwei Haltenase sehen.
Die wei oberen sehe ich jetzt nicht.

Wenn diese sechs "betätigt" werden sollte das Display mit der 
Steuerplatine herausfallen.
So wie es aussieht, ist der Displayrahmen der Halter für die Platine und 
wird einfach bei der Montage von außen eingeklipst.

Ich kann auch sowas wie eine serielle Schnittstelle erkennen.

von Alexander S. (aschaefer85)


Lesenswert?

Auf Bild *40_jpg sieht man eine noch etwas größere Platine.
Ich kamm da aber einfach nicht dran. :-(
Und die Leitung die vom Chip kommt(die geschirmte Leitung auf den 
Bildern), konnte ich einfach nicht erkennen wo sie genau hin geht.
Daher bin ich mit der Aussage etwas vorsichtig und kann nicht genau 
sagen was die hauptplatine ist.

Das Display kann man ausbauen. Das ist aber etwas schwieriger als man 
denkt da die Kabel vorher abgemacht werden müssen.

von Hans Ulli K. (Gast)


Lesenswert?

Hmmm

Wenn ich jetzt mal das Produktbild vom TM5 vergleiche, dann ist

Bild *_32.jpg von der linken Seite aufgenommen worden.
Bild *_55_40.jpg irgendwie von vorne/unten
Bild *_52.jpg vorne/unten aber was weiter nach links

Auf Bild *_40.jpg kann man den Drehencoder sehen, dessen 
Verbindungskabel gehen nach links auf die Displayplatine.

Auf Bild *_52_40.jpg sehe ich irgendwas mit Temp, das könnte die Meß- 
und Steuerplatine sein.
Vielleicht ist da auch die CPU drauf.

Die geschirmte Leitung ist vom USB.

Alexander Schäfer schrieb:
>
> Das Display kann man ausbauen. Das ist aber etwas schwieriger als man
> denkt da die Kabel vorher abgemacht werden müssen.

glaube ich nicht ...
Schau mal auf Bild *_55_42.jpg
Es sieht aus, als ob das Display auf der linke Seite ausgeklipst werden 
muss.
Dann kannst du es nach oben und rechts "aufklappen"

von Alexander S. (aschaefer85)


Lesenswert?

Hans Ulli Kroll schrieb:

> Auf Bild *_40.jpg kann man den Drehencoder sehen, dessen
> Verbindungskabel gehen nach links auf die Displayplatine.

Leider nicht.
Das Kabel geht vom Drehendcoder nicht auf die Platine auf dem Display 
sondern in ein Kabelstang

Schau mal auf Bild *_55_52.jpg


Ich glaube eher es ist die Steuerplatine für das kapazitive Display.

: Bearbeitet durch User
von Hans Ulli K. (Gast)


Lesenswert?

Alexander Schäfer schrieb:
> Hans Ulli Kroll schrieb:
>
>> Auf Bild *_40.jpg kann man den Drehencoder sehen, dessen
>> Verbindungskabel gehen nach links auf die Displayplatine.
>
> Leider nicht.
> Das Kabel geht vom Drehendcoder nicht auf die Platine auf dem Display
> sondern in ein Kabelstang
>
> Schau mal auf Bild *_55_52.jpg
>
>
> Ich glaube eher es ist die Steuerplatine für das kapazitive Display.

Ja, die Platine ist fürs Display und Touchscreen
Der Strang geht nach links weg,.

Ich bin mir gerade paar Videos am reinziehen.

Jede zweite Person nennt sich das was mit Thermo.
Und preist das DING an, wie auf dem Wochenmarkt. Dazu ist denn noch 
irgendwo ein Shop versteckt.

Mess mal die Tiefe von dem Schraubenloch auf Bild *_11.jpg
Es sieht danach aus, als ob diese auch gelöst werden muss

von Alexander S. (aschaefer85)


Lesenswert?

Hans Ulli Kroll schrieb:
> Mess mal die Tiefe von dem Schraubenloch auf Bild *_11.jpg
> Es sieht danach aus, als ob diese auch gelöst werden muss

Sorry dass ich das noch nicht erwähnt habe aber was auf Bild *_11.jpg zu 
sehen ist hat mich echt zur Verzweiflung gebracht. Auf Bild *50_40.jpg 
sieht man den Drehencoder und links davon eine Art schwarze 
Plastikschiene.
Dieser ist relativ lang und geht dann bis zum Boden und ist in dem 
kleinem Loch wo mein Finder drauf zeigt eingehackt.
Sobald die Front etwas angehogen wird klippst er aus und lässt sich 
nicht mehr in das Loch bewegen. Das hat mich ganze 15 Minuten gekostet 
diesen wieder zurück zu drücken. Ich glaube er soll einfach den 
Drehencoder stützen.
Die Schraube in dem Schraubenloch das du meinst habe ich da schon 
entfernt gehabt.
Ich habe alle Schrauben gelöst und jeden Klipp usw. kontrolliert aber er 
häng im oderen Viertel. Keine Ahnung was da noch die beiden Teile 
zusammen hällt.

: Bearbeitet durch User
von Hans Ulli K. (Gast)


Angehängte Dateien:

Lesenswert?

Alexander Schäfer schrieb:
> Hans Ulli Kroll schrieb:
>> Mess mal die Tiefe von dem Schraubenloch auf Bild *_11.jpg
>> Es sieht danach aus, als ob diese auch gelöst werden muss
>
> Ich habe alle Schrauben gelöst und jeden Klipp usw. kontrolliert aber er
> häng im oderen Viertel. Keine Ahnung was da noch die beiden Teile
> zusammen hällt.

So jetzt habe ich mal "Die Zukunft des Kochen" angesehen.
Auf der Rückseite ist so eine V-Förmige Platte.
Da hinter können sich noch zwei Schrauben verstecken, sonst würde der 
Griff sich immer heben.
Oder die sind von oben, also unter der Verzierung vom Griff.
Wobei ich letzteres vorziehe, wie sollen die es je wieder reparieren 
können.

Zum öffnen von Fernbedienungen habe ich z.B. immer solche Minihefter 
genommen.

von Alexander S. (aschaefer85)


Lesenswert?

Hinter der V-Abdeckung sind sogar 3 Lange Schrauben versteckt.
Sind die beiden oberen langen Schrauben mal rausgeschraubt lässt sich 
der Griff nach oben hin ab ziehen. Danke für deine Hilfe.
Die Idee mit dem Minihefter höre ich zum ersten mal und finde es genial.
Hab gerade ein Video entdeckt und schaue mir gerade alles in Zeitlupe 
an.
Ich glaube Vorwerk hat sich damit kein Gefallen getan ;-)
https://www.youtube.com/watch?v=3YmD0ziZ1rs

von Alexander S. (aschaefer85)


Lesenswert?

Nach dem Video nach muss ich zuerst die beiden oberen "Griffe" und das 
Display ausbauen erst dann bekomme ich die Front ab.

Danke Vorwerk ;-)

von Karl R. (Firma: meine) (planze)


Lesenswert?

Ein kurzer Hinweis zu den ASCII-Tabellen, die u.a. Ulli Kroll weiter 
oben gefunden wurde :
Ich hatte schonmal mit Silicon Motion Flash Controllern zu tun. Die 
ASCII Tabellen entstehen beim Produktionstest des Speichers. Um Zeit zu 
sparen Schreibt eine Testsoftware nicht den kompletten Speicher voll 
sondern nur alle paar Blöcke eine Tabelle. Somit sind alle Daten. und 
Adressleitungen getestet.

Die Tabellen sind also keine Nutzdaten vom Thermomix sondern sagen und 
viel mehr, dass der benutzte Bereich kleiner ist.

von Hans Ulli K. (Gast)


Lesenswert?

Karl Ranseier schrieb:
> Ein kurzer Hinweis zu den ASCII-Tabellen, die u.a. Ulli Kroll weiter
> oben gefunden wurde :
> Ich hatte schonmal mit Silicon Motion Flash Controllern zu tun. Die
> ASCII Tabellen entstehen beim Produktionstest des Speichers. Um Zeit zu
> sparen Schreibt eine Testsoftware nicht den kompletten Speicher voll
> sondern nur alle paar Blöcke eine Tabelle. Somit sind alle Daten. und
> Adressleitungen getestet.
>
> Die Tabellen sind also keine Nutzdaten vom Thermomix sondern sagen und
> viel mehr, dass der benutzte Bereich kleiner ist.

DANKE

Jetzt weiss ich warum auch nach einer Zeit nur 255 von 256 Möglichkeiten 
in dem Block vorkommen.
Um ein eventuelles Mapping zu erkennen.
Ist quasi wie beim MemTest

Aber trotzdem wurder ich mich warum der (benutze) Speicher so groß ist 
...

von Carlos B. (morpheus128)


Angehängte Dateien:

Lesenswert?

Schön, das es hier wieder weiter geht.
Habe inzwischen diverse 4GB USB Sticks besorgt die annähernd so 
aussehen, wie der im Rezept-Chip. Ich möchte versuchen die Chip 
Einstellungen zu klonen um zu schauen, woran der Thermomix erkennt, dass 
es ein original Chip ist.

Nein! Nicht um die Dinger dann illegalerweise zu verkaufen, sondern um 
nicht jedes mal einen neuen Rezeptchip kaufen zu müssen, wenn ich mal 
was überschreibe.

Danach geht es an die Daten auf dem Chip!

Ich denke ich habe einen Volltreffer bei der Bucht geladet. Wenn ihr 
nach "Kugelschreiber mit USB-Stick 4GB" sucht und angehängtes Bild seht.

Der Chip selber ist etwas länger, hat aber die selben Innereien 
(SM3257ENT).
Mit dem SMI Tool v2.5.27 konnte ich bereits die meisten Einstellungen 
vom original Chip übertragen.
Mit UFDisk Utilities habe ich aber bisher keinen Erfolg gehabt das Ding 
auf CD-ROM- bzw. RAW-Modus zu schalten.

Sobald es klappt, kopiere ich die Daten von meiner "Sicherheitskopie" 
drauf und gehe damit an den Thermomix...

von Fab!an (fabiiian)


Lesenswert?

Carlos C. schrieb:
> Der Chip selber ist etwas länger, hat aber die selben Innereien
> (SM3257ENT).

Schau dir mal meine Beiträge an, ich habe auch einen Stick mit dem Chip 
und habe das gleiche Probiert. Alle Settings identisch, als CD-LW und 
ein Dump vom original drauf - vergeblich...

Hast du mal ins Debugfenster von dem SMI Tool geschaut?

: Bearbeitet durch User
von Carlos B. (morpheus128)


Lesenswert?

Fabian O. schrieb:
> Carlos C. schrieb:
>> Der Chip selber ist etwas länger, hat aber die selben Innereien
>> (SM3257ENT).
>
> Schau dir mal meine Beiträge an, ich habe auch einen Stick mit dem Chip
> und habe das gleiche Probiert. Alle Settings identisch, als CD-LW und
> ein Dump vom original drauf - vergeblich...
>
> Hast du mal ins Debugfenster von dem SMI Tool geschaut?

Sorry Fabian, habe wohl ein paar Postings von dir übersehen.
Hattest du auch die Magnete dazu in Position gebracht, wie oben 
vorgeschlagen wurde? Ist nicht ohne Grund ein Reed Sensor an der Stelle 
vorhanden.

Im Debugfenster steht bei mir die Chipbezeichnung mit zugehöriger 
Imagedatei und darunter die ISP Version.
Oder meinst du den Debugknopf?! Der fragt bei mir nach nem Passwort und 
nimmt alles was ich ihm eingebe ohne Kommentar an...

von Fab!an (fabiiian)


Lesenswert?

Carlos C. schrieb:
> Im Debugfenster steht bei mir die Chipbezeichnung mit zugehöriger
> Imagedatei und darunter die ISP Version.
> Oder meinst du den Debugknopf?! Der fragt bei mir nach nem Passwort und
> nimmt alles was ich ihm eingebe ohne Kommentar an...

Habe an dem Original Chip ein USB Kabel dran. habe dann die beid USB 
Speicher getauscht. Probier mal als Kennwort "320"

von Carlos B. (morpheus128)


Lesenswert?

Fabian O. schrieb:
> Carlos C. schrieb:
>> Im Debugfenster steht bei mir die Chipbezeichnung mit zugehöriger
>> Imagedatei und darunter die ISP Version.
>> Oder meinst du den Debugknopf?! Der fragt bei mir nach nem Passwort und
>> nimmt alles was ich ihm eingebe ohne Kommentar an...
>
> Habe an dem Original Chip ein USB Kabel dran. habe dann die beid USB
> Speicher getauscht. Probier mal als Kennwort "320"

Immer noch nix. Auch bei "320" gibt es weder Bestätigung noch Ablehnung.

von Carlos B. (morpheus128)


Lesenswert?

Ohhh...
Im Settingsmenü kann ich aber jetzt Einstellungen vornehmen!
Danke für das Passwort!

von Fab!an (fabiiian)


Lesenswert?

Carlos C. schrieb:
> Ohhh...
> Im Settingsmenü kann ich aber jetzt Einstellungen vornehmen!
> Danke für das Passwort!

Dann war es "1111" fürs Debug Fenster...

von Jonas W. (jonaswi)


Angehängte Dateien:

Lesenswert?

Ich habe mir mal den USB Mitschnitt von knochi angeschaut, eine 
Erkenntnis die ich gewinnen konnte war, dass definitiv Daten gesendet 
werden die man auch im hexdump vom dd des Chips findet.
Zusätzlich taucht im SCSI Protokoll auch irgendwie der Begriff XOR auf, 
wurde weiter oben ja schon mal angesprochen, dass Daten evtl. mit XOR 
auf dem Stick liegen!?

von Hans Ulli K. (Gast)


Lesenswert?

Jonas W. schrieb:
> Ich habe mir mal den USB Mitschnitt von knochi angeschaut, eine
> Erkenntnis die ich gewinnen konnte war, dass definitiv Daten gesendet
> werden die man auch im hexdump vom dd des Chips findet.
> Zusätzlich taucht im SCSI Protokoll auch irgendwie der Begriff XOR auf,
> wurde weiter oben ja schon mal angesprochen, dass Daten evtl. mit XOR
> auf dem Stick liegen!?

Hmmm
Was sagt denn T10 dazu

ftp://ftp.t10.org/t10/document.94/94-111r8.pdf

In storage arrays, an array controller organizes a group of storage 
devices into a redundancy group. Some areas within the address space of 
the storage array are used for check data. The check data is generated 
by performing a cumulative exclusive-or (xor) operation with the data 
from other areas within the address space of the storage array known as 
protected data. This xor operation can be performed by the array 
controller or by the storage device.

1)
An XDWRITE(10) command is sent to the protected data device. This 
transfers the new write
data to the protected data device. The device reads the current data, 
performs an xor operation
on the current data and the new data, retains the xor result in its 
buffer, and writes the new data to
the medium.

Wenn ich das richtig verstehe sind dss Befehle für RAID Arrays.
Seltsam

von Joerg W. (joerg_w72)


Angehängte Dateien:

Lesenswert?

Hallo Männer,

hat einige Zeit gebraucht, bis wir uns hier über den Weg laufen. Erst 
einmal HUT AB! für eure Unermüdlichkeit! Ich bin an der Sache auch seit 
einiger Zeit dran - allerdings aus einer zwar technischen aber nicht so 
tiefen Sichtweise.  Ich habe ein paar Informationen die eine Menge Licht 
ins dunkel bringen könnten.

Ist ja allgemein Schwierig wenn man nicht weis an welcher Stelle man was 
suchen soll. Ich bin mal von einer eher Verfahrenstechnischen Sicht an 
die Sache herangegangen und haben das Zugrunde-liegende Patent 
aufgestöbert. Und siehe da ... ist wie erhofft eine Art "Bauanleitung" 
Zumindest verstehe ich das so.

Ich hoffe das ich einen kleinen Beitrag zu des Rästsels Lösung beitragen 
konnte ...

Gruss Jörg

Nachtrag: Hab die Zugrundeliegende Patentschrift EP2249276 (A1) noch 
beigefügt

: Bearbeitet durch User
von Alexander S. (alexschabel)


Lesenswert?

Danke Jörg!

Da steht es also schwarz auf weiß.
Der Usb Stick ist dumm, denn der Thermomix entschlüsselt selbst!

Was dort auch erstaunliches steht ist, dass die Daten auf dem Chip ohne 
Kenntniss des Schlüssels menschenlesbar gemacht werden können.

Ergo wer nur den Chip am Rechner lesen will: thumbs up
Wer was auf den Thermomix kriegen will: have fun

Alex

von Joerg W. (joerg_w72)


Lesenswert?

Alex, so ist es ... Ohne "Signatur" also den passenden Key wird wohl 
nichts gehen. Aus meiner Sicht wird das auch rechtlich extrem schwierig 
...

von Richard M. (richi1970)


Lesenswert?

Hallo Forum,

es könnte vielleicht auch helfen einen usb-stick mit einer gültigen 
SerNr zu befruchten. Tools zum ändern der SerNr habe ich gefunden 
allerdings nur unter Linux...

LG

richi

von Jonas W. (jonaswi)


Lesenswert?

Richard M. schrieb:
> Hallo Forum,
>
> es könnte vielleicht auch helfen einen usb-stick mit einer gültigen
> SerNr zu befruchten. Tools zum ändern der SerNr habe ich gefunden
> allerdings nur unter Linux...
>
> LG
>
> richi


Ich denke auch das könnte zumindest schon einmal ein Teilansatz sein. 
Da, zumindest nach meinem Kenntnissstand, die Rezeptchips mit gleichem 
Inhalt auch gleiche Seriennummern aufweisen.

Früher oder später wird ziemlich sicher von Vorwerk ein Chip kommen den 
man selbst beschreiben kann. Wie man ja auch aus dem Patent rauslesen 
kann ist die Möglichkeit dafür zumindest gegeben.

von Fab!an (fabiiian)


Lesenswert?

Richard M. schrieb:
> es könnte vielleicht auch helfen einen usb-stick mit einer gültigen
> SerNr zu befruchten. Tools zum ändern der SerNr habe ich gefunden
> allerdings nur unter Linux...

Nicht wirklich. Im Patent steht ja drin, das...

"[0003] Nachteilig  bei  einem  derartigen  Speichersy-
stem  ist,  dass  eine  unberechtigte  Vervielfaltigung  der
Speichermedien nicht ausreichend verhindert ist, da die
Kennung des Speichermediums als Schliissel zum Aus-
Iesen derverschliisselten Daten des Dateisystems dient."

..auslesen und "kopieren" möglich ist, aber durch die Verschlüsselung 
mit Privat/Puplic Key das erzeugen eines eigenen Chips nicht ohne 
weiteres möglich ist. Mir geht es auch nicht darum Chips zu kopieren 
oder billiger zu kaufen, sondern ich möchte eigene Rezepte auf den Chip 
bekommen.

PS: Danke Joerg! Hätte ich nicht von Vorwerk gedachte, aber eigl. ich es 
ganz logisch das die Chips geschützt sind, ansonsten hätte man sich ja 
sein Aftermarket Geschäft versaut. Aber das die so gut sind, Respekt.

von Alexander S. (aschaefer85)


Lesenswert?

Kann es vielleicht sein das auf dem Thermomix TrueCrypt läuft?
Ist nur so eine Idee....
So mehr ich mich über TrueCrypt informierte desto mehr sieht es danach 
aus. Es gibt auch ein paar nette Beiträge und Videos wie man das Problem 
bei Verlust des Schlüssels löst.
So bald ich zu Hause bin schaue ich mir das noch mal genauer an.

von Joerg W. (joerg_w72)


Lesenswert?

Alexander Schäfer schrieb:
> Kann es vielleicht sein das auf dem Thermomix TrueCrypt läuft?
> Ist nur so eine Idee....
> So mehr ich mich über TrueCrypt informierte desto mehr sieht es danach
> aus. Es gibt auch ein paar nette Beiträge und Videos wie man das Problem
> bei Verlust des Schlüssels löst.
> So bald ich zu Hause bin schaue ich mir das noch mal genauer an.


Ich denke da eher an SQL Extension Encrytion oder SQLChypher ... ?!

von Hans Ulli K. (Gast)


Lesenswert?

Naja,

sobald es an das umgehen eines Kopierschutzes geht wird es rechtlich 
hakelig.
(wenn nicht sogar der Thread gelöscht wird)

Ich möchte dazu aber noch auf das Patent von Vorwerk zurückgreifen

> Die Erfindung betrifft zunächst ein Verfahren zum Hinterlegen einer aus
> digitalen Daten > bestehenden Information (4, 5) auf einem Datenträger
> (1) und Auslesen der Information von dem Datenträger (1), wobei der
>  Datenträger (1) eine individuelle digitale Kennung (2) aufweist, wobei
> eine Signatur (10) gebildet wird, wobei die Information Informations-
> bestandteile (4) besitzt, die nur dann von einer ersten elektronischen
> Datenverarbeitungseinrichtung (11) verarbeitet werden können, wenn
> die Kennung (2) und die Signatur (10) in einer vorbestimmten Relation
> zueinander stehen. Um ein elektromotorisches Haushaltsgerät mit
> Prozesssteuerdaten zu versorgen, wobei gleichzeitig sichergestellt werden
> soll, dass nur Originaldaten zur Anwendung kommen, wird vorgeschlagen,
> dass die Informationsbestandteile (4) von einer zweiten elektronischen
> Datenverarbeitungseinrichtung (12) _auch dann verarbeitet werden
> können, wenn die Signatur (10) und die Kennung (2) nicht in der
> vorbestimmten Relation zueinander stehen. Die Erfindung
> betrifft darüber hinaus ein elektromotorisch betreibbares Haushaltsgerät,
> insbesondere Küchenmaschine, die eine elektronische Datenverarbeitungs-
> einrichtung aufweist, ein System und eine integrierte Halbleiterschaltung,
> verwirklichend auch die Merkmale zum Hinterlegen einer aus digitalen Daten
> bestehenden Information.

Da steht drin, das der Weg von der Verschlüsselung ungegangen werden 
kann.
Ich gehe mal davon aus, das Vorwerk geplant hat, das jeder eigene 
Rezeptchips
bauen kann.

Die eigenen Chip können ggf. auch ein Updates der Firmware haben !

Die Chips haben doch alle die gleiche Seriennummer ?
Wie sieht es denn aus, wenn diese NUll ist.

OK, wie jetzt die Daten auf dem Stick liegen, kann ich jetzt nicht 
sagen.

von Joerg W. (joerg_w72)


Lesenswert?

Es geht nicht um einen Kopierschutz - eher um das CLONEN einer 
Authentifizierung (PKI). Die Daten auf dem Chip müssen nicht einmal 
besonders geschützt sein, Vorwerk will nur verhindern, das Chips 
angedockt werden, die nicht von Ihnen sind ...

von Jonas W. (jonaswi)


Lesenswert?

Joerg W. schrieb:
> Es geht nicht um einen Kopierschutz - eher um das CLONEN einer
> Authentifizierung (PKI). Die Daten auf dem Chip müssen nicht einmal
> besonders geschützt sein, Vorwerk will nur verhindern, das Chips
> angedockt werden, die nicht von Ihnen sind ...

So lese ich es auch. Falls es also nur um den Chip geht sollte es also 
eventuell möglich sein auf dem Chip von Vorwerk eigene Rezepte hinzu zu 
fügen!? Weil der Chip wäre ja von Vorwerk. Solange die Annahme des Chips 
nicht vom Inhalt abhängt, also der Teil mit dem sich der Chip 
authentifiziert nicht mit dem Inhalt ändert.
Wäre eventuell erst einmal ein Ansatz die Rezeptdaten auf den Chips 
sichtbar zu machen.

Wobei wir ja genau hierbei gerade noch nicht weiter gekommen sind.

: Bearbeitet durch User
von Alexander S. (aschaefer85)


Lesenswert?

Hans Ulli Kroll schrieb:
> Die Chips haben doch alle die gleiche Seriennummer ?

Ich habe hier drei unterschiedliche Kochchips liegen und alle drei haben 
unterschiedliche Seriennummern.

von Joerg W. (joerg_w72)


Lesenswert?

Ja das mit den Seriennummern ist doch ganz normal... und auch nicht von 
Bedeutung ... zumindest nicht von elementarer.

Entscheidend ist der Fingerprint/Hash des Chips. Bedeutet die 
Seriennummern haben eine "LOGIC" damit Sie über einen Fingerprint 
idendifiziert werden können. Der Hash wird wohl beim Flashen in einem 
"ungeschützten" oder zumindet un-chiffrierten Teil (meist Tabelle) auf 
dem Chip abgelegt .. (Chip=USB Device)

1. Chip identifizieren - Autorisieren (PKI) wahrscheinlich mit einem 
Teilschlüssel .. Hash auf dem Chip - Key auf dem TM ...

2. Wenn der Chip als "friendly" identifiziert wird, kommt Phase 2 .. PKI 
- Private Key sucht "Public Key" in einem nicht verschlüsselten Teil des 
Chips (eig. Partition??) .. wenn die passen wird die "versteckte" 
Partition entschlüsselt und die Daten werden eingelesen.

In meinen Augen besteht die größte Schwierigkeit darin, einen Chip 
bereitzustellen, der vom TM akzeptiert wird. Also ich hab keinen Chip 
aber vielleicht versucht ihr mal einen "forensischen Clone" von einem 
vorhandenen Vorwerk Chip zu machen ... hiermit zB:

http://www.osforensics.com/downloads/osfclone.zip

Ich denke man sollte zuerst die Seriennummer auf dem Zielmedium faken... 
und dann clonen. Wenn das klappt, was ich mit kaum vorstellen kann 
sollte ein wesentlicher Teil geschafft sein ... sofern ich das richtig 
sehe??

GOOD LUCK! Wenns klappt geb ich einen aus! versprochen!

von Karl R. (Firma: meine) (planze)


Lesenswert?

Ich glaube nicht, das Vorwerk Chips verkaufen wird, auf die man eigene 
Rezepte spielen kann.
Mit der "zweiten elektronischen Dateneinrichtung" ist ja ein PC des 
Benutzers gemeint. Ich denke, dass hier der Plan ist dass der Benutzer 
sich über einen Onlineshop von Vorwerk gegen Geld zertifizierte Rezepte 
(alias Images des Sticks) kaufen und runterladen kann. Der Benutzer hat 
dann nur einen USB-Adapter um den Stick über eine Vorwerk-Software zu 
laden. Vorwerk will damit wie die Handyhersteller nicht nur am Verkauf 
der Geräte sondern auch noch an "Apps" verdienen.

Ohne den Key im TM (der ja bei allen TM5 gleich sein muss) wird 
wahrscheinlich schwierig. Die gute Nachricht ist, dass der Key ja 
irgendwo da drin ist.

von Alexander S. (aschaefer85)


Lesenswert?


von Joerg W. (joerg_w72)


Lesenswert?

Karl Ranseier schrieb:
> Ich glaube nicht, das Vorwerk Chips verkaufen wird, auf die man eigene
> Rezepte spielen kann.
> Mit der "zweiten elektronischen Dateneinrichtung" ist ja ein PC des
> Benutzers gemeint. Ich denke, dass hier der Plan ist dass der Benutzer
> sich über einen Onlineshop von Vorwerk gegen Geld zertifizierte Rezepte
> (alias Images des Sticks) kaufen und runterladen kann. Der Benutzer hat
> dann nur einen USB-Adapter um den Stick über eine Vorwerk-Software zu
> laden. Vorwerk will damit wie die Handyhersteller nicht nur am Verkauf
> der Geräte sondern auch noch an "Apps" verdienen.
>
> Ohne den Key im TM (der ja bei allen TM5 gleich sein muss) wird
> wahrscheinlich schwierig. Die gute Nachricht ist, dass der Key ja
> irgendwo da drin ist.

Karl - genau so sehe ich das auch!

von Trax X. (trax)


Lesenswert?

Wieso versucht den niemand einfach ein eigenes Linux auf das gerät zu 
Nudeln, das würde doch viel mehr Möglichkeiten eröffnen?
Oder erst einmal das Flasch im gerät Dumpen oder ist das Flash im SoC 
Package mit dabei?

wobei im bild Foto 09.01.15 13 50 32.jpg sieht es mir so aus als wen 
IC203 ein flash chip sein könnte, weiter unten dan noch ein SoC und ein 
separater RAM chip.

der flash chip ist zudem kein BGA oder silcher rotz sondern so einer den 
man mir einer wo man im verlötetem zustand immer nochalle leads 
erreichen kan.
das zu dummen sollte doch ein klax sein.

: Bearbeitet durch User
von David N. (knochi)


Lesenswert?

Morgen zusammen,

schon gesehen? Wir sind auf Golem.de !
http://www.golem.de/news/thermomix-tm5-die-koenige-der-mixer-wollen-rezept-chips-modden-1501-111683.html

Vielleicht lockt das ja den ein oder anderen fähigen Mitstreiter an. Ich 
habe auch schon überlegt, ob man einen Artikel auf hackaday.com 
veröffentlicht. Je mehr Leute sich damit beschäftigen, desto eher haben 
wir unseren custom chip.

Irgendwer muss ja dann auch noch Software schreiben, der klassische 
Thermomix-Kunde tippt ja eher keine xml Dateien.

Bis denne
David

von Dominik S. (dasd)


Lesenswert?

David N-K schrieb:
> Je mehr Leute sich damit beschäftigen, desto eher haben
> wir unseren custom chip.

Oder Post von der Vorwerk-Rechtsabteilung scnr

von Matthias L. (malo)


Lesenswert?

Das mit der Software lässt sich ja einfach über ein GitHub-Projekt 
lösen... ich hab schon ein paar Vorüberlegungen gemacht, letztendlich 
hängts aber tatsächlich vom Chip-/Datenformat ab, wie genau man so ne 
Anwendung am Besten umsetzt... nur sollte in dem Namen der Software 
nichts auf Vorwerk oder den Thermomix hindeuten ;)

Wenn das gewünscht ist, kann ich ja mal ne erste GUI online stellen.

von Fab!an (fabiiian)


Lesenswert?

Dominik S. schrieb:
> Oder Post von der Vorwerk-Rechtsabteilung *scnr*

Wieso gehts hier ständig um legal oder nicht legal? Kopieren (und ggf. 
auch verkaufen) ist für mich illegal, aber dem TM5 eigene Rezepte auf 
den "Bildschirm" zu bringen kann doch nicht verboten sein.

von Robert L. (lrlr)


Lesenswert?

> Kopieren (und ggf. auch verkaufen) ist für mich illegal..

und wurden hier schon Inhalte vom USB-Stick "Kopiert"?

von Fab!an (fabiiian)


Lesenswert?

Robert L. schrieb:
>> Kopieren (und ggf. auch verkaufen) ist für mich illegal..
>
> und wurden hier schon Inhalte vom USB-Stick "Kopiert"?

Nicht kopiert, nur analysiert ;)

Und hochgeladen hat sie auch keiner

von Hans G. (smokers)


Lesenswert?

Matthias Lohr schrieb:
> Das mit der Software lässt sich ja einfach über ein GitHub-Projekt
> lösen... ich hab schon ein paar Vorüberlegungen gemacht, letztendlich
> hängts aber tatsächlich vom Chip-/Datenformat ab, wie genau man so ne
> Anwendung am Besten umsetzt... nur sollte in dem Namen der Software
> nichts auf Vorwerk oder den Thermomix hindeuten ;)
>
> Wenn das gewünscht ist, kann ich ja mal ne erste GUI online stellen.

also versteht mich nicht falsch: aber von einer benötigten software um 
einen eigenen chip zu bespielen sind wir mMn noch sehr weit entfernt. 
Github projekt dann später klar gern. aber solange wir noch nichtmal die 
eigenheiten des original-chips geschweige denn einen möglichen geheimen 
AES schlüssel (auch wenn [soweit ich das gelesen habe] mehrere dinge 
gegen verschlüsselung sprechen) haben, brauchen wir uns um die software 
weniger gedanken machen fürchte ich ;-)

ansonsten sind danach sicher einige fähige programmierer bereit sich ner 
umsetzung anzunehmen :) github ahoi

von Beezle B. (beezle)


Lesenswert?

Nach der Lektüre der Patente denke ich, dass das System zur Verhinderung 
von nicht authorisierten Kopien Mist ist. Es basiert auf der Annahme, 
dass die Seriennummer eines USB Sticks einzigartig und unveränderbar 
ist. Beide Annahmen sind meiner Meinung nach falsch. Mit Hilfe von 
BadUSB[1][2], sollte es möglich sein, einen Stick zu kreieren, welcher 
sich als CD-Rom ausgibt und welcher eine Seriennummer eines gültigen 
Rezeptchips besitzt. Ersteres ist vielleicht garnicht nötig, da im 
Patent nur steht, das geprüft wird, ob die auf dem Stick hinterlegte 
Signatur zu der Seriennummer des Sticks passt. Hat man so einen Stick, 
kann man die Daten eines originalen Rezeptsticks darauf kopieren, was 
dann auch akzeptiert werden sollte.

Ansonsten sieht die Vorgehensweise, sofern vernünftig angewendet, 
ziemlich sicher aus und es dürfte ohne größren Aufwand nicht möglich 
sein dem ThermoMix veränderte Rezeptdaten unterzujubeln. Zwei weitere 
Vorgehensweisen fallen mir ein:

1. Weiter die Daten auf den Rezeptsticks analysieren, vielleicht hat man 
Glück.
2. Versuchen Zugriff auf das Linux im TM zu bekommen um eigene Schlüssel 
zu hinterlegen oder die Überprüfung komplett zu deaktivieren. Ich denke 
aber, dass es ohne radikalen Eingriff in den TM nicht weitergeht.

Noch ein paar Gedanken zu 1:
EP2801928A1 beschreibt einen Ansatz, bei dem es ausreicht nur die 
Seriennummer des USB Sticks mit einer Signatur zu schützen, nicht aber 
die eigtl. Rezeptdaten. Letztere kann man schützen, ist aber nicht 
gefordert. Existiert auch nur ein Rezeptstick, bei dem nur die 
Seriennummer geschützt ist, wäre das der Jackpot und es sollte möglich 
sein die Rezeptdaten nach belieben zu verändern. Sind die Rezeptdaten 
auch durch eine Signatur geschützt wäre es ein totes Ende (Sofern nicht 
völlig veraltete Verfahren verwendet werden wie das im Patent erwähnte 
MD5). Leider setzt dieser Weg aber die Entschlüsselung des Rezeptsticks 
vorraus, was sich als schwierig erweisen könnte. Evtl. kann man den RAM 
auf der Platine identifizieren und irgendwie anzapfen?


[1] https://srlabs.de/badusb/
[2] https://github.com/adamcaudill/Psychson

von Alexander S. (aschaefer85)


Lesenswert?

Trax Xavier schrieb:
> Wieso versucht den niemand einfach ein eigenes Linux auf das gerät zu
> Nudeln, das würde doch viel mehr Möglichkeiten eröffnen?
> Oder erst einmal das Flasch im gerät Dumpen oder ist das Flash im SoC
> Package mit dabei?
>
> wobei im bild Foto 09.01.15 13 50 32.jpg sieht es mir so aus als wen
> IC203 ein flash chip sein könnte, weiter unten dan noch ein SoC und ein
> separater RAM chip.
>
> der flash chip ist zudem kein BGA oder silcher rotz sondern so einer den
> man mir einer wo man im verlötetem zustand immer nochalle leads
> erreichen kan.
> das zu dummen sollte doch ein klax sein.


Auf dem Bild ist meiner Meinung nach nicht die Hauptplatine zu sehen 
sondern nur die Streuplatine fürs Display.
Die Hauptplatine sitzt etwas tiefer im Gerät verbaut.

Die hier veröffentlichen Patente beschreiben nur das der tm5 den Chip 
akzeptieren soll wenn der Chip richtig verifiziert wird. Um das 
Zertifikat lesen zu können muss er den Chip erst lesbar  machen. Für den 
ganzen Prozess braucht er keine 5 Sekunden. Jetzt stellt sich mir die 
Frage was er macht um ihn zu lesen und wie kann ich es am Rechner 
machen. Um die Daten am PC anzeigen zu lassen ist der Schlüssel meiner 
Meinung nach aber nicht notwendig.

von Joerg W. (joerg_w72)


Lesenswert?

Danke Beezle ... so schauts aus!!

Mal weiter nach vorne gedacht :-)

Eine RADIKALE Lösung wäre (immer unter der Voraussetzung das der TM 
fremde Chips akzeptiert) einen "ROOTCHIP" anzudocken um Linux zu Rooten, 
dann Patch drauf und die "Autority" auf Durchzug setzen ... theoretisch 
könnte man dann am Chipdock sogar einen Wlan oder BT Dongle etablieren 
:-)

Also vielleicht sollte man sich zunächst wirklich auf die Autorisierung 
des Chips konzentrieren und dann weitersehen ..

Wir werden wohl nicht drum-herum-kommen, einen TM forensisch zu zerlegen 
:-)

Wer traut sich zu ein Rootkit zu bauen?

Und falls die uns hier den Feed einäschern ... ich hab die 
http://tm5chip.com registriert und werde dort bis zum WE einen 
Blog/Forum aufsetzen ..

Was denkt Ihr? Wie sollen wir hier weiter verfahren?

von Trax X. (trax)


Lesenswert?

Alexander Schäfer schrieb:
> Trax Xavier schrieb:
>> Wieso versucht den niemand einfach ein eigenes Linux auf das gerät zu
>> Nudeln, das würde doch viel mehr Möglichkeiten eröffnen?
>> Oder erst einmal das Flasch im gerät Dumpen oder ist das Flash im SoC
>> Package mit dabei?
>>
>> wobei im bild Foto 09.01.15 13 50 32.jpg sieht es mir so aus als wen
>> IC203 ein flash chip sein könnte, weiter unten dan noch ein SoC und ein
>> separater RAM chip.
>>
>> der flash chip ist zudem kein BGA oder silcher rotz sondern so einer den
>> man mir einer wo man im verlötetem zustand immer nochalle leads
>> erreichen kan.
>> das zu dummen sollte doch ein klax sein.
>
>
> Auf dem Bild ist meiner Meinung nach nicht die Hauptplatine zu sehen
> sondern nur die Streuplatine fürs Display.
> Die Hauptplatine sitzt etwas tiefer im Gerät verbaut.
>

Meiner Meinung nach nicht, wozu sollte eine Display Platine heutzutage 2 
GBA Chips + noch ein brauchen?!
Zudem gehen in die Platine recht viele eher dicke Drähte rein also auch 
nichts was auf ein Display schließen lassen würde

Das muss also das mobo sein.

der user weiter oben : 
www.mikrocontroller.net/topic/thermomix-rezeptchips?reply_to=3967834#396 
3432
meint auch das die platine das mobo ist.

also ran an das gute teil und Flash Dumpen bitte?

Ach ja und bevor Sprüchen kommen wie machst doch selber ;)
ich habe so ein teil nicht, würde mir auch nie eins kaufen
mein Interesse an dem teil ist rein prinzipieller Natur a.k.a. Fuck DRM 
anywhere and everywhere ;)

von Hans Ulli K. (Gast)


Lesenswert?

Ob es wirklich das Mainboard ist kann man nicht sagen.

Es wäre möglich.

Der vorder Chip ist dann der Flash, hinten rechts SoC und hinten links 
RAM.
Nur für meinen Geschmak sind da etwas zu wenig Kleinkram auf dem Board.
Auch ist zu bemerken der Kabelbaum vom Board und von Drehencoder gehen 
zuammen in einem Bund nach links (Bild *55_40.jpg)

Thema Bad USB und Co.

Das Problem mit Bad USB ist länger bekannt, sucht mal nach USB Rubber 
Ducky
Außerdem mat jedes UMTS Modem auch so eine Geschichte. MIt dem Tool 
usb-modeswitch wird die CD-ROM /dev/sr0 Partition gegen den Modemports 
getauscht /dev/ttyUSB[0-1]

Ein Angriffvektor ist dort aber nur gegeben, wenn da ein Treiber läuft !
Unter Windows kann z.B. auf dem Stick ein HID Interface werden. Oder es 
werden wie auch bei dem SD-Karten einfach Blöcke getauscht.

Die andere Möglichkeit wäre, vom einem USB-Stick zu booten. Das läuft 
dann aber über u-boot.
Wenn das läuft, wären aber die Vorwerk Entwickler selten d*mlich.

Thema Crypto
Ich habe mir mal ein Image mit 4G Nullen erzeugt und es mit cryptosetup 
in den Device-Mapper gebunden. Leider konnte ich da z.Zt. keine 
Partition einbinden. also habe einfach auf den 4GB ein FAT32 FS erzeugt. 
Und dann kommt raus wenn man vom Anfang einen Hexdump macht.
1
00800b70  b4 36 33 9f 55 88 14 3f  31 44 4e e8 5f 54 ad dc  |.63.U..?1DN._T..|
2
00800b80  37 5c 2f fb de f1 bb 17  23 fe f0 e2 06 9e 44 85  |7\/.....#.....D.|
3
00800b90  6e 69 00 af b9 2f 14 4f  11 ff 85 6d 20 dc 4d d2  |ni.../.O...m .M.|
4
00800ba0  af cc be 15 2e b5 1b d8  e3 0e 76 ec 5b 5d 27 26  |..........v.[]'&|
5
00800bb0  6d aa 19 fa e4 31 29 1e  8b 06 a0 68 5e 95 b6 b4  |m....1)....h^...|
6
00800bc0  a2 fa 83 26 e8 7a f0 ff  66 70 e2 bd 61 48 4c 93  |...&.z..fp..aHL.|
7
00800bd0  c0 2d 8d 76 e7 c4 1f c8  3f 35 5f bb e8 46 92 c5  |.-.v....?5_..F..|
8
00800be0  be 9b f4 19 53 c2 bb be  71 01 0b 80 75 39 9b d2  |....S...q...u9..|
9
00800bf0  3e 88 db 37 ca 06 5b 02  44 d4 69 bb 58 60 f1 c2  |>..7..[.D.i.X`..|
10
00800c00  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
11
*
12
fff00000
Kommt glaube ich irgendwie mit den Adressoffsets hin, oder ??

von Alexander S. (aschaefer85)


Lesenswert?

Ich werde heute mal das Display ausbauen dann wissen wir mehr.
Leider bekomme ich momentan die blöden Griffe oben nicht ab um das Gerät 
komplett zu zerlegen. Hab gestern die Zeichnungen der Griffe in den 
Patenten gefunden und muss sie jetzt genauer anschauen um raus zu finden 
wie ich die ab mache.

von Mode M. (mode)


Lesenswert?

Mach ihn ja nicht kaputt. Du weisst ja was dann passiert ;-)

von Joerg W. (joerg_w72)


Lesenswert?

Mode M. schrieb:
> Ist das alles legal?
>
> Youtube-Video "Thermomix TM5 hacken - legal? | Rechtsanwalt Christian
> Solmecke"
>
> PS: Wir sind hier ein Hackerforum ;-)

Mode - so schauts wohl aus .. habe unter

http://tm5chip.com

ein Forum aufgesetzt da ich davon ausgehe das die uns hier den  Hahn 
abdrehen ...

Würde also die Beteiligten gerne dorthin moven ... lets go - lets hack 
the castle

von Mode M. (mode)


Lesenswert?

@ Jörg
Hast du mal mit Andreas darüber gesprochen? Falls nein fände ich das 
Schade... (milde ausgedrückt ;-) )

: Bearbeitet durch User
von Joerg W. (joerg_w72)


Lesenswert?

Mode M. schrieb:
> @ Jörg
> Hast du mal mit Andreas darüber gesprochen? Falls nein fände ich das
> Schade... (milde ausgedrückt ;-) )

ja hab ihn kontaktiert

von Alexander S. (aschaefer85)


Lesenswert?

Es ist so weit :-)
Ich habe ihn fast kommplet zerlegt und ein paar schöne Fotos gemacht.
Alle Bilder sind in maximaler Auflösung von 24MP hier hoch geladen.


https://mega.co.nz/#!GR8hjSDD!ymT6Tf3u7mOYa5aPKqz5pPM-FrauA_As7SJzKNzj5uU

: Bearbeitet durch User
von Mode M. (mode)


Lesenswert?

Sehr schön!

Bedienteil ist also über die 8 adrige Leitung mit dem Mainboard 
verbunden. USB und der Reedkontakt geht direkt auf das Bedienteil. Ist 
das Bedienteil sonst noch mit etwas verbunden? Sieht sehr vergossen 
aus...

von Alexander S. (aschaefer85)


Lesenswert?

Ja es ist mit der hinten liegenden Platine verbunden.
Die Leitungen sind am gekennzeichneten BT Anschluss angeschlossen.
Reedkontakt habe ich aber nicht gefunden.
Es sind nur die 4 Adern für den Chip zu sehen.

von Mode M. (mode)


Lesenswert?

Die hintere Platine habe ich jetzt mal ein Mainboard bezeichnet.
Sind in der geschrimten Leitung zum USB Port wirklich nur vier Adern?
Was machen die beiden rot/grüneren dickeren Adern?

von Alexander S. (aschaefer85)


Angehängte Dateien:

Lesenswert?

Ich habe noch ein Patent gefunden was uns vieleicht helfen kann.
Ich persönlich glaube ja immer noch das der Chip mit Truecrypt 
verschlüsselt wurde. Die Patente stammen aus der Zeit wo Truecrypt eines 
der beliebtesten Verschlüsselungs-Software war. Zudem läuft Truecrypt 
auch auf Linux.
Leider habe ich keine Grafikkarte die Cuda unterstützt um ein Angriff 
mit Truecrack darauf laufen zu lassen.

von Alexander S. (alexschabel)


Lesenswert?

Mode M. schrieb:
> Die hintere Platine habe ich jetzt mal ein Mainboard bezeichnet.
> Sind in der geschrimten Leitung zum USB Port wirklich nur vier Adern?
> Was machen die beiden rot/grüneren dickeren Adern?

Die gehen zu diesen "Ambient" Leds, die je nach Temperatur des Kochtops 
rot oder grün auf und abdimmen.

von Hans G. (smokers)


Lesenswert?

Versteh mich nicht falsch, aber das dort TrueCrypt zum Einsatz kam liegt 
bei mir unterhalb von 1%.

TrueCrypt auf einem EmbeddedSystem habe ich noch nie erlebt oder 
gesehen. Es ist viel wahrscheinlicher das andere Tools die sich länger 
bewährt haben, oder eben bei Linux von Haus aus dabei sind, genutzt 
wurden.

Denke da an LUKS oder PGP. Aber TrueCrypt? o.O denke fast nicht.

von Alexander S. (aschaefer85)


Lesenswert?

Die beiden rot/grüneren dickeren Adern laufen nach vorne an zwei so eine 
art Seulen und sind für die Beleuchtung neben dem Display zuständig. 
Damit wird visuell als Lichterspiel die Temeratur dargestellt.
Ambi=Ambilight (würde ich jetzt behaupten)
Und ja es sind nur vier Adern.

von Atmega8 A. (atmega8) Benutzerseite


Lesenswert?

@ alle
Ich habe mal ein paar Fragen:
- Was macht dieses Gerät so besonders? (ganz kurze Erklärung)
- Welche Aktoren und Sensoren steuert die Hauptplatine alles an?

Meine Idee dazu:
Das Gerät ist doch eigentlich nicht kompliziert aufgebaut, man könnte 
doch die Heizung, das Rühr-/Zerkleinerungswerk und vielleicht sogar das 
Display mit einem eigenen Controllerboard ansteuern.

Vielleicht könnte man ein Upgrade-Set erstellen mit dem man die aktuelle 
Hauptplatine einfach ersetzen kann.

Sobald man da etwas modifiziert verliert man eh die Garantie und alle 
Ansprüche gegenüber dem Hersteller.

von Tobias C. (toco)


Lesenswert?

Gibt es noch bessere Aufnahmen von den Chips? Auf den bisherigen Fotos 
sind ja leider keinerlei Beschriftungen zu erkennen.

von Hans G. (smokers)


Lesenswert?

Besonderheiten? Naja, schau dir doch mal die Produktbeschreibung an?! 
Halt 12 versch Funktionen bla. mit waage drin, kann heizen und kühlen, 
mixen, hacken, halt alles was in der küche so notwendig ist. ++ eben die 
fähigkeit rezepte einzuspielen ( mit besagtem chip) welche das gerät 
ausführt und nur erinnert wann was einzuführen ist.

sensoren und platine : keine ahnung.

Wichtig war nur: Es war und ist sicherlich im Interesse der meisten 
Leute hier, wenn die Garantie unberührt bleibt. Deswegen auch das 
Reverse-Engeneering hier, damit man eigene Chips erstellen kann auf USB 
Basis, die nicht vom originalen Chip zu unterscheiden sind.

Dabei sollen auch keine Rechte Dritter oÄ verletzt werden.

von Mode M. (mode)


Lesenswert?

Kühlen kann er nicht ;-)

Der Reedkontakt schaltet wahrscheinlich einfach eine der vier USB 
Leitungen zum Bedienteil. Ggfs ist dieser Mechanismus auch in dem USB 
Konnektor verbaut, so dass er von außen nicht sichtbar ist.

von Hans G. (smokers)


Lesenswert?

Mode M. schrieb:
> Kühlen kann er nicht ;-)

Mein Fehler, es rezitieren immer so viele Lobeshymnen auf Eis aus dem 
Thermomix... da kam ich auf den Trichter dass er das könne. ;-)

von Hans Ulli K. (Gast)


Lesenswert?

Hans Georgi schrieb:
> Versteh mich nicht falsch, aber das dort TrueCrypt zum Einsatz kam liegt
> bei mir unterhalb von 1%.
>
> TrueCrypt auf einem EmbeddedSystem habe ich noch nie erlebt oder
> gesehen. Es ist viel wahrscheinlicher das andere Tools die sich länger
> bewährt haben, oder eben bei Linux von Haus aus dabei sind, genutzt
> wurden.
>
> Denke da an LUKS oder PGP. Aber TrueCrypt? o.O denke fast nicht.

Hatte ich auch schon, meine Basis ist aber dm_crypt oder cryptosetup.
Vorteil von letzteren der "Angreifer" kann nicht erkennen, ob das 
Verschlüsselt worden ist oder nictht. Der "Container" fehlt.

Es gab mal einen Windows Treiber, der das gleiche wie dm_crypt auf Linux 
gemacht hat. Nur leider sind die Downloads verschwunden
http://www.heise.de/security/news/foren/S-Windows-Fork-kompatibel-zu-dm-crypt-LUKS-heisst-bzw-hiess-FreeOTFE/forum-280667/msg-25310158/read/

So zu dem Bedienteil, es ist das Mainboard
Die große Platine ist die Leistungsplatine bzw. für die 
Meßwertaufbereitung zuständig.

Linke Seite :
Motorsteuerung Leistungsteil, schwarze Adern für die Wicklungen, bei den 
blauen Aderen tippe ich auf einen Hallsensor als Rückführgeber.
Der linke vordere Stecker ist für die Arme.
Rechts vorne, ist die Anbindung zum Bedienteil inkl. Meßwertaufbereitung 
und Steuerung für die Leistung.

Zu dem Reed Kontakt. Schon mal darüber nachgedacht das er nur die 
Spannung vom USB Port abschaltet ? Den Rest kann ich per Software 
machen.

Bei der Anbindung vom Bedienteil zum Mainboard würde ich auf USB1 
tippen. Da gibt es glaube ich genug fertige ICs für die gesuchte 
Anwendung

von Hans Ulli K. (Gast)


Lesenswert?

Und hier gibt es eine Kopie von einem älteren Thermomix
ww.pearl.de/a-NC3796-3002.shtml

von Alexander S. (alexschabel)


Lesenswert?

Hans Ulli Kroll schrieb:
> Und hier gibt es eine Kopie von einem älteren Thermomix
> ww.pearl.de/a-NC3796-3002.shtml

Lidl verkauft ein ähnliches Gelumpe seit Herst 2014. Das sieht, 
zumindest vom Zubehör her, dem Thermomix noch ähnlicher!

http://www.lidl.de/de/silvercrest-kuechenmaschine-mit-heizfunktion-monsieur-cuisine-skmh-1100-a1/p188614

von Fab!an (fabiiian)


Lesenswert?

"Herr Maier, Sie waren jetzt drei Jahre und sechs Monate in einem 
Kühschrank eingesperrt. Die Frage, die wir uns alle stellen: Geht beim 
Schließen der Tür das Licht aus"

...Spaß bei Seite, jetzt wo das Ding auf ist, interessiert mich am aller 
meisten ob irgendwas zu erkennen ist was nach drahtloser Kommunikation 
aussieht, sprich WLAN oder Bluetooth!?

Ich kann mir immer noch vorstellen das man irgendwann Rezepte mit einer 
App kaufen können wird. Alles andere wäre so 18. Jahrhundert...

von Alexander S. (alexschabel)


Lesenswert?

Fabian O. schrieb:
> "Herr Maier, Sie waren jetzt drei Jahre und sechs Monate in einem
> Kühschrank eingesperrt. Die Frage, die wir uns alle stellen: Geht beim
> Schließen der Tür das Licht aus"
>
> ...Spaß bei Seite, jetzt wo das Ding auf ist, interessiert mich am aller
> meisten ob irgendwas zu erkennen ist was nach drahtloser Kommunikation
> aussieht, sprich WLAN oder Bluetooth!?
>
> Ich kann mir immer noch vorstellen das man irgendwann Rezepte mit einer
> App kaufen können wird. Alles andere wäre so 18. Jahrhundert...

Hier wird ganz sicher ein WLAN oder BT Modul kommen!

von Atmega8 A. (atmega8) Benutzerseite


Lesenswert?

Hans Ulli Kroll schrieb:
> Es gab mal einen Windows Treiber, der das gleiche wie dm_crypt auf Linux
> gemacht hat. Nur leider sind die Downloads verschwunden
> http://www.heise.de/security/news/foren/S-Windows-...

http://sourceforge.net/projects/freeotfe.mirror/

oder besser:
https://github.com/t-d-k/doxbox

: Bearbeitet durch User
von Hans Ulli K. (Gast)


Lesenswert?

Atmega8 Atmega8 schrieb:
> Hans Ulli Kroll schrieb:
>> Es gab mal einen Windows Treiber, der das gleiche wie dm_crypt auf Linux
>> gemacht hat. Nur leider sind die Downloads verschwunden
>> http://www.heise.de/security/news/foren/S-Windows-...
>
> http://sourceforge.net/projects/freeotfe.mirror/
>
> oder besser:
> https://github.com/t-d-k/doxbox

Dann passt das ja mit meiner Annahme mit dm_crypt auf FAT32.

Zum Mainboard:
Der USB2 Anschluß für den Chip sieht man bei der Stiftleiste unten.
Ein 6 poliger USB ESD Chip. Spule und zwei Kondensatoren.
Wenn ich die Leiterbahnen vergleiche sehe ich noch einen zweiten USB2 
Port, aber ohne ESD

Der Debugport (Serial) ist CN601. Sieht aber für meinen Geschmak nicht 
nach seriell aus, weil das etwas zuviel "Lötstellen" sind. War da mal 
ein Stecker geplant ???

UND ich kann einen 24MHz Quartzbaustein sehen, rechts neben dem SoC

von Alexander S. (aschaefer85)


Lesenswert?

Kann es sein das der Kerl auf dem Video (0:48 Minute) den Debugport 
benuzt (siehe seine linke Hand)?

https://www.youtube.com/watch?v=3YmD0ziZ1rs

Oben Rechts hängt ein Bild was er zu machen hat und das zweite Bild von 
oben sieht nach einem "Stecker" aus welchen er an den TM5 anschließen 
soll.

von Mode M. (mode)


Lesenswert?

Der Kerl ist eine Frau. ;-)
Das würde aber bedeuten dass der Debug Port der Port für die Rezept 
Chips ist.

von Hans Ulli K. (Gast)


Lesenswert?

Alexander Schäfer schrieb:
> Kann es sein das der Kerl auf dem Video (0:48 Minute) den Debugport
> benuzt (siehe seine linke Hand)?
>
> https://www.youtube.com/watch?v=3YmD0ziZ1rs
>
> Oben Rechts hängt ein Bild was er zu machen hat und das zweite Bild von
> oben sieht nach einem "Stecker" aus welchen er an den TM5 anschließen
> soll.

Meinst du das Bild wo er mit der rechten Hand zwischen den Griffen ist, 
und mit der linken Hand ins "Förderband" greifen will ??

Das sieht für mich eher nach einem zu großen Rezeptchip nach dem der 
greift.

Das was man hier sieht ist nur die Produktion für die ähem Grobmotoriker 
...

Wenn ich mir das Video ansehe, wollen die wohl die Welt damit erobern 
...

Auf dem Bild kann man auch noch "Sonniere" erkennen -> Klingelton ??

von Alexander S. (aschaefer85)


Lesenswert?

Ich habe so lange auf den Hintergrund geschaut dass ich nicht mal 
gemerkt habe dass es eine Frau sein könnte. :-)

Hans Ulli Kroll schrieb:
> Das sieht für mich eher nach einem zu großen Rezeptchip nach dem der
> greift.

Mit so einem großen Rezeptchip könnte der Thermomix den Menschen 
ersetzen.
Damit kann er nicht nur kochen sondern auch einkaufen und für dich zur 
Arbeit fahren und Geld verdienen :-)

Ich hoffe nicht...
Er könnte mich relativ gut ersetzen :-(

von Tobias C. (toco)



Lesenswert?

Sieht so aus als wäre es ein Chip mit externem Testsystem ist von dem 
gestartet wird sobald sie den Topf einsetzt.
Dann ist das Test-Menü sichtbar mit dem "SONNERIE" und rotem 
"NOK"-Button.

von Alexander S. (aschaefer85)


Lesenswert?

Nur mit einem großen Rezeptchip wird man so was wohl kaum machen können.
Daher war die überlegung ob der Debug Port der Port für die Rezept
Chips ist.

von Joerg W. (joerg_w72)


Lesenswert?

Hm könnte natürlich auch ein "integritätstest" sein .. sieht wohl so aus 
oder?

Ist mal jemand auf die Idee gekommen, a´la Laustärke down & Power beim 
Starten des Thermomix einen/mehrere Knöpfe zu drücken?

von Fab!an (fabiiian)


Lesenswert?

Um mal bei der Verschlüsselung und der Seriennummer zu bleiben: Könnt 
ihr bitte mal eure Seriennummern vom Chip und den Namen vom Kochbuch 
hier posten?

Die SN von den Kochbüchern scheint nicht unique, sondern immer gleich zu 
sein - zumindesten haben Alex und ich beiden die SN 1004000540010005 
beim Gundkochbuch "Das Kochbuch".

von Alexander S. (aschaefer85)



Lesenswert?

Ich habe drei Chips hier liegen.
Alle drei mit unterschiedlichen Nummern.

von Hans Ulli K. (Gast)


Lesenswert?

Seriennummer als Schlüssel ??

http://linuxwiki.de/cryptsetup

Hier mal mein verwendetes Cryptosetup

Die LUKS Erweiterung geht ja nicht wegen den Metadaten, die da irgendwo 
herumliegen sollen.

cryptsetup --cipher aes --key-file $KEYFILE create $NAME $BLOCKDEVICE

Damit erzeuge ich ein Cryptodevice, können die jetzt die Daten jetzt mit 
"open" geöffnet werden ??

von Fab!an (fabiiian)


Lesenswert?

Hans Ulli Kroll schrieb:
> Seriennummer als Schlüssel ??

Im Patent steht doch, das diese verwendet wird für einen Teilschlüssel 
zu bilden blabla....

@Alex: Wie heißen den die Kochbücher? Ist doch kein Zufall das wir 
beiden einen Chip mit gleicher SN haben. Ich gehe mal davon aus das alle 
Kochbuchreihen die gleiche SN haben.

von Alexander S. (aschaefer85)


Lesenswert?

„Das Kochbuch“ mit der Nummer 1004000540010005
„Wertvoll geniessen“
„Einfach lecker“

Welche Nummer jetzt zu welchem Chip gehört weiss ich nicht.

von Karl R. (Firma: meine) (planze)


Lesenswert?

Danke für die hochauflösenden Bilder !
Die Leistungsplatine braucht uns wohl nicht weiter interessieren, das 
spannende passiert mit Sicherheit auf der CPU-Platine (DSC00327-2).
Der linke der 3 Chips ist das Flash, der quadratische in der Mitte die 
CPU und unten drunter das RAM.
Wahrscheinlich ein ARM, ohne diese Vergussmasse abzukratzen wird man 
nicht rausfinden, von welchem Hersteller. Das Gehäuse ist ein BGA mit 
ca. 250 Balls,kann also alles mögliche sein. Wie die Leiterbahnen auf 
der Unterseite aussehen wirde ich auf DDR2-RAM tippen und 24Bit-TTL 
Grafikschnittstelle zum Display tippen.
Vom Prozessor nach oben geht eine Leitungspaar (USB) zu einem nicht 
bestückten Micro-USB (CN601). Wahrscheinlich hat die CPU 2 USB, der 
unbestückte ist der zweite Port der bei der Entwicklung verwendet wurde, 
weil man gleichzeitig über die andere USB-Schnittstelle das 
Rezept-Auslesen entwickelt hat.
Der ganze Rest rechts ist Spannungsversorgung für die CPU und RAM.

Ich frage mich, ob die beiden USB-Ports sich aus Linux-Sicht überhaupt 
unterscheiden. Hat jemand schonmal versucht an den Rezept-USB-Port eine 
Tastatur anzuschließen ? Wird die initialisiert ?

von Carlos B. (morpheus128)


Lesenswert?

Habe hier noch den Chip "Kochen hat Saison" mit der SN 1123000495490006.

von Hans G. (smokers)


Lesenswert?

Joerg W. schrieb:
> Mode M. schrieb:
>> Ist das alles legal?
>>
>> Youtube-Video "Thermomix TM5 hacken - legal? | Rechtsanwalt Christian
>> Solmecke"
>>
>> PS: Wir sind hier ein Hackerforum ;-)
>
> Mode - so schauts wohl aus .. habe unter
>
> http://tm5chip.com
>
> ein Forum aufgesetzt da ich davon ausgehe das die uns hier den  Hahn
> abdrehen ...
>
> Würde also die Beteiligten gerne dorthin moven ... lets go - lets hack
> the castle

Was ich hier noch loswerden möchte:

Die Domain und ein Wordpress sind ja eine schöne Idee. Gleichzeitig hast 
du damit aber der ganzen Aktion sehr viel Wind genommen.

Lass mich kurz begründen warum:

-Du hast das Wordpress selbst lesend nur für registrierte Nutzer 
sichtbar gemacht -> Nicht gut. Wer sich erstmal nur über den 
Kentniss-Stand informieren will geht direkt wieder, da er keine Infos 
findet - es sei denn nur hier

- du erlaubst somit auch keine anonymen Postings --> Stell dir vor ich 
bin ein Krypto-Experte, ich lese den Artikel auf golem.de, ich schau mal 
hier rein , ich sehe sofort das das kein .... XYZ Algorithmus sein kann, 
interessiere mich aber weder für Thermomix noch fir das gelingen der 
Aktion
Vllt würde ich nen schnellen Posting da lassen, aber mich dafür 
registrieren und dann ... "ach ne komm lass. habe auch eig genug zu tun" 
.

außerdem will nicht jeder immer überall seinen nick-namen oÄ 
preisgeben...

u know?


Ich empfehle dir den thread-ersteller und / oder einen moderator zu 
bitten den thread nach einem letzten verweis auf t5mchip.com zu 
schließen. dann öffne bitte deine webseite lesend, und teilweise 
anonymen schreib-zugriff (captcha usw kann ja gern)


[(habe es selbst obwohl interssiert nicht geschafft / nicht gewollt mich 
nochmal noch irgendwo zu registrieren) keine ahnung was auf deiner seite 
steht ]



lg

von Martin S. (sirnails)


Lesenswert?

Anhand der Posting zahlen würde ich nicht sagen, dass dort der Bär 
steppt. Und die entsprechenden Pakete könnte man genauso gut auch über 
github oder p2p verteilen.

Es ist auch unerheblich: wenn Vorwerk einen Verstoß anzeigen würde, so 
würde sie die .com Domain nicht davon abhalten.

von Martin S. (sirnails)


Lesenswert?

Apropos: nach dem Artikel auf golem weiß Vorwerk ohnehin schon von dem 
Vorhaben hier ;-)

von Joerg W. (joerg_w72)


Lesenswert?

Hans Georgi schrieb:
> Joerg W. schrieb:

> Was ich hier noch loswerden möchte:
>
> Die Domain und ein Wordpress sind ja eine schöne Idee. Gleichzeitig hast
> du damit aber der ganzen Aktion sehr viel Wind genommen.
>
> Lass mich kurz begründen warum:
>
> -Du hast das Wordpress selbst lesend nur für registrierte Nutzer
> sichtbar gemacht -> Nicht gut. Wer sich erstmal nur über den
> Kentniss-Stand informieren will geht direkt wieder, da er keine Infos
> findet - es sei denn nur hier
>
> - du erlaubst somit auch keine anonymen Postings --> Stell dir vor ich
> bin ein Krypto-Experte, ich lese den Artikel auf golem.de, ich schau mal
> hier rein , ich sehe sofort das das kein .... XYZ Algorithmus sein kann,
> interessiere mich aber weder für Thermomix noch fir das gelingen der
> Aktion
> Vllt würde ich nen schnellen Posting da lassen, aber mich dafür
> registrieren und dann ... "ach ne komm lass. habe auch eig genug zu tun"
> .
>
> außerdem will nicht jeder immer überall seinen nick-namen oÄ
> preisgeben...
>
> u know?
>
> Ich empfehle dir den thread-ersteller und / oder einen moderator zu
> bitten den thread nach einem letzten verweis auf t5mchip.com zu
> schließen. dann öffne bitte deine webseite lesend, und teilweise
> anonymen schreib-zugriff (captcha usw kann ja gern)
>
> [(habe es selbst obwohl interssiert nicht geschafft / nicht gewollt mich
> nochmal noch irgendwo zu registrieren) keine ahnung was auf deiner seite
> steht ]
>
> lg

Hans, danke für deine Kritik! Hab das ganze auf die schnelle gemacht und 
musste Freitag abbrechen .. komme gerade nach einer Reise wieder ins 
Büro. Ich werde mir das bis morgen  vornehmen und Deine Wünsche gerne 
Berücksichtigen ..!

Das mit der Registrierungspflicht kann man auch durchaus anders sehen. 
Einen Nicknamen kann doch jeder frei wählen.

Mich würde interessieren wie die anderen das hier sehen ..


Wenn noch weitere Wünsche bestehen einfach hier abkippen ...

von Fab!an (fabiiian)


Lesenswert?

Joerg W. schrieb:
> Mich würde interessieren wie die anderen das hier sehen ..

Solange der Thread hier nicht geschlossen wird, wovon ich auch nicht 
ausgehe, bleib ich hier...

von Stefan D. (reverse)


Lesenswert?

Vom Gefühl her, gehen fast alle "Forenprojekte", die auf einer anderen 
Seite ausgelagert werden, den Bach runter, nicht nur in dem Forum 
sondern auch auf der neuen Seite.

von Alexander S. (esko) Benutzerseite


Lesenswert?

Joerg W. schrieb:
> Mich würde interessieren wie die anderen das hier sehen ..

Dieses Forum hier existiert seit über 14 Jahren und in dieser Zeit 
wurden schon einige andere Foren erstellt und wieder gelöscht.
Somit schließe ich mich meinen beiden Vorpostern Stefan und Fabian an.

Die Diskussion würde ohne Not in zwei Teile gerissen, das finde ich 
nicht gut. Daher werde ich und wohl fast alle anderen hier bleiben.

von Mode M. (mode)


Lesenswert?

Joerg W. schrieb:
> Mode M. schrieb:
>> @ Jörg
>> Hast du mal mit Andreas darüber gesprochen? Falls nein fände ich das
>> Schade... (milde ausgedrückt ;-) )
>
> ja hab ihn kontaktiert

Und, schon eine Antwort bekommen?

von Joerg W. (joerg_w72)


Lesenswert?

Mode M. schrieb:
> Joerg W. schrieb:
>> Mode M. schrieb:
>>> @ Jörg
>>> Hast du mal mit Andreas darüber gesprochen? Falls nein fände ich das
>>> Schade... (milde ausgedrückt ;-) )
>>
>> ja hab ihn kontaktiert
>
> Und, schon eine Antwort bekommen?

Nein leider nein. Hab ich aber auch nicht erwartet wenn man den 
technischen Zustand des Forums hier sieht gehe ich davon aus das es 
nicht gemonitort und erst recht nicht gepflegt wird ergo ist das hier 
auf dem Smartphone nicht nutzbar ... :-(

von Martin S. (sirnails)


Lesenswert?

Joerg W. schrieb:
> ergo ist das hier
> auf dem Smartphone nicht nutzbar ... :-(

http://www.iphonesavior.com/images/2007/11/02/genius_holding_iphone.jpg

von Hans Ulli K. (Gast)


Lesenswert?

Joerg W. schrieb:
> Mode M. schrieb:
>> Joerg W. schrieb:
>>> Mode M. schrieb:
>>>> @ Jörg
>>>> Hast du mal mit Andreas darüber gesprochen? Falls nein fände ich das
>>>> Schade... (milde ausgedrückt ;-) )
>>>
>>> ja hab ihn kontaktiert
>>
>> Und, schon eine Antwort bekommen?
>
> Nein leider nein. Hab ich aber auch nicht erwartet wenn man den
> technischen Zustand des Forums hier sieht gehe ich davon aus das es
> nicht gemonitort und erst recht nicht gepflegt wird ergo ist das hier
> auf dem Smartphone nicht nutzbar ... :-(

Nicht gemonitort, wirklich ???

Martin Schwaikert schrieb:
> Apropos: nach dem Artikel auf golem weiß Vorwerk ohnehin schon von dem
> Vorhaben hier ;-)

Und die müssen manchmal das Popcorn nachladen ...

SCNR

So jetzt zurück zum Thema :
Wisst ihr wie schwierig cypto ist ??
Macht mal eine Einstellung an eueren Browser, das er nur er (relativ) 
starke crypto akzeptiert.
Und dann geht mal auf eure favorisierte Banking/Shop oder was auch immer 
Seite. Dann werdet ihr staunen, das diese nach der Post Snowden Ära 
nicht mehr funktioniert.
Ich habe es mal vor eins/zwei Jahren hemacht.

Wenn Vorwerk das sauber designt hat, das ist der Second Stage Bootloader 
(der in dem Flash) schon verschlüsset. Der erset Bootloader im SoC ist 
nicht verschlüsselt.

Sucht mal nach den Videos zu dem Sony Playstation, Microsoft XBox und 
andere Hacks, da wird sowas erklärt.

Wenn ihr Glück habt, wird auf der seriellen Schnittstelle (soweit eine 
vorhanden) was angezeigt.

Ich habe mal nur aus Spass und weil ich mal cryptetup 
ausprobieren/verstehen  wollte, mal die Seriennummern als Passphrase für 
den Plain-Mode benutzt
z.B.
echo "6590000495530000" | cryptsetup open --type plain --cipher aes 
THERMO.IMG plain
Das Mappt mit ein Devide in /dev/mapper/plain
Logischerweise hatte ich Müll als Inhalt.

Ich mach erstmal mit meinem WLAN Treiber weiter ...

von Karl R. (Firma: meine) (planze)


Lesenswert?

Hans Ulli Kroll schrieb:
> Wenn Vorwerk das sauber designt hat, das ist der Second Stage Bootloader
> (der in dem Flash) schon verschlüsset. Der erset Bootloader im SoC ist
> nicht verschlüsselt.

Wenn man mal wüsste, welcher Controller genau unter der Vergussmasse 
steckt könnte man schonmal kucken, ob der überhaupt ein internes Flash 
für einen Bootloader hat.
Ich glaube aber nicht, dass Vorwerk hier so viel Aufwand gemacht hat wie 
Sony bei der Playstation, drum vermute ich, dass alles im externen Flash 
steckt und der Controller nichts integriert hat. Ansonsten müsste Flash 
und SoC vor der Bestückungs programmiert werden (ich sehe zumindest 
keine ISP-Pads), das wäre zusätzlicher Aufwand, den man bestimmt sparen 
wollte.

von Dominik S. (dasd)


Lesenswert?

Karl Ranseier schrieb:
> SoC vor der Bestückungs programmiert werden (ich sehe zumindest
> keine ISP-Pads), das wäre zusätzlicher Aufwand

Wenn man nicht gerade nur eine Handvoll kauft bekommt man das SoC u.U. 
auch schon vorprogrammiert vom Hersteller.

von David N. (knochi)


Lesenswert?

Dominik S. schrieb:
> Karl Ranseier schrieb:
>> SoC vor der Bestückungs programmiert werden (ich sehe zumindest
>> keine ISP-Pads), das wäre zusätzlicher Aufwand
>
> Wenn man nicht gerade nur eine Handvoll kauft bekommt man das SoC u.U.
> auch schon vorprogrammiert vom Hersteller.

In der Industriellen Fertigung ist das kein Problem den eMMC direkt an 
der Linie vorm Bestücken zu flashen. Dafür gibt es ein Gerät welches 
immer direkt mehrere Chips (auch BGA) kontaktiert, flasht und prüft. Die 
Dinger stecken meist direkt im Bestückungautomaten.

Der Prozessor wird wahrscheinlich von Freescale kommen, zumindest steht 
was von Freescale SDK im TM.

von Fab!an (fabiiian)


Lesenswert?

Vorwerk hat sich bei mir gemeldet und möchte mir die Sourcen schicken...

von Tobias C. (toco)


Lesenswert?

Fabian O. schrieb:
> Vorwerk hat sich bei mir gemeldet und möchte mir die Sourcen schicken...

Wirst du sie dann irgendwo zur Verfügung stellen oder sollte besser 
jeder selbst anfragen? ;)

von Barney G. (fuzzel)


Lesenswert?

Die bekommt jeder Mixer-Besitzer am Wochenende auf CD in den Briefkasten 
geschmissen.
Glaube doch nicht solch einen Quatsch.

von Atmega8 A. (atmega8) Benutzerseite


Lesenswert?

Tobias C. schrieb:
> Fabian O. schrieb:
>> Vorwerk hat sich bei mir gemeldet und möchte mir die Sourcen schicken...
>
> Wirst du sie dann irgendwo zur Verfügung stellen oder sollte besser
> jeder selbst anfragen? ;)

Also ich stehe dem etwas kritisch gegenüber.
Es kann sein dass es sich für die Firma Vorwerk lohnen würde wenn das 
Interesse somit gesteigert wird und der Absatz der Geräte somit steigt.

Diese teuren Rezeptchips sind meiner Ansicht nach eh etwas unpassend da 
das Gerät selbst schon recht teuer ist und diese zusätzlichen 
Informationen WIE die Maschine etwas macht auch gleich in der Maschine 
gespeichert sein könnte.

Diese Rezepte hätte man auch einfach aus dem Internet von der Webseite 
oder von Fans runterladbar machen können, so dass viele Rezepte und 
Arbeitsschritte gesammelt werden können und der Nutzer dann aus einem 
breiten Reservoir schöpfen kann.

... aber so ist das meiner Ansicht nach kein so attraktives Angebot auf 
welches ich mich stürzen würde.

von Barney G. (fuzzel)


Lesenswert?

Atmega8 Atmega8 schrieb:
> ... aber so ist das meiner Ansicht nach kein so attraktives Angebot auf
> welches ich mich stürzen würde.

Laut Youtube, macht es aber unglaublich guten Milchreis. Keinerlei 
Vergleich mit dem aus einem schnoeden Topf. Das muss einem doch die 30.- 
wert sein, oder etwa nicht ?

Aber ich sehe das auch so. Wenn Vorwerk die Rezepte "frei" verteilen 
wuerde, meinetwegen auf deren Homepage, so dass man eigenes hinzufuegen 
koennte, waere das Geraet an sich sicher deutlich attraktiver.
Allerdings verspreche ich mir von solch einem Ruehraparat nicht 
sonderlich viel, so das da bei vielleicht 100 "Ruehrapplikationen" Ende 
sein duerfte. Das ist doch wirklich nur was fuer Leute die nicht wissen 
wie rum man den Pott auf die Platte stellen muss. Iss ja nichts 
schlimmes, es gibt eben Menschen denen sogar die Nudeln anbrennen. Also 
nicht so eng sehen.

: Bearbeitet durch User
von Atmega8 A. (atmega8) Benutzerseite


Lesenswert?

Wenn ich Milchreis oder Grieß mache, dann muss ich immer mit dem 
Holzlöffel über den Boden streichen damit sich dort nichts ansetzt und 
dann anbrennt.

Ich hatte mir schon überlegt so einen Topf mit doppelter Wand und Wasser 
dazwischen zu nutzen, aber das einfüllen des Wassers ist da immer so 
doof gewesen, das Wasser ist recht schnell verdampft und so richtig 
schön war es nicht.

Jetzt gab es noch die Möglichkeit ein elektrisches Rührwerk zu nehmen 
und dort einen Holz-Schaber ran zu machen der den Boden abfährt, so dass 
nichts anbrennt.

1000 Euro für einen Milchreiskocher ist etwas heftig für mich.

von Martin S. (sirnails)


Lesenswert?

Ich hab ne Induktionskochplatte mit Temperatureinstellung.

von Jakob P. (jako_e)


Lesenswert?

Vieleicht ein Linux Usb-Stick Virus
der alle Dateien auf den stick überträgt,
virtueller Linux pc
oder zwischen der Karte einen Logic analyser klemmen.
ich denke, mann kann dan den Start Code auslesen

von Alexander S. (alexschabel)


Lesenswert?

Jetzt verstehe ich! Heute ist Freitag...

von Felix H. (irgendwer2)


Lesenswert?

Eine gefühlte Flasche Leiterplattenreiniger kombiniert mit 
Etikettenentferner hat mir folgendes verraten:
IC100 ist ein MCIMX283DVM4B (Freescale i.MX283)
IC201 ist ein NT5TU64M16HG-AC (Nanya 64Mb*16 800Mbps)
IC302 ist ein MX30LF1G08AA-TI (Macronix 1Gb SLC)

Datenblätter verteilt Google ;)

Der Controller hat 2 USB Ports mit PHY. CN601 kann also sehr gut ein 
zweiter USB Anschluss sein. Man sollte aber beachten, dass laut 
Datenblatt einmal USB Host und einmal USB OTG zur Verfügung steht. Falls 
der OTG Port auf CN601 liegt, könnte es auch sein, dass dieser Port als 
Device eingerichtet ist. Außerdem kann es sich dabei auch genauso gut um 
eine serielle Schnittstelle handeln. Grade bei Linux-Geräten ist das zum 
Debuggen nützlicher als ein USB Port. Andererseits könnte ein USB Port 
natürlich auch als CDC-Device eingerichtet sein.

Übrigens lässt sich der TM5 anscheinend im Transport-Modus am 
leichtesten öffnen. Sobald die Klappe hinten entfernt ist, müssen die 
silbernen Schrauben entfernt werden. Dann den Griff nach oben raus 
ziehen. Die beiden Haltearme lassen sich etwas drehen und dann mit 
leichten Drehbewegungen nach vorne aus der Befestigung ziehen. Als 
nächstes muss der Knopf vom Encoder abgezogen werden (kann man 
eigentlich auch machen wenn die Schrauben noch drin sind). Der kleine 
Ring unter dem Knopf hat zwei kleine Rastnasen, die mit kleinen 
Schraubendrehern oder Fingernägeln auseinandergedrückt werden müssen, 
während man den Ring dreht. Nun lässt sich die Front lösen. Sie wird 
dann nur noch von dem Stecker am Steuerboard gehalten, der leicht 
entfernbar ist.

Ich hoffe, das hilft weiter.

von Alexander S. (aschaefer85)


Lesenswert?

Hallo Fellix H.
Klasse Arbeit von dir.
Ich hatte Bedenken den Lack zu entfernen da das Vorwerk bei einer 
Reperatur sehen wird.

Zu deiner Anleitung der Demontage muss ich aber noch was sagen.
Die Haltearme lassen sich leichter und sicherer entfernen in dem man die 
hintere Klappe entfernet, links und rechts die kleinen Schrauben am 
Antrieb entfernt. Jetzt den Topf ohne Deckel in den TM5 setzen und ihn 
an machen.
Sobald er an ist, die Mixstuffe auf 0,5 stellen und die Haltearme leicht 
zu sich ziehen (Kraft ist hier absolut nicht notwendig). Wenn die 
Haltearme anfangen sich zu bewegen springen die in einer ganz bestimmten 
Posetion einfach um ca. 5mm raus (jetzt aufhören zu ziehen!). Der TM5 
merk das kein Dekel drauf ist, stellt die Haltearme wieder in den 
Urzustand und schmeißt eine Fehlermeldung (ich glaube so was wie: Bitte 
Deckel auf den Topf setzen) aus. Jetzt kann man die Haltearme ohne große 
Kraft raus ziehen.

Der Einbau der Haltearme erfolgt ganz genau so wie der Ausbau.
Haltearme wieder einsetzen bis auf die letzten 5mm, auf Stuffe 0,5 
stellen und dabei leicht drücken. Ist die richtige Posetion erreicht 
springen die wieder in den Antrieb.

: Bearbeitet durch User
von Andreas J. (dolar)


Lesenswert?

erst einmal finde ich es klasse das ihr das teil benutzerfreundlich 
machen wollt. ich könnte eine gui beisteuern welche 
plattfprmübergreifend ist und natürlich open source. wäre nicht mein 
erstes mysql/fltk/c++ projekt.

die diskussionen über sinn und unsinn von dem teil finde ich unnötig. 
ist das gleiche bei allen geldintensiven hobbies wie tuning (egal ob pc, 
auto, ...) urlaubsreisen etc.

milchreis macht man natürlich mit nem dampfgarer vom discounter für 29 
€. michlreis und vanille-sojamilch rein, einschalten und vergessen.

für mich als aufgeklärten autoimmun patient wäre das teil mehr als ein 
hobby. ich muss (wie jeder ai patient) alle tierischen bestandteile 
meiden vor allem milchprodukte - weshalb es mich zensiert das ich da 
nicht meine eigenen rezepte eintragen darf. es würde mir einiges an zeit 
sparen bei meinen täglichen zubereitungen und ich würde zähneknirschend 
den preis hinnehmen - aber nicht wenn das teil ein auf iphone macht: ich 
kaufe es aber andere bestimmen was ich damit machen darf...

von Barney G. (fuzzel)


Lesenswert?

Andreas J. schrieb:
> weshalb es mich zensiert das ich da nicht meine eigenen rezepte
> eintragen darf.

Was ist denn das fuer ein Bloedsinn ? Wer zwingt Dich denn das Geraet 
bzw. die Rezepte zu nutzen ? Einer der keine Moehren mag ist hier nun 
zensiert oder wie ?

Weil Du eine Krankheit hast, machst Du nun Vorwerk dafuer verantwortlich 
? Was ist mit Farbblinden ? Muss das Display nun geaendert werden, weil 
sie sonst benachteiligt sind ? ZENSUR !
Was ist mit Grobmotorikern. Tasten viel zu klein, Vorwerk, aendert das 
bitte. ZENSUR !
Kinder unter 6 Jahren haben an dem Geraet nichts verloren. ZENSUR !
Ich bin ein Fleisch*fresser* aber das Geraet macht keine Steaks ! Das 
muss ein Verstoss von Vorwerk sein !

Andreas J. schrieb:
> aber nicht wenn das teil ein auf iphone macht: ich
> kaufe es aber andere bestimmen was ich damit machen darf...

Es gibt genuegend die mit einem EiFone zufrieden sind und garnichts 
anderes wollen, sonst wuerden sich nicht so viele davon verkaufen.
Und wieso bestimmen andere was Du damit machen darfst ? Wenn das Geret 
das nicht kann, kann es das eben nicht. Wenn Vorwerk das so will, 
bitteschoen, dann ist das so.
Du kannst Dir das Geraet ja kaufen und umbauen, Windows 8 drauf bauen 
und  Deine eigenen Rezepte schreiben. Da kann Dich keiner dran hindern. 
Es schreibt Dir also niemand was vor.

Sry, aber solch einen Schwachfug habe ich noch nie gehoert !

: Bearbeitet durch User
von Sacha V. (sinucello)


Lesenswert?

Barney Geroellheimer schrieb:
> Was ist mit Farbblinden ? Muss das Display nun geaendert werden, weil
> sie sonst benachteiligt sind ?

Darüber sollte man mal nachdenken. Sehbehinderte konnten vorher die 
Bedienelemente und deren Einstellung ertasten. Das geht beim Touchscreen 
nicht mehr. Wenn man eine Sprachausgabe hätte, dann könnten 
Sehbehinderte das Gerät wieder nutzen denke ich. Evtl. ginge das sogar 
mit den Rezepten auf einem Chip.

von Barney G. (fuzzel)


Lesenswert?

Genau, Sprachausbgabe ! Mit mindestens 20 Stimmen, fuer Lesben, Schwule, 
Hetro - Herrn und Damen. Sprache natuerlich nicht zu vergessen. 
Behinderte Auslaender wollen das Geraet sicher auch nutzen. Und fuer 
Rollstuhlfahrer das Geraet flacher und Bodentauglich machen, weil sie 
sonst nicht rein gucken koennen. Fuer Kinder werden die Messer stumpf 
geschliffen, da viel zu gefaehrlich und ueberhaupt 230V an einem 
Kuechengeraet !
Die Sticks muessen natuerlich ohne PC zu programmieren sein, denn nicht 
jeder hat einen PC und kann diesen dann auch noch bedienen. Also muss 
natuerlich auch eine Sprach*ein*gabe her. ZENSUR !!

Eigentlich sollte man das Ding komplett verbieten ! Pfui Vorwerk !!

Sacha Vorbeck schrieb:
> Darüber sollte man mal nachdenken.

Sehbehinderte (BL) in NRW bekommen ueber 600.- jeden Monat an 
Blindengeld. Was denkst Du wofuer das da ist ?
Die Welt ist nun mal nicht Behindertengerecht und man kann auch nicht an 
alles denken, weil es garnicht machbar waere.

: Bearbeitet durch User
von Andreas J. (dolar)


Lesenswert?

hm, das "*zensiert*" ist ne angewohnheit von einem anderen forum wo die 
moderatoren heftig auf wörter reagieren die sie als unfein betrachten. 
ich hätte wohl den vorschau button nutzen sollen... mal sehen was 
passiert wenn ich "angepisst" schreibe, was da eigentlich hin sollte.

zu der firma mit dem apfel sag ich jetzt nicht mehr - will hier keinen 
flame-krieg starten.

>Weil Du eine Krankheit hast, machst Du nun Vorwerk dafuer verantwortlich
ich mache auch vorwerk nicht für meine krankheit verantwortlich sondern 
mich stört es wenn ich etwas für teuer geld kaufe was ich nicht wirklich 
besitze. das ist für mich als ob ich beim autoradio die senderfrequenzen 
einzeln zukaufen müsste.

ich dachte es geht hier um den hack und ich wollte meine hilfe anbieten. 
das angebot steht - meine meinung auch.

von Barney G. (fuzzel)


Lesenswert?

Andreas J. schrieb:
> mal sehen was passiert wenn ich "angepisst" schreibe

Nix, was soll da passieren ? Die Moderatoren hier sind sehr moderat, 
kommt halt darauf an wie man das "angepisst" denn meint. Wenn man 
niemanden angreift, ist das meist okay. Redefreiheit und so..

Einen Unterschied sehe ich aber trotzdem nicht wirklich, denn..

Andreas J. schrieb:
> ich mache auch vorwerk nicht für meine krankheit verantwortlich

Das war so von mir nicht gemeint. Vorwerk kann aber nichts dafuer das Du 
irgendeine Krankheit von x-Millionen hast. Die koennen nun mal nicht 
alles beruecksichtigen. Die Rezeptchips sind nun mal nur so kaeuflich, 
so hat sich Vorwerk entschieden und das finde ich voelleig okay so. Das 
ist deren Ding und wer es nicht will oder nicht nutzen kann, wie z.B. 
ein Sehbehinderter oder eben Du, hat Pech gehabt. Klingt hart, aber so 
ist es nun mal.


Andreas J. schrieb:
> sondern
> mich stört es wenn ich etwas für teuer geld kaufe was ich nicht wirklich
> besitze. das ist für mich als ob ich beim autoradio die senderfrequenzen
> einzeln zukaufen müsste.

Aber sicher, es ist doch komplett Deins, damit kannst Du machen was Du 
willst. Wie geschrieben, baue Dein eigenes Linux drauf, schreibe Deine 
eigenen Sticks voll, kann Dich niemand dran hindern und ist nicht 
verboten.

Dein Radio ist ein prima Beispiel. Das Radio kann nix dafuer das Du kein 
Jazz magst. Das liegt aber doch nicht am Radio ! Die Musik gehoert Dir 
deswegen ja auch nicht. Passt Dir das nicht, musst Du eben das Radio 
gegen einen CD-Player tauschen und nur das hoeren was DU magst.

Mit Sicherheit gibt es auch ein paar Rezepte von Vorwerk, die auch Du 
verwenden kannst. Es mag ja auch nicht jeder Milchreis.

So koennte ich jetzt hingehen und sagen, ich fuehle mich "angepisst", 
weil auf meinem Stick 28 Rezepte sind die ich nicht mag und nur 3 die 
einfach genial sind. Aber so ist das nun mal. Im Radio laeuft ja auch 
nicht staendig das was ich hoeren will. Dann muss man es halt aus 
machen.

Das Vorwerk das so macht finde ich auch nicht sooo dolle, das haette man 
schoener loesen koennen. Allein schon um den Muell von den Chips zu 
loeschen, den man eh nie ruehren will und um Rezepte zu "taushen".
Deswegen bin ich aber lange nicht "angepisst". Ich brauche sowas nicht 
und gut. Gaebe es die Rezepte frei, wuerde ich evtl. anders denken. Denn 
wenn man mal Milchreis gemacht hat, weiss man das es nicht so einfach 
ist wie man denkt. Und wenn die Maschine das wirklich so gut macht wie 
im Video, dann lohnt solch ein Ruehraparat auch. Auch wenn der Preis 
unverschaemt ist.

: Bearbeitet durch User
von Andreas J. (dolar)


Lesenswert?

hm, letzter versuch. dann lassen wir unser meinungen so stehen, ok?
meine kochbücher und meine fachliteratur ist voll mit persönlichen 
vermerken. wenn ich nun das rezeptbuch für das teil kaufe will ich für 
mich wichtige dinge ändern. stell dir vor du bist nussallergiker und 
willst einfach wallnussöl gegen sesamöl im kochbuch ändern. wenn du 
einen nussalergikern (nicht unverträglichkeit!) kennst wirst du 
verstehen warum ihm das wichtig ist.

übrigens hast du ins schwarze getroffen. ich mag keinen jazz, aber ich 
kann mein radio so einstellen das da etwas läufz was mir gefällt.
wenn ich mir den tm5 kaufe dann wegen der neuen funtion mit dem 
interaktiven kochbuch. doch das kann ich nicht so einstellen wie es mir 
gefällt - damit wird es UNBRAUCHBAR für mich.
ich hoffe es ist jetzt klarer geworden was mein problem mit dem teil 
ist...

von Barney G. (fuzzel)


Lesenswert?

Andreas J. schrieb:
> ich hoffe es ist jetzt klarer geworden was mein problem mit dem teil
> ist...

Mir ist schon klar was Du meinst, aber wo liegt Dein Problem ? Tausche 
halt Nuss- gegen Sesamoel, das hat doch mit den integrierten Rezepten 
nichts zu tun.
Du schreibst ja auch nicht Deine Kochbuecher neu, sondern schreibst eine 
Randbemerkung hin, weil da "zufaellig" ein Rand ist. Versuche das mal 
bei einem Hoerbuch oder einem Rezept auf dem Monitor. Da mussst Du auch 
umschreiben / kopieren. Kann ja Vorwerk nix fuer.

Wie gesagt, ich sehe da kein Problem drin. Vorwerk will das so, also ist 
das so. Wem das nicht gefaellt der kauft es halt nicht, ODER er baut 
seine eigenen Rezepte auf die Chips, was hier ja genau aus dem Grund 
versucht wird, naja, wurde, ist ja ziemlich tot hier.
Ist ja alles nicht wirklich verboten, so lange sich keiner dran 
bereichert. Also baue das Geraet um, so wie Du es moechtest und alles 
ist gut.
Vorwerk wird hier ja mitlesen. Evtl. kommt da ja irgendwann wirklich so 
eine Version mit Internetanbindung. Wuerde mich nicht wundern.

Andreas J. schrieb:
> aber ich
> kann mein radio so einstellen das da etwas läufz was mir gefällt.

Siehst Du und bei den Chips von Vorwerk sind ganz sicher auch 2-3 
rezepte bei, die auch was fuer Dich sind. Den Rest musst Du halt 
"ueberspringen", wie beim Radio.

Alexander Schäfer schrieb:
> Ich hatte Bedenken den Lack zu entfernen da das Vorwerk bei einer
> Reperatur sehen wird.

Ich finde sowas nicht okay.
Ihr seid mit dem Geraet nicht zufrieden, was die Chips betrifft, wollt 
es deswegen "hacken" wenn man es so nennen kann, erhebt aber 
gleichzeitig Anspruch auf Gewaehrleistung.
Di naechsten Generationen von Vorwerk sollte man also komplett 
versiegeln, innen und aussen und da drueber nochmal ein Siegel.
Sowas ist unverschaemt !

: Bearbeitet durch User
von Mode M. (mode)


Lesenswert?

@Barney

Ich fände es super, wenn du dich mit deinen kompletten OT Beiträgen hier 
im Thread zurückhalten würdest. Vielen Dank!

von Alexander S. (aschaefer85)


Lesenswert?

Sorry Jungs aber das was hier ihr schreibt ist total am Thema vorbei. 
Solange ihr nichts beitragen könnt würde ich euch bitten diese 
Kommunikation wo anders zu führen.

von Fab!an (fabiiian)


Lesenswert?

Alexander Schäfer schrieb:
> Sorry Jungs aber das was hier ihr schreibt ist total am Thema vorbei.
> Solange ihr nichts beitragen könnt würde ich euch bitten diese
> Kommunikation wo anders zu führen.

Danke! Seit tagen kommt hier nur noch Offtopic Bullshit. Wenn ihr über 
den Sinn und Unsinn von dem Gerät diskutieren wollt dann nur zu, aber 
bitte nicht hier.

PS: Oben ist ben Link zu Golen, da sind gleichgesinnte die alle was 
gegen den TM haben und andere die ihn verteitigen. Einfach mal da rum 
flamen und trollen…

von Tobias C. (toco)


Lesenswert?

@Fabian O.: Hast du Mittlerweile schon was neues von Vorwerk gehört?
Wenn sie dir die Source schicken, wirst du sie bei Github o.Ä. hochladen 
oder sollte lieber jeder selbst bei Vorwerk anfragen?

von Karl R. (Firma: meine) (planze)


Lesenswert?

Genau endlich mal wieder zurück zum Thema :
der i.MX28 hat ein one-time-programmable on-chip ROM mit "unique-ID,
customer-programmable cryptography key, and storage of various ROM
configuration bits".
Der Chip ist genau dafür gemacht, sowas sicher hinzubekommen. In diesem 
ROM Bereich liegt vermutliche ein Bootloader inklusive AES-Dekoder und 
geheimen Passwort, der alle weiteren Daten im externen Flash 
entschlüsselt und dann läd.  Diesen ROM-Bereich kann man auch per 
Fuse-Bit vor auslesen schützen. Da erst das Betriebssystem die USB-Daten 
dekodiert kann man höchsten hoffen, dass man dort irgendwie eingreifen 
kann.
Also wenn da keine groben Fehler gemacht wurde ist es ziemlich sicher. 
Ich glaube nicht, dass Vorwerk da viel selbst machen musste, bestimmt 
gibt es schon fertige und getestete Referenz-Implementierungen von 
Freescale.

von Martin S. (sirnails)


Lesenswert?

Für solche Hersteller wie Vorwerk gibt es Schulungen.  Da kommt vom 
Chiphersteller einer ins Haus und berät.

von Felix H. (irgendwer2)


Lesenswert?

Kann vielleicht jemand mit nem Oszilloskop an CN601 nachmessen, was da 
jetzt für ein Signal anliegt? Dann wissen wir hoffentlich, ob da USB 
oder UART drauf liegt. Falls es UART ist, könnte man eventuell so in das 
Linux kommen. Dann wäre der Bootloader erstmal egal.

Ich habe mein Oszilloskop leider grade nicht hier und kann es frühestens 
in einer Woche in die Nähe des TM5 bringen. Und ich will da ungern etwas 
anschließen bevor ich weiß, was da auf den Pins für Spannungen anliegen.

von Andreas S. (sunfire69)


Lesenswert?

hey gemeinde!

gibts schon was neues bezüglich der "fress chips" ?! ;-)

von Joerg W. (joerg_w72)


Lesenswert?

> Ich fände es super, wenn du dich mit deinen kompletten OT Beiträgen hier
> im Thread zurückhalten würdest. Vielen Dank!



Das geht zum Beispiel hier: 
https://www.facebook.com/groups/thermomixhoelle/

von Kevin K. (4spiegel)


Lesenswert?

Moin liebe Gemeinde,


vorweg: ich habe leider noch keinen TM, habe ihn meiner Frau aber zu 
Weihnachten geschenkt. Wir waren in einer Vorführung in einem Vorwerker 
Laden. Dort hatte die Dame irgendwas von 'Netz für später geplant' 
gemurmult als wir danach fragten. Musste - als alter Linux Admin - 
natürlich gleich im Laden schon unter ,Menü' mal nach System/Update etc. 
schauen - und hatte über die hinterlegten GPL Hinweise geschmunzelt. 
Dort war mir auch schon der DHCPd aufgefallen. Auf dem Heimweg grübelte 
ich über die Kiste - Netzwerk, Rezeptchips, usw. Die Anschlussmulde 
hatte ich gesehen, und mir gedacht 'Die haben da bestimmt propr. USB 
drinn'. Dann stiess ich auf diesen Thread - und siehe da: es ist 
nichtmal propr. :D
Der Anlass vorab mal ein bischen rumzupuhlen, war eigentlich die Aussage 
meiner Schwester: "Bloed das man nicht eigene Rezepte/Änderungen 
speichern kann".
Nun es ist wohl noch nicht soweit (wie ich gehofft hatte) :(
Aber mithelfen das zu ändern würde ich gerne ;)

Erstmal dickes Lob an euren Eifer und wie weit ihr schon seid!

Ein paar Dinge waren mir aufgefallen, die vlcht wieder 
aufgegriffen/kombiniert werden können.
Zunächst eine kleine Warnung, da das ja bald aktuell sein könnte - wenn 
ich mich recht entsinne war in den GPL Lizenshinweisen auch 'logrotate' 
nebst einer Kompressions-Bib erwähnt. Das könnte bedeuten das sehr lange 
die Versuche am Debug Port o.ä. nachvollziehbar bleiben...

Die Patent Anträge - obwohl ich sie nicht komplett durchgekaut habe - 
sind doch aufschlussreich. Leider aber auch 'nur' eine Beschreibung von 
Ideen wie es sein könnte - nicht wie es tatsächlich ist.
Was aber auffällt, ist das die zu speichernden Daten aus mind. 2 Teilen 
bestehen (könn(t)en). Eine Idee welche Vorwerk hatte, war das nakte 
Rezept (also 300g Mehl, TL Salz,... verrühren, 3h kochen,...) klar 
lesbar zu speichern, und die Anweisungen (an den Mikrocontroller - 
Rührwerk 2s an) geschützt abzulegen. Mindestens so geschützt, das TM die 
Anweisungen nur befolgt, wenn nicht kopiert & manipuliert. Das 
'Klar-Rezept' ist oft als (4) ref., während die Anweisungen als (5) 
bezeichnet werden. Dies scheint sinnvoll - man stelle sich vor, 'wilde' 
Chips fahren die Maschine ausserhalb der Betriebsparameter... Evtl. 
wollten sie die Steuerbefehle dann auch noch nicht nur auth. lassen, 
sondern auch noch verschlüsseln - um uns o. d. Konkurenz - nicht zu viel 
zu verraten. Wie gesagt, es sind Ideen welche sie hatten, aber nicht 
'wir haben in den TM Variante 2 verbaut'... Aber was ich hier gelesen 
habe, legt den Verdacht von versteckten Daten nahe - immerhin hat der 
4GB ,Stick' dann doch nur 2,xGB als CDFS. Sollte wirklich der Stick 
Daten verstecken, so ist ein 'dd if=...' leider 
unvollständig/unbrauchbar.
Ich habe leider kein Windows, um den Log der Kommunikation zw. Chip<->TM 
unter die Lupe zu nehmen, aber man sollte vielleicht - nach lesen des in 
der Mitte irgendwo geposteten 'Exploid' (danke übrigens - sehr 
lesenswert!) - mal schauen ob die in der Abhandlung erwähnten Befehle 
auftauchen - denn wenn wir eigene Rezepte/Änderungen wollen, brauchen 
wir auch diesen Teil der Infos. Die Daten könnten dann leider immernoch 
verschlüsselt sein, aber im Moment macht es evtl. erstmal wenig Sinn den 
ganzen 4GB Dump kryptologisch zu untersuchen.
Auch das bisherige Scheitern am Klonen - trotz der vielen guten Ideen 
die bisher hier probiert wurden - könnte ein weiterer Hinweis auf durch 
den ,Stick' versteckte Daten sein - oder noch fehlende Teile der 
Signatur - UUID der Partion/des Sticks nach klonen identisch?

Nach dem Patent könnte das 2,xGB grosse CDFS Image Klartext oder auch 
verschlüsselt sein - das Patent gibt hier aber mögliche Hinweise wie das 
Ding aufgebaut sein könnte - es soll da eine Signatur von Dateien drin 
sein (am Ende? Gesamt/pro Datei?), (evtl.) der klartext Teil einer 
Datei/Rezept (was nicht heisst das man den Text dort gleich lesen können 
muss - eine kompr. SQLight-DB würde wohl kaum das Wort 'Milch' einfach 
so rumfliegen haben - auch PDFs können Schrift 'malen' statt in ASCII 
schreiben).
Jetzt weis ich allerdings wieso man für ein 7MB grosses Rezeptbuch 4GB 
Sticks benutzt - in dem Heuhaufen eine kleine Signatur zu finden ist 
echt stressig - wenigstens haben sie Leerbereiche nicht mit /dev/random 
betankt...

Jedenfalls kann ich es kaum erwarten den eigenen Chip bald in den Händen 
zu halten ;) - bis dahin kann ich leider nur ein paar Ideen/Anregungun 
in die Welt setzen - vielleicht helfen sie ja...

VlG,

K.

von Kevin K. (4spiegel)


Lesenswert?

Ein kurzer Nachtrag noch zu Ideen und so...
Weiter oben hatte jemand mal Bad-USB und Duck-Key erwähnt. Ich glaube 
das ist ein MC der am USB hängt und da viel Schweinkram anrichten kann.
Evtl kann man diese Idee nutzen um mit TM o. dem Chip zu reden und 
dumpen was die da so jeweils von sich geben, und entsprechend darauf 
reagieren. Sprich den MC am TM stöpseln und so tun als ob man ein 
SMI53XX ist, und die Anfragen speichern. Dann nachschauen, und sich eine 
Antwort überlegen. Dann den Chip am MC anschliessen, die gleiche Anfrage 
des TMs senden, usw...

Und hoffentlich hat hier keiner sich einen Bad-USB eingefangen, der 
würde den Chip dann wohl für den TM unbrauchbar machen (als leeren Chip 
erscheinen lassen, obwohl man nur gelesen hat?).


VlG,

K.

P.S.: die Idee eine Tastatur an die Chip-Mulde zu stecken ist auch cool 
- könnte ebenfalls ein DuckKey(-Clone) machen...

: Bearbeitet durch User
von Martin S. (sirnails)


Lesenswert?

@Kevin: RA Solmecke hat es schon klar gesagt: das umgehen der 
Verschlüsselung stellt in Deutschland - Dank unserer unpolitiker - eine 
Straftat dar. Hier ist es so gut wie tot.

von Hans Ulli K. (Gast)


Lesenswert?

@Kevin K
Der Trick von BadUSB und Co ist recht einfach:

Man nehme eine USB Speicherstick und programmiere den Mikrocontroller 
dort so um, dass er den Stick als USB HID Gerät ausgibt.
Diesen steckst du jetzt an deinem PC, weil im Betriebssystem (fast) alle 
Treiber installiert sind, wird dieser auch als Tastatur/Maus erkannt 
(obwohl es ein Speicherstick ist). Danach wird dann halt der Schadcode 
geladen/ausgeführt.

Wenn aber im embedded System der HID Treiber nicht drin ist, passiert 
gar nichts

HID -> Human Interface Device, Tastatur/Maus o.a.

von Kevin K. (4spiegel)


Lesenswert?

Martin Schwaikert schrieb:
> @Kevin: RA Solmecke hat es schon klar gesagt: das umgehen der
> Verschlüsselung stellt in Deutschland - Dank unserer unpolitiker - eine
> Straftat dar.

Naja, da bin ich mir nicht so sicher - mMn war es bisher immer eher in 
der Richtung '...wer zum Vervielfaeltigen geschuetzter Werke, geeignete 
Massnahmen umgeht...' macht sich strafbar. Hier will aber offensichtlich 
keiner "...einfach alle bisherigen hochpreisigen Chips auf einem 
einzigen zu speichern, um den einen Chip gegen ein geringes Entgelt 
anzubieten", sondern "...Vorwerk wird aber große Probleme haben, Bastler 
von der Nutzung eigener USB-Anschlüsse und Speichermedien abzuhalten, 
sobald das Rätsel um die Chips gelöst ist". Genau genommen hat Solmecke 
glaube ich 'Verschluesselung' gar nicht erwaehnt - wohl aber 
eingeschraenkt, das man das Linux auf dem TM5 nicht aendern duerfe ;) 
(Meine Meinung zu so etwas ist klar: Ich hab' das Ding fuer viel Geld 
gekauft, und nicht geleased! Solange ich keine 'Raubkopierten Chips' 
herstelle, beschaffe o. verkaufe ist das nicht strafbar. Meine Rezepte 
auf meinem Chip mag ein Garatieproblem sein, mehr aber nicht).


> Hier ist es so gut wie tot.

Das waere schade...

von Kevin K. (4spiegel)


Lesenswert?

Hi Ulli,

merci fuer deine Antwort!
inline ein paar Ausfuehrungen:

Hans Ulli Kroll schrieb:
> @Kevin K
> Der Trick von BadUSB und Co ist recht einfach:
Swmb, nistet BadUSB (Mythos Virus) sich im USB Controller ein, versucht 
von dort aus weitere zu erwischen, und spielt dem OS evtl. ein HID vor, 
um weiteren boesen Kram nachzuladen. Einmal drin, hilft nichtmal saubere 
Neuinst - er ist etwa im USB-Contr. des ext. CD-LWs, oder sonstwo... 
egal. Dem Mythos nach jedenfalls wird er versuchen weitere MC 
angestoepselter USB Geraete zu befallen.
Duckkey & Co dagegen sind eher 'Scherzartikel' - sieht von aussen aus 
wie ein Stick, meldet aber HID am Rechner und tippt dann drauf los.
>
> Man nehme eine USB Speicherstick und programmiere den Mikrocontroller
> dort so um, dass er den Stick als USB HID Gerät ausgibt.
> Diesen steckst du jetzt an deinem PC, weil im Betriebssystem (fast) alle
> Treiber installiert sind, wird dieser auch als Tastatur/Maus erkannt
> (obwohl es ein Speicherstick ist). Danach wird dann halt der Schadcode
> geladen/ausgeführt.
Genau - fast zumindest ;)
Das ganze kann man evtl. folgend nachstellen: man nehme die SMI Tools 
und stelle bei einem Stick VId/PId von einer Tastatur ein (HID Class), 
und schon ist der Stick eine Tast. Nur sendet ein Stick halt keine 
Tast-Befehle - also nutzlos. Jetzt kommt der eigentliche Trick: auf den 
Duckkeys & Co sitzt ein recht schneller Mikrocontroller (mit embedded 
Skriptinterpreter) welcher dann einfache Befehle in Tastaturcodes 
umwandelt und sendet. Oder er spielt Hub an dem HID & Storage 
angeschlossen sind - so taucht dann auch nach einstecken wirklich ein 
Speicher auf (auf dem er dann z.Bsp. geklaute Daten ablegen kann).
Um den Bogen zum Topic nun zu schliessen (war ein grosser - sorry!) - 
ich dachte in diesem Board muessten sich Leute finden lassen, welche 
dieses Konzept vielleicht umsetzten koennten.
Ich stell mir das so vor:
Man nehme einen MC, stoepsel die USB Datapins an Digital-I/O des MC 
(etwa D1 an TM & D2 an Chip), betanke ihn mit einer USB lib, und lasse 
ihn abwechselnd mit TM und Chip reden. Dem TM schickt er Vend-/Prod-ID 
eines Chips, nebst Serienn. etc. und logged mal welche Datenbereiche der 
TM dann anfordert. Wenn das Ding schnell genug sein sollte, koennte er 
parallel die Anfragen an D2 rauspusten und schauen welche Antworten 
kommen, usw...

>
> Wenn aber im embedded System der HID Treiber nicht drin ist, passiert
> gar nichts
Hat denn schon jemand bestaetigt das dem so ist? Etwa Tast anschliessen 
und STRG-ALT-Entf gedrueckt - o. 'root' ENTER 'reboot' ENTER eintippen?

>
> HID -> Human Interface Device, Tastatur/Maus o.a.

Sorry, wollte euch nicht vollabern, sondern nur helfen im Endeffekt auch 
meiner besseren Haelfte zu ermoeglichen spaeter die eigenen Rezepte zu 
speichern, damit sie nicht trotz Chip die meiste Zeit am iPhone/Pad 
rumscrollen muss...


VlG,

-K

von Kevin K. (4spiegel)


Lesenswert?

Kevin K. schrieb:
> Martin Schwaikert schrieb:
>> @Kevin: RA Solmecke hat es schon klar gesagt: das umgehen der
>> Verschlüsselung stellt in Deutschland - Dank unserer unpolitiker - eine
>> Straftat dar.
>[...]

P.S.: Laut Patenten ist aber auch nur ein Teil evtl. verschluesselt...

von Fab!an (fabiiian)


Lesenswert?

"Open Source CD" von Vorwerk ist heute angekommen. Folgendes ist auf der 
CD:
1
\modified_packages\kobs-ng-10.12.01.7z
2
\modified_packages\linux-2.6.35.3.7z
3
\modified_packages\logrotate-3.8.3.7z
4
\unmodified_packages\avrdude-5.11.1.tar.gz
5
\unmodified_packages\busybox-1.15.0.tar.gz
6
\unmodified_packages\dhcp-3.0.3b1.tgz
7
\unmodified_packages\freetype-2.4.8.tar.gz
8
\unmodified_packages\glibc-2.11.1.tar.bz2
9
\unmodified_packages\jpegsrc.v6b.tar.gz
10
\unmodified_packages\libpng-1.2.35.tar.bz2
11
\unmodified_packages\lrzsz-0.12.20.tar.gz
12
\unmodified_packages\mtd-utils-201006.tar.bz2
13
\unmodified_packages\util-linux-2.21.2.tar.bz2
14
\unmodified_packages\zlib-1.2.3.tar.gz
15
\unmodified_packages\libsqlite\ReadMe_Build.txt
16
\unmodified_packages\libsqlite\sqlite3.c
17
\unmodified_packages\libsqlite\sqlite3.h

von Matthias L. (malo)


Lesenswert?

Fabian O. schrieb:
> "Open Source CD" von Vorwerk ist heute angekommen. Folgendes ist auf der
> CD:

Wäre es möglich, dass du die Inhalte irgendwo online zur Verfügung 
stellst? Oder sollen wir selbst bei Vorwerk nachfragen? Gerne auch Link 
per privater Nachricht... ;)

von Fab!an (fabiiian)


Lesenswert?

Matthias Lohr schrieb:
> Fabian O. schrieb:
>> "Open Source CD" von Vorwerk ist heute angekommen. Folgendes ist auf der
>> CD:
>
> Wäre es möglich, dass du die Inhalte irgendwo online zur Verfügung
> stellst? Oder sollen wir selbst bei Vorwerk nachfragen? Gerne auch Link
> per privater Nachricht... ;)

Da ich nicht weiß, ob die Daten personalisiert sind, würde ich euch 
bitten, dass ihr euch selber an Vorwerk wendet.

: Bearbeitet durch User
von Matthias L. (malo)


Lesenswert?

Wie erreicht man die am besten? opensource@vorwerk.de?

von Hans Ulli K. (Gast)


Lesenswert?

Fabian O. schrieb:
> Matthias Lohr schrieb:
>> Fabian O. schrieb:
>>> "Open Source CD" von Vorwerk ist heute angekommen. Folgendes ist auf der
>>> CD:
>>
>> Wäre es möglich, dass du die Inhalte irgendwo online zur Verfügung
>> stellst? Oder sollen wir selbst bei Vorwerk nachfragen? Gerne auch Link
>> per privater Nachricht... ;)
>
> Da ich nicht weiß, ob die Daten personalisiert sind, würde ich euch
> bitten, dass ihr euch selber an Vorwerk wendet.

da glaube ich jetzt nicht dran, weil Opensource.
Aber was hat ein Paket names lrzsz-0.12.20.tar.gz auf der Kiste zu 
suchen ??
X- Z-Modem auf einem Mixer ??

Mir fehlt irgendwas mit Verschlüsseung, oder die machen das wie ich 
vermute mit dm-crypt und Co. im Kernel

von Felix H. (irgendwer2)


Lesenswert?

Matthias Lohr schrieb:
> Wäre es möglich, dass du die Inhalte irgendwo online zur Verfügung
> stellst? Oder sollen wir selbst bei Vorwerk nachfragen? Gerne auch Link
> per privater Nachricht... ;)

Die Dateien im Ordner unmodified_packages sollten ja die Originale sein.

Ich habe mal von entsprechenden Dateien aus dem Internet die MD5 
Checksumme gebildet:
1
Checksumme                       Datei                     Quelle
2
3a43e288cb32916703b6945e3f260df9 avrdude-5.11.1.tar.gz     ftp://gnu.mirrors.pair.com/savannah/avrdude/avrdude-5.11.1.tar.gz
3
ea788a20e7b9314076ad7aa2e1bab866 busybox-1.15.0.tar.gz     http://www.busybox.net/downloads/legacy/busybox-1.15.0.tar.gz
4
91ef957f689977bd4263c7f46cc3ab5d dhcp-3.0.3b1.tgz          http://isc.mirrors.pair.com/dhcp/dhcp-3.0-history/dhcp-3.0.3b1.tar.gz
5
5d82aaa9a4abc0ebbd592783208d9c76 freetype-2.4.8.tar.gz     http://netcologne.dl.sourceforge.net/project/freetype/freetype2/2.4.8/freetype-2.4.8.tar.gz
6
6856d5d8b1239556687f0d1217f3f266 glibc-2.11.1.tar.bz2      http://mirror.internode.on.net/pub/gnu/glibc/glibc-2.11.1.tar.bz2
7
dbd5f3b47ed13132f04c685d608a7547 jpegsrc.v6b.tar.gz        http://www.ijg.org/files/jpegsrc.v6b.tar.gz
8
b8b8d09adf6bee2c5902c8e54c4f2e68 libpng-1.2.35.tar.bz2     http://pkgs.fedoraproject.org/repo/pkgs/libpng/libpng-1.2.35.tar.bz2/b8b8d09adf6bee2c5902c8e54c4f2e68/libpng-1.2.35.tar.bz2
9
b5ce6a74abc9b9eb2af94dffdfd372a4 lrzsz-0.12.20.tar.gz      https://ohse.de/uwe/releases/lrzsz-0.12.20.tar.gz
10
a0ded4eafa73e7beca1fd3f12f1b153d mtd-utils-201006.tar.bz2  http://files.wca.geappliances.com/SourceCode/mtd-utils-201006.tar.bz2
11
b75b3cfecb943f74338382fde693c2c3 util-linux-2.21.2.tar.bz2 https://www.kernel.org/pub/linux/utils/util-linux/v2.21/util-linux-2.21.2.tar.bz2
12
dee233bf288ee795ac96a98cc2e369b6 zlib-1.2.3.tar.gz         http://files.wca.geappliances.com/SourceCode/zlib-1.2.3.tar.bz2
Kannst du, Fabian, die bitte mit den Checksummen von deinen Dateien 
vergleichen?

Interessanter sind natürlich die Dateien im Ordner modified_packages,
aber so können wir zumindest sichergehen, dass die Dateien im 
unmodified-Ordner wirklich nicht bearbeitet wurden.


Hans Ulli Kroll schrieb:
> Aber was hat ein Paket names lrzsz-0.12.20.tar.gz auf der Kiste zu
> suchen ??
> X- Z-Modem auf einem Mixer ??

Aus meiner Sicht deutet das darauf hin, dass CN601 wirklich UART ist. 
Dann könnte man mit Z-Modem Dateien auf den Mixer kopieren. Vermutlich 
noch zum Debugging drin gelassen, drin vergessen, oder versehentlich 
mitgeschickt.

von Fab!an (fabiiian)


Lesenswert?

Felix H. schrieb:
> Die Dateien im Ordner unmodified_packages sollten ja die Originale sein.
>
> Ich habe mal von entsprechenden Dateien aus dem Internet die MD5
> Kannst du, Fabian, die bitte mit den Checksummen von deinen Dateien
> vergleichen?

dhcp-3.0.3b1.tgz und zlib-1.2.3.tar.gz stimmen als einzige nicht mit 
deinen überein. Ich schreib Vorwerk mal an ob ich die Sourcen verteilen 
darf.

von David N. (knochi)


Lesenswert?

Felix H. schrieb:
> Aus meiner Sicht deutet das darauf hin, dass CN601 wirklich UART ist.
> Dann könnte man mit Z-Modem Dateien auf den Mixer kopieren. Vermutlich
> noch zum Debugging drin gelassen, drin vergessen, oder versehentlich
> mitgeschickt.

Leute.. Jetzt hört doch mal auf jemanden der sich auskennt. Das ist eine 
USB Schnittstelle, ich kenne den Footprint.
Debug Schnittstellen werden bestenfalls mit Pin Headern bestückt, wenn 
nicht sowieso nur mit Testpunkten versehen.
Normalerweise werden die bei der Kundenversion dann auch entfernt.
Es könnte allerdings sein, das über den USB-ID Pin eine Art one-wire 
Interface realisiert ist. So haben wir das jedenfalls immer gemacht ;-).
Ich sage ja gar nicht, dass es so eine Schnittstelle nicht gibt. Aber 
ich würde mal nach Testpunkten Ausschau halten.

Bis denne
Knochi

von Felix H. (irgendwer2)


Lesenswert?

David N-K schrieb:
> Leute.. Jetzt hört doch mal auf jemanden der sich auskennt. Das ist eine
> USB Schnittstelle, ich kenne den Footprint.

Wenn du dich so gut auskennst, dann zeig mir bitte mal den USB-Anschluss 
mit 1mm Pitch und VIER! Pins. Die, die ich kenne haben fünf, um den von 
dir genannten ID-Pin unterzubringen. Micro- und Mini-B haben 
üblicherweise einen kleineren Pitch und eben 5 Pins. Und eine grosse 
USB-B Buchse, die man eventuell auf die Kontakte löten könnte (vier 
Pins) kann man aus meiner Sicht (abgesehen davon, dass sie nicht in die 
markierte Fläche passt) nicht mit den zwei kleinen Lötpunkten an der 
Seite halten.

von Felix H. (irgendwer2)


Lesenswert?

Fabian O. schrieb:
> dhcp-3.0.3b1.tgz und zlib-1.2.3.tar.gz stimmen als einzige nicht mit
> deinen überein. Ich schreib Vorwerk mal an ob ich die Sourcen verteilen
> darf.

Danke! Bei dhcp-3.0.3b1.tgz war ich mir nicht sicher, weil ich die auf 
die Schnelle nur als .tar.gz gefunden hab und dann davon ausgegangen 
bin, dass die Datei einfach umbenannt wurde. Zlib-1.2.3.tar.gz hätte ich 
andererseits als identisch vermutet, weil ich dachte, dass die Datei 
eventuell von Frescale kam (wie mtd-utils-201006.tar.bz2).
Falls Vorwerk das erlaubt ist es natürlich einiges einfacher.

@all: Was macht avrdude auf einem Mixer? Sitzt da irgendwo ein kleiner 
Atmel-Prozessor, der sich vom Freescale neu programmieren lässt?

von Hans Ulli K. (Gast)


Lesenswert?

Felix H. schrieb:
> @all: Was macht avrdude auf einem Mixer? Sitzt da irgendwo ein kleiner
> Atmel-Prozessor, der sich vom Freescale neu programmieren lässt?

Vielleicht der (Steuer)-Chip auf der Leistungsplatine.
Da sind ja die Waage, Heizung, Motor usw. angeschlossen,

von Alexander S. (esko) Benutzerseite


Lesenswert?

Fabian O. schrieb:
> Da ich nicht weiß, ob die Daten personalisiert sind, würde ich euch
> bitten, dass ihr euch selber an Vorwerk wendet.

Ich bin kein Anwalt, aber ich verstehe §1 der GPL so, dass man die 
Quellen weiterverbreiten darf:
>> §1. Sie dürfen auf beliebigen Medien unveränderte Kopien des Quelltextes
>> des Programms, wie sie ihn erhalten haben, anfertigen und verbreiten.
http://www.gnu.de/documents/gpl-2.0.de.html

Ich vermute aber mal, dass uns die Quellen nur bedingt weiterhelfen, 
z.B. bei der FritzBox steckt die meiste Intelligenz in 
Userspace-Programmen die nicht offengelegt sind.

von David N. (knochi)


Lesenswert?

Felix H. schrieb:
> Wenn du dich so gut auskennst, dann zeig mir bitte mal den USB-Anschluss
> mit 1mm Pitch und VIER! Pins. Die, die ich kenne haben fünf, um den von
> dir genannten ID-Pin unterzubringen. Micro- und Mini-B haben
> üblicherweise einen kleineren Pitch und eben 5 Pins. Und eine grosse
> USB-B Buchse, die man eventuell auf die Kontakte löten könnte (vier
> Pins) kann man aus meiner Sicht (abgesehen davon, dass sie nicht in die
> markierte Fläche passt) nicht mit den zwei kleinen Lötpunkten an der
> Seite halten.

Ok.. du hast Recht.  :-)
Ich hatte mir noch nicht die neuen "zerlegt" Bilder angeguckt und ja 
klar, microUSB hat 5 Pins.

Ne USB-B dürfte wirklich nicht passen. Und so Oldschool wird noch nicht 
mal Vorwerk sein.

Also Asche über mein Haupt. Dann kann das alles Mögliche sein, eventuell 
auch ein Debug Interface.

von Kevin K. (4spiegel)


Lesenswert?

Hans Ulli Kroll schrieb:
> Felix H. schrieb:
>> @all: Was macht avrdude auf einem Mixer? Sitzt da irgendwo ein kleiner
>> Atmel-Prozessor, der sich vom Freescale neu programmieren lässt?
>
> Vielleicht der (Steuer)-Chip auf der Leistungsplatine.
> Da sind ja die Waage, Heizung, Motor usw. angeschlossen,

Würde ich auch vermuten - der Kernbereich ( messen, steuern) des TM ist 
ja klassischerweise eigentlich mehr MC, das überraschende ist eher das 
doch eher üppige Linux ;)
Somit können sie 2 Baustellen abfackeln: das OS, und den MC ;).

Könnte auch eine Erklärung sein, wo der 2. USB Anschluss steckt.
Würde dies Sinn machen (bin nicht zu tief in der Materie):
Chip via OTG (killt die Mögl. Tast. anzuschliessen?)
MC via Host (übl. serial2USB im Atmel?)

Allerdings könnte der Host auch mehr als 1'en ,Anschluss' haben, wenn 
man noch Hub dazulötet...
Liesse immernoch Platz für den 'echten' TTL Serial Port...


VlG,

-K

von Hans Ulli K. (Gast)


Lesenswert?

Alles seltsam
Ich habe mir nochmal die Leistungsplatine angesehen.

Darauf ist ein MIP2K5, ein Batterielade IC von Panasonic.
Und dabei wollte ich nur wissen wie die Ansterung des Motors ist.

Der ATMEL MC kann sich im 44 pol. SMD IC befinden, kann mich aber auch 
irren.
Für die drei Dehnungmessstreifen habe ich das 14 pol. IC neben dem Atmel 
in verdacht.

von Carlos B. (morpheus128)


Lesenswert?

Kleines Update von meiner Seite:
Bin heute endlich dazu gekommen meine 1:1 Kopie vom Rezeptchip an den 
Thermomix zu klemmen.
Und siehe da: er ließt die Kopie einwandfrei!
Habe den selben SMI Chip in einem USB Stick ausfindig gemacht, mit dem 
Image des original überschrieben (die ganzen 4GB) und sowohl 
Seriennummer des Chips, als auch alle anderen Daten im smi_mptool vom 
original Chip übernommen. Und ganz wichtig: die Magnete nicht vergessen, 
denn die schalten die Versorgungsspannung des USBs, wenn nicht sogar 
auch die Datenleitungen frei.

Das soll jetzt keine Anleitung zum Raubkopieren darstellen! Der Schritt 
war nötig, um den Klon für weiteres Probing zu verwenden. Sonst müsste 
ich mir ständig neue Rezeptchips kaufen um meine Tests durchzuführen...

Übrigens, der passende Chip ist aus einem Verbatim 4GB Stick, der wie 
eine Büroklammer aussieht. Der Chip ist etwas länger, als der original, 
dafür ist er auf das Byte genau so groß.

Als nächstes prüfe ich, ob ich ein Teil des Speicherbereichs auf dem 
Stick mit Nullen überschreiben kann, ohne das der Thermomix meckert...

von Kevin K. (4spiegel)


Lesenswert?

Hi liebe Gemeinde,


ich hab' mir ebenfalls die Bilder genauer angeschaut. Hut ab - ich 
glaub' ich werd' noch eine gaaaanze Weile warten müssen, bevor ich den 
TM soweit zerlegen kann...
Da wir zudem immernoch auf die Lieferung warten (haben die wirklich 
gerade die Lieferzeit auf 13 Wochen angehoben??), hab' ich leider auch 
nicht wirklich ein ,Gefühl' für was wo liegt, bzw wie das Photo 
geschossen wurde.
Aber im groben würde ich mein Bauchgefühl (ohne auf Anspr. auf 
Richtigkeit) wie folgt beschreiben:
Auf Bild *33-6 ist von der Mitte ein Dreieck nach jeweils unten aussen 
(orient. Bild). In diesem Bereich ist schweres Gerät und klassisches 
(passives) unterwegs. Mittig ist ein Relais, Sicherunges, dicke Kondens. 
etc. pp... jedenfalls alles was man braucht um Motoren zu betreiben, 
dicke Ströhme für Heizungen zu lenken und so... Riecht nach der 
Spielwiese eines Mikrocontrollers - dann wird sein Zuhause auch nicht 
weit sein...
Rechts oben sieht schon wie ein Dorf aus - da sind die Lötpunkte 
kleiner, aber noch keine allzuhohe Besiedlungsdichte.
Links oben dagegen ist schon fast eine Stadt - viele kleine Gassen, 
Lötpunkte allenthalben...
Bild *39-9 scheint dieses zunächst zu unterstreichen. Was zunächst ins 
Auge springt ist das 'Dorf' - dort ist BT (BedienTeil?) mit einem SMD IC 
davor - guter Kandidat für den MC. Die Pin-Zahl ist irgendwie komisch, 
fast schon zuviel für reinen MC (aber nur fast), jedoch wohl viel zu 
wenig für den Haupt-SoC. Wenn Atmel, dann wohl 'feature-rich'. Aber 
wichtig sind hier auch 2 weitere Sachen:
1. die Kabel dorthin (BT-Stecker) sind 2x Rot,Gelb,Blau & Weis - sind 
das 2x USB (wovon 1'er zum Chip geht, der andere zum Bedienteil?)?
2. Direkt 'vor' dem IC ist auf dem gleichen Bild und auf 40-10 
ebenfalls, ein Feld aufgedruckt, in dem noch Anschlüsse frei sind - in 
der gleichen Form und Anzahl (& Grösse?) wie der weiter oben erwähnte 
'Debugging-Port' (CN601 glaub').
Die 'Stadt' ist leider nirgendwo wirklich schön von oben zu sehen, aber 
auf *39-9 kann man links unten bei den Steckern gerade so bevor da die 
'Nase' aufsteigt am Rand die Beschriftung für einen IC sehen, welcher 
ebenfalls als 'Haupt-' o. 'Neben-' MC in Betracht käme - es sieht aus 
wie IC2 - könnte aber ein unscharfes 102 sein... Da sind noch IC410, 
IC401, IC402, IC411...

Bild *49-17, zeigt glaub' unseren Hauptgewinn, jedenfalls Ni(ckel)-Gold 
:D (ein bisschen)...
Das ist wohl das Display (das Eingepackte ;) ). Da ist ein typischer Bus 
für solche Dinger (unten rechts) und die 'Logic' dazu - der IC oben 
rechts unter diesem gelb/orangenem alles-Paketkleber ;). Falls jemand 
das Ding erkennt: Wie meldet das/so ein Ding/Modell einen 'Touch' (USB 
(-HID? hoff', hoff'!) o. seriell, o. ...?)
Die IC's aus *27-2 sind ja inzw. bekannt (Chapeau!). Die vielen 
QA-Testpunkte wecken aber Hoffnung auf weiteres Debuggen - oberhalb von 
CN501 oder unterhalb von CN601 geht's zum Display (& Maus!?).

Hat jemand eine Ahnung was, wo auf CN701 reinkommt (Z.Bsp. Pin 2 USB 
(blau 2. von 'BT' Stecker auf 'Mess/Steurerplatine',....)?

Naja, wenn jemand mutig ist, würde mich ein Dump mit möglichst vielen 
Infos (SerN,PId,VId,...) des lt. Patent unverschl. 'öffentl.' CDFS Teils 
eines Chips interessieren - gerne PM und Link zu kompr. Archiv. Was A.S. 
am 16.12 postete, weckt Begierde nach mehr.
Da ist (Termi.):
- disk1s0 - 4,6GB, disk1s1 2,4GB
- disk2s0 2,4GB

Würde 'dd if=/dev/disk1s1 of=./1.img bs=1M && dd if=/dev/disk2s0 
of=./2.img bs=1M && diff -b 1.img 2.img' zu "Dateien sind identisch 
führen"?
Irgendwie 'fühlt' sich das 'falsch' an - 2,4*2=4,6 (wer rundet da 
denn?)?
Wäre der 2. Datenteil - wie evtl. beschrieben - versteckt, dürfte man 
ihn nicht sehen ( :D ), aber wenn nicht, dann hätte ich vermutet, er 
taucht als disk1s2 auf - möglich das das 'nur' so ein Apple Ding ist (2 
CDs in einem LW? Geht nicht...) - Linux meinte glaub' irgendwo einfach 
nur '/dev/ScsiR1' - ohne was mehr/cdfs zu erwähnen?
Hat jemand noch von den SM3257ENLT eine/+ zuviel rumliegen und möchte 
sich davon trennen? PM


VlG,

-K

von Alexander S. (aschaefer85)



Lesenswert?

Da viele anscheinend den Link mit den hochauflösenden Bildern überlesen, 
lade ich die mal hier dierekt hoch.

von Mode M. (mode)


Lesenswert?

@Carlos
Hast du mit diesem Stick erfolg gehabt?:
http://www.reichelt.de/USB-Sticks/VERBATIM-43900/3/index.html?ACTION=3&GROUPID=4798&ARTICLE=126899&OFFSET=500&WKID=0&;

Dann exisitiert ja kein Kopierschutz auf dem Chip?!?

von Carlos B. (morpheus128)


Angehängte Dateien:

Lesenswert?

Mode M. schrieb:
> @Carlos
> Hast du mit diesem Stick erfolg gehabt?:
> 
http://www.reichelt.de/USB-Sticks/VERBATIM-43900/3/index.html?ACTION=3&GROUPID=4798&ARTICLE=126899&OFFSET=500&WKID=0&;
>
> Dann existiert ja kein Kopierschutz auf dem Chip?!?

Genau das ist der Stick!
Einfach so zu kopieren ist der aber nicht.
Wie gesagt, ich habe mit WinHex die gesamten 4GB auf Platte kopiert, 
dann mit alle Daten des original-Chip mit dem smi mp-tool notiert und 
auf den neuen Stick übertragen. Dabei habe ich das Image als 
Autorun-Image auf den Stick geflasht und den als CD-Partition 
eingestellt (Einstellungen siehe Bild).

Was genau davon ausschlaggebend ist und was nicht, werde ich in nächster 
Zeit testen. Ich denke mindestens die Seriennummer sollte stimmen. Ich 
hoffe, die CD-Partition ist nicht zwingend. Dann kann man auch später 
noch mit WinHex einzelne Bytes überschreiben und muss nicht immer den 
gesamten Chip flashen.

von Carlos B. (morpheus128)


Lesenswert?

...ooops! Das "CDROM only" gehört auf dem Bild abgehakt!

von Alexander S. (aschaefer85)


Lesenswert?

Hallo Carlos,
könntest du bitte deine .ini Datei hier zur Verfügung stellen?
Und was für ein smi mp-tool (version) hast du verwendet?
Kannst du bitte auch noch die Passwörter nennen die dafür (Debug, usw.) 
nötig sind?

von Kevin K. (4spiegel)


Lesenswert?

Alexander Schäfer schrieb:
> Hallo Carlos,
> könntest du bitte deine .ini Datei hier zur Verfügung stellen?
> Und was für ein smi mp-tool (version) hast du verwendet?
> Kannst du bitte auch noch die Passwörter nennen die dafür (Debug, usw.)
> nötig sind?

Hi Alle,


ich will nicht paranoid oder so sein, aber vielleicht kurz nochmal 
darauf hinweisen - dieser Thread ist in die Öffentlichkeit gezerrt 
worden, und somit sollten wir etwas Vorsicht walten lassen was allzu 
Detailreiche Beschreibungen angeht, die es einem techn. unversiertem 
Richter evtl. erlauben würden jemandem daraus einen Strick zu drehen.
Techn. gesehen ist tatsächlich noch kein 'Kopierschutz' sichtbar 
geworden - aber Anleitungen nach dem Motto benutze Passwort 123 und 
meine ini Datei von HIER - könnten für Unbedarfte als Beihilfe gelten 
(wird wohl im weiteren Verlauf (hoffentlich) keinen Bestand haben, aber 
der Schaden ist zunächst da).
Dies ist nicht persönlich an Alexander - seine Beiträge sind wertvoll 
und helfen dem eigentlichen Ziel - lernen und verstehen - ungemein.
Die Infos sind verfügbar (der Screenshot verrät die Version und auch wo 
die ini-Datei liegt) für Leute die lernen und verstehen wollen - aber 
eben noch nicht für 'Fachfremde' die einfach nur eine Möglichkeit 
wittern schnell und einfach (illegal) Geld zu machen.

Was meint ihr? Übertreibe ich? Ehrliche Antworten - das war weder 
rethorisch noch ironisch gemeint...


LG,

-K

von Alexander S. (aschaefer85)


Lesenswert?

Hallo Kevin,
Du hast absolut recht.
Ich hätte wohl besser überlegen müssen.

von Gerhard W. (gerhard_w)


Lesenswert?

meine Meinung: so lange die Quell-Dateien nicht öffentlich sind, könnt 
ihr Anleitungen schreiben was ihr wollt. Nur wer einen Originalen Chip 
in händen hält, kann sich diesen, meinetwegen als Sicherungskopie, 
kopieren. Kopierschutz ist ja anscheinend keiner drauf.

von Barney G. (fuzzel)


Lesenswert?

Kevin K. schrieb:
> Was meint ihr? Übertreibe ich?

Ich wuesste nicht was hier bisher illegales passiert sein soll.
Ich wuesste auch nicht was daran so falsch sein soll, dass Carlos 
Programmversion nennt und sein *.ini hier rein stellt.
Was das fuer Passwoerter sind die da verlangt wurden weiss ich nicht, 
kann daher auch nichts dazu sagen.

Kevin K. schrieb:
> die einfach nur eine Möglichkeit wittern schnell und einfach (illegal)
> Geld zu machen.

Na das ist ja nun deren Bier. Keine Ahnung warum Du Dir ueber Andere den 
Kopf zerbrichst.

von Martin S. (sirnails)


Lesenswert?

Kevin K. schrieb:
> Was meint ihr? Übertreibe ich? Ehrliche Antworten - das war weder
> rethorisch noch ironisch gemeint...

Man muss schon sauber differnzieren:

§202 StGB spricht eindeutig von "nicht für ihn bestimmt".

D.h. prinzipiell steht das knacken einer Verschlüsselung unter Strafe, 
soweit dies mit Daten geschieht, die einen fremden betreffen. §202 StGB 
regelt interessanterweise das Briefgeheimnis.

Hier stellt sich die Situation für mich dar, dass die Daten, nämlich die 
Rezepte, sehr wohl für den Endanwender gedacht sind.

Soweit also keine kommerzielle Absicht dahintersteht, und jeder nur an 
seinen eigenen Datensticks herummanipuliert, ist das meiner Auffassung 
nach nicht durch §202c StGB abgedeckt.

Schwierig wird es allerdings, wenn jemand selbst geknackte Sticks und 
einen Programmer auf den Markt wirft. Es könnte sein, dass hierdurch 
Patente verletzt werden und horrende Schadenersatzklagen nachsich 
ziehen.

Prinzipiell: Vorwerk hat viel Geld investiert und durch technische 
Maßnahmen ein einfaches Kopieren verhindert. Es wird ihnen unfassbar 
gegen den Strich gehen, wenn hier Leute deren "sicheres" Konzept 
auseinandernehmen. Das Linux mussten sie veröffentlichen, weil es die 
GPL so vorsieht, aber der Rest ist Geschäftsgeheimnis. Und da lassen die 
sich garantiert nicht in die Suppe spucken.

von Hans Ulli K. (Gast)


Lesenswert?

http://www.gesetze-im-internet.de/urhg/__95a.html

2) Technische Maßnahmen im Sinne dieses Gesetzes sind Technologien, 
Vorrichtungen und Bestandteile, die im normalen Betrieb dazu bestimmt 
sind, geschützte Werke oder andere nach diesem Gesetz geschützte 
Schutzgegenstände betreffende Handlungen, die vom Rechtsinhaber nicht 
genehmigt sind, zu verhindern oder einzuschränken. Technische Maßnahmen 
sind wirksam, soweit durch sie die Nutzung eines geschützten Werkes oder 
eines anderen nach diesem Gesetz geschützten Schutzgegenstandes von dem 
Rechtsinhaber durch eine Zugangskontrolle, einen Schutzmechanismus wie 
Verschlüsselung, Verzerrung oder sonstige Umwandlung oder einen 
Mechanismus zur Kontrolle der Vervielfältigung, die die Erreichung des 
Schutzziels sicherstellen, unter Kontrolle gehalten wird.

von Martin S. (sirnails)


Lesenswert?

Hans Ulli Kroll schrieb:
> http://www.gesetze-im-internet.de/urhg/__95a.html
>
> 2) Technische Maßnahmen im Sinne dieses Gesetzes sind Technologien,
> ...
> Schutzziels sicherstellen, unter Kontrolle gehalten wird.

Das UrhG gilt hier aber nicht, da es nicht darum geht, auf die 
bestehenden Daten zuzugreifen (das macht der Thermomix ja schon selbst), 
sondern darum, eben jene Blockade zu umgehen, um EIGENE Inhalte auf das 
Gerät zu bringen.

Urheber ist dann entsprechend derjenige, der selbst die Daten dort 
aufspielt.

von Fab!an (fabiiian)


Lesenswert?

Naja, jetzt wo bekannt ist wie die Daten auf den Stick zu bekommen sind 
(ich war auch soweit, aber habe vergessen die SN jedes mal 
zurückzusetzen) werden nur noch die Dumps benötigt und schon wirds 
illegal. Daher würde ich empfehlen das wir diesbezüglich keinen Satz 
mehr zu erwähnen. Wir wollten uns ja um das erstellen von eigenen 
Rezepten kümmern.

von Barney G. (fuzzel)


Lesenswert?

Mich wuerde mal interessieren wo genau steht, dass es grundsaetzlich 
verboten ist, irgendwas zu entschluesseln.

von Kevin K. (4spiegel)


Lesenswert?

Barney Geroellheimer schrieb:
> Na das ist ja nun deren Bier. Keine Ahnung warum Du Dir ueber Andere den
> Kopf zerbrichst.

Der Beihilfe wegen. Sollte jemand sich die Infos in Kleinarbeit 
zusammensuchen 'investiert er kriminelle Energie' in sein Vorhaben. 
Schriebe ich einfach: 'mach das so und nimm dieses' helfe ich ihm 
dabei... (Bin aber kein Jurist - war so ein Bauchgefühl).

LG,

-K

P.S.: @Fabian - volle Zustimmung - jetzt beginnt der spannende Teil ;)

: Bearbeitet durch User
von Carlos B. (morpheus128)


Lesenswert?

Moin,

ja, ist schon hard an der Grenze, was wir hier so treiben. Aber ich 
wollte es nicht für mich behalten, sonst bräuchten wir hier auch gar 
nichts auszutauschen.

Wie Kevin gesagt hat, die Programmnummer ist im Screenshot zu sehen. 
Habe auf nem bekannten russichen Forum die Programmnummer & Download 
gefunden passend zu dem Verwendeten Chip.

Die .ini  Datei brauchst du nicht, da alle Einstellungen die ich 
geändert habe auf dem Screenshot sichtbar sind.

Passwort für das Settings Menü des Programms hatte Fabian weiter oben 
genannt: 320
Danke nochmals!

Und wie gesagt: Was bringt es einem Kopien von den Chips auf den Markt 
zu bringen, wenn man hinterher auf jeden Fall vor Gericht gezerrt 
wird...

P.S. Spätestens bei Dumps oder Teilen davon haben wir die Grenze 
überschritten. Also lassen wir das lieber.

von Martin S. (sirnails)


Lesenswert?

Barney Geroellheimer schrieb:
> Mich wuerde mal interessieren wo genau steht, dass es grundsaetzlich
> verboten ist, irgendwas zu entschluesseln.

Im UrhG. Und im StGB. Die Frage ist nur, ob es Anwendung findet.

von Barney G. (fuzzel)


Lesenswert?

Carlos B. schrieb:
> P.S. Spätestens bei Dumps oder Teilen davon haben wir die Grenze
> überschritten. Also lassen wir das lieber.

Na das interessiert hier ja auch niemanden, die kann man ja kaufen.

Martin Schwaikert schrieb:
> Im UrhG. Und im StGB. Die Frage ist nur, ob es Anwendung findet.

Ja wie jetzt, steht das da oder nicht ?

So wie ich das verstehe, geht es nur darum das man nicht an die Daten 
kommt und den Schluessel umgeht. Urheberrecht und so.
Ich habe aber nirgendwo etwas gefunden das es grundsaetzlich verboten 
waere, etwas nur zu entschluesseln.
Gut, der Gedanke ist jetzt irgendwie unsinnig. Wenn ich einen Schluessel 
nachmache, hat es meist auch den Grund damit irgendwas zu oeffnen. Aber 
gerade hier in DE ist doch alles so peniebel geregelt. Deswegen wundert 
es mich das nirgendwo steht, zumindest finde ich nichts, dass es 
verboten ist einfach so, ein Schloss zu oeffnen.

von Joerg W. (joerg_w72)


Lesenswert?

Hallo,

wegen der Diskussion um eine mögliche illegalität kann ich nur noch mal 
auf http://tm5chip.com verweisen.

Ich hatte ja bereits vor einiger Zeit angeregt, das ganze NICHT in der 
Öffentlichkeit breit zu treten. Mitlerweile haben Sich dort fast 100 
Leute registriert aber es passiert dort nichts.

Ich könnte die Registrierungen zurücksetzen und NEU Registrierungen nur 
auf Empfehlung von bereits "freigeschalteten" Nutzern zulassen. Auch 
könnte man für neue Mitglieder eine Art "Bewerbungsformular" einbauen. 
So könnte man den Kreis von Anfang an kleiner halten ...

Weis zwar auch nicht ob das ein guter Vorschlag ist aber ich denke 
besser als hier ist es allemal. Sorry Andreas Schwarz ... aber dafür 
kannst Du nun wirklich nichts.

Wat nu?

von Peter D. (peda)


Lesenswert?

Joerg W. schrieb:
> Mitlerweile haben Sich dort fast 100
> Leute registriert aber es passiert dort nichts.

Die wollten wohl einfach nur wissen, worum es in diesem super geheimen 
Forum geht.
Und haben dann gemerkt, daß sie das nicht interessiert.

Ein Forum ohne erkennbares Thema ist schon recht strange.

von Martin S. (sirnails)


Lesenswert?

Barney Geroellheimer schrieb:
> zumindest finde ich nichts, dass es
> verboten ist einfach so, ein Schloss zu oeffnen.

Das ist das große Problem, dass auch der CCC (unter anderem) bemängelt. 
Das Bundesjustizministerium hat eine Richtlinie herausgegeben, die sagt, 
was "gutes" und "böses" Hacken ist.

Leider sagt diese Richtline aber nichts darüber aus, ob ich das bei 
meinen eigenen Daten im stillen Kämmerchen darf.

Das UrhG sieht das Recht der Privatkopie vor - zumindest solange keine 
technische Schutzmaßnahme das Kopieren verhindert.

Aber es sieht auch die Verbreitung vor, und diese liegt wiederum nicht 
vor.

Es ist verzwickt, und ich würde es nicht darauf anlegen.

von Joerg W. (joerg_w72)


Lesenswert?

Peter Dannegger schrieb:
> Ein Forum ohne erkennbares Thema

Ja ne is klar ... ohne erkennbares Thema? kopfschüttel

von Joerg W. (joerg_w72)


Lesenswert?

Hallo,

wegen der Diskussion um eine mögliche illegalität kann ich nur noch mal
auf http://tm5chip.com verweisen.

Ich hatte ja bereits vor einiger Zeit angeregt, das ganze NICHT in der
Öffentlichkeit breit zu treten. Mitlerweile haben Sich dort fast 100
Leute registriert aber es passiert dort nichts.

Ich könnte die Registrierungen zurücksetzen und NEU Registrierungen nur
auf Empfehlung von bereits "freigeschalteten" Nutzern zulassen. Auch
könnte man für neue Mitglieder eine Art "Bewerbungsformular" einbauen.
So könnte man den Kreis von Anfang an kleiner halten ...

Weis zwar auch nicht ob das ein guter Vorschlag ist aber ich denke
besser als hier ist es allemal. Sorry Andreas Schwarz ... aber dafür
kannst Du nun wirklich nichts.

Wat nu?

von Le X. (lex_91)


Lesenswert?

Joerg W. schrieb:
> Ja ne is klar ... ohne erkennbares Thema? kopfschüttel

Lets hack the castle...

Sorry, ich erkenns immer noch nicht.

von Joerg W. (joerg_w72)


Lesenswert?

le x. schrieb:
> Joerg W. schrieb:
>> Ja ne is klar ... ohne erkennbares Thema? kopfschüttel
>
> Lets hack the castle...
>
> Sorry, ich erkenns immer noch nicht.

Sorry meinerseits .... falsches Topic im falschen Forum: 
Beitrag "Thermomix Rezeptchips"

von Oliver R. (orb)


Lesenswert?

Möglicherweise überschätzt Du das Interesse an der Mitarbeit an dem 
Thermomix auch nur.

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Lesenswert?

Joerg W. schrieb:
> falsches Topic im falschen Forum

Ich hab's mal an den anderen Thread angehängt.

von Joerg W. (joerg_w72)


Lesenswert?

Oh sehr nett !!!

von Kevin K. (4spiegel)


Lesenswert?

Barney Geroellheimer schrieb:
> Carlos B. schrieb:
>
> [...]
> Ja wie jetzt, steht das da oder nicht ?
> [...]

Konnte mir das jetzt doch nicht verkneifen:

Wenn UrhG. geschützt vervielfältigen && entschlüsseln == 2x böse...

Wenn bei AND nur eines zutrifft dann FALSE

Steht also drinn, kann aber nicht angewendet werden (?).

@Martin:
>Es ist verzwickt, und ich würde es nicht darauf anlegen.

War auch meine Meinung die mich zur Erinnerung an Vorsicht trieb. Wohl 
auch die Erkenntnis, das hier nicht direkt was illegales gemacht wird, 
aber andere die geneigt sind dieses hier zu unterbinden evtl. was 
konstruieren könnten was bei allzu sorglosem Umgang doch zumindest für 
eine Weile für Ärger sorgen könnete. Wenn sich das einfach vermeiden 
lässt, sollten wir das tun...

So, nun wieder zurück an die Arbeit.
Ich hatte mir mehrere Sticks bestellt, weil man tatsächlich schwer an 
Daten kommt welche denn brauchbar sind. Wäre cool wenn man nicht an die 
4GB gebunden wäre - oder auch nur an den SMI-Contr. Es gibt andere 
Sticks die ähnliche Features anbieten. Der erste Stick ist nun da - aber 
leider noch kein TM um ihn anzustecken :(
Ich habe aber mal in den Protodump reingeschmökert. Noch ist mein 
Wissensstand über Low-Level USB u. SCSI eher nicht vorhanden, wenn man 
aber in dem AnalyseTool (weiss jemand wie man das zu Wireshark konv. 
kann?) erstmal das Hintergrundrauschen ausstellt, kommt doch ein recht
einfach zu lesendes Ding zusammen.
Irgendwie müsste da doch schonmal die 'Signatur' auftauchen. Der TM wird 
zuerst ja mal schauen wollen ob er die angebotenen Daten verarbeiten 
darf. Was uns hier helfen könnte, sind Protodumps von 2 versch. Chips. 
Im ersten Schritt sogar nur das 'initialisieren' - also soweit bis der 
TM meint er darf die Infos benutzen...
Cool wäre auch ein Dump während das SMI Tool einen 'leeren' Stick 
ausliest (nur Infos zieht, nicht einen kompl. Dump macht), bzw. die 
SNr/PId/VId & Modi setzt.
Der USB dump wimmelt nämlich von SCSI Command 'FE' (glaub' ich - war 
heute spaet in der Nacht dran...) - was sowas wie 'pro Gerät zu 
implementierende freie Befehle' sind. Die von Knochi gefundene 
Abhandlung über den SMI3254 ist da ab Seite 141ff sehr interessant. 
Vielleicht hilft's ja. Komisch ist das der Dump ohne solche Klimmzüge 
tut...
Wer schon die geänderten Sourcen in den Händen hält, könnte mal in den 
SCSI & USB Treibern schmökern - evtl findet man dort was hilfreiches...

@Joerg: das ist cool und gut - sollten wir es brauchen (be prepared!) - 
hat allerdings den Haken, dass es hier öffentlich verlinkt ist. Ist also 
gleich das nächste Ziel; hier - in der Öffentlichkeit - kann jeder auch 
gleich nachlesen, das wir zwar basteln, aber nichts illegales tun - das 
sollte einen Gewissen Schutz vor Übereifer bieten... Andererseits könnte 
es später nötig sein, gewisse Sachen in einem 'geschlossenem Kreis' zu 
besprechen, um (schneller) vorwärts zu kommen, sowas nach dem Motto 
"beim Bier im Freundeskreis kommen die besten Ideen" - also gut das wir 
das schon haben, und nicht wenn das Kind im Brunnen ist, erst kopflos 
rumrennen...

LG,

-K

von Hans Ulli K. (Gast)


Lesenswert?

In den Sourcen wird man wahrscheinlich nicht viel finden.
Den Teil mit dem Kopierschutz dürften die herausgenommen haben.

Bei den Kernelquellen ist es fast genauso.
Wenn die eine Kernelconfig mit kopiert haben wäre es gut, aber die kann 
auch falsch sein.

Im SCSI Befehlsatz gibt es glaube ich einen Befehl, wo man nur einen 
binary Blob an den Mikrocontroller zum ausführen schickt. Auf der Basis 
dürften die SMI Tools laufen.

Mich würde interressieren ob Vorwerk es bedacht hat, das der Hersteller 
seine Chips nicht mehr produziert. Oder die legen sich auf USB Sticks 
fest wo dieser Controller verbaut ist.

von Carlos B. (morpheus128)


Lesenswert?

Hans Ulli Kroll schrieb:
> In den Sourcen wird man wahrscheinlich nicht viel finden.
> Den Teil mit dem Kopierschutz dürften die herausgenommen haben.
>
> Bei den Kernelquellen ist es fast genauso.
> Wenn die eine Kernelconfig mit kopiert haben wäre es gut, aber die kann
> auch falsch sein.
>
> Im SCSI Befehlsatz gibt es glaube ich einen Befehl, wo man nur einen
> binary Blob an den Mikrocontroller zum ausführen schickt. Auf der Basis
> dürften die SMI Tools laufen.
>
> Mich würde interressieren ob Vorwerk es bedacht hat, das der Hersteller
> seine Chips nicht mehr produziert. Oder die legen sich auf USB Sticks
> fest wo dieser Controller verbaut ist.

Ich glaube der USB-Chip selber wird irrelevant sein.
Die Seriennummer und die Flashdaten sind das wichtige.
Die Daten werden sicherlich auf dem Thermomix entschlüsselt.
Der Chip muss nichts besonderes können um darauf Rezept-Daten zu 
speichern.

von Jonas W. (jonaswi)


Lesenswert?

Ich hatte mir vor längerer Zeit ja mal den USB Mitschnitt angeschaut.
Mir ist da auf jeden Fall aufgefallen, dass die Seriennummer an den 
Thermomix gesendet wird. Habe es leider aber beim nochmaligen suchen 
nicht mehr gefunden.
Zusätzlich habe ich die Teile welche später noch übertragen worden sind 
auch im Hexdump des USB Images finden können.

von Hans Ulli K. (Gast)


Lesenswert?

Carlos B. schrieb:
> Ich glaube der USB-Chip selber wird irrelevant sein.
> Die Seriennummer und die Flashdaten sind das wichtige.
> Die Daten werden sicherlich auf dem Thermomix entschlüsselt.
> Der Chip muss nichts besonderes können um darauf Rezept-Daten zu
> speichern.

Davon gehe ich auch aus.
weil ich komme an die Datei vom dem SMI Tool nicht dran.
Die meisten Progranme die irgendwo zu finden sind, laufen auf Windows.

Für Windows gibt es auch ein Programm, wo ich die daten auf der USB 
Protokollebene mitschneiden kann.

Die Seriennummer fragt Lnux per default ab, habe es gerade nochmal 
getestet

von David N. (knochi)


Lesenswert?

Jonas W. schrieb:
> Ich hatte mir vor längerer Zeit ja mal den USB Mitschnitt
> angeschaut.
> Mir ist da auf jeden Fall aufgefallen, dass die Seriennummer an den
> Thermomix gesendet wird. Habe es leider aber beim nochmaligen suchen
> nicht mehr gefunden.
> Zusätzlich habe ich die Teile welche später noch übertragen worden sind
> auch im Hexdump des USB Images finden können.

Hi Jonas,

obwohl ich das Log ja angefertigt habe, muss ich zugeben, dass ich mich 
noch nicht so eingehend damit beschäftigen konnte. Die parallelen 
zwischen dem Image und den zu übertragenden Daten finde ich Interessant.
Könntest du das mal irgendwie dokumentieren?

Hat jemand mal versucht die ersten paar Mb mit dem "Schlüssel" aus dem 
Bereich XOR zu verknüpfen, den wir als 0-Daten annehmen?

Wie woanders schon mal angenommen, könnte ich mir aber auch gut 
vorstellen, das es sich hier nur um Testdaten aus der Fabrik des Flash 
Speichers handelt, die einfach noch nicht überschrieben wurden.

Wenn man nur mal die Dateistruktur hätte, die der TM5 braucht. Die 
Originalchips interessieren mich ja noch nicht mal.

Bis denne
Knochi

von Kevin K. (4spiegel)


Lesenswert?

Hi David,


David N-K schrieb:
> Hi Jonas,
>
> obwohl ich das Log ja angefertigt habe, muss ich zugeben, dass ich mich
> noch nicht so eingehend damit beschäftigen konnte. Die parallelen
könntest du noch mehr Dumps erstellen? Z.Bsp. von einem 'falschem' Chip? 
Würde gerne sehen bei welchem Befehl/Antwort die Kiste aussteigt...

> zwischen dem Image und den zu übertragenden Daten finde ich Interessant.
> Könntest du das mal irgendwie dokumentieren?
Dito - lt. der 'wünsch dir was Liste von VW' (Patent) könnten die Infos 
2 geteilt sein - finden wir also alle Daten wieder, oder nur z.Bsp. 
welche innerhalb des vorderen Bereichs?

>
> Hat jemand mal versucht die ersten paar Mb mit dem "Schlüssel" aus dem
> Bereich XOR zu verknüpfen, den wir als 0-Daten annehmen?
>
> Wie woanders schon mal angenommen, könnte ich mir aber auch gut
> vorstellen, das es sich hier nur um Testdaten aus der Fabrik des Flash
> Speichers handelt, die einfach noch nicht überschrieben wurden.
Denke ich auch - eine Signatur über die gesamten 2,6 o. 4GB zu prüfen 
würde zu lange gehen. Wer lange Weile hat, kann in einem Image mal einen 
Solchen Bereich mit hallo123 vollschreiben ;)


VlG,

-K.

von Carlos B. (morpheus128)


Lesenswert?

Kevin K. schrieb:
>> Wie woanders schon mal angenommen, könnte ich mir aber auch gut
>> vorstellen, das es sich hier nur um Testdaten aus der Fabrik des Flash
>> Speichers handelt, die einfach noch nicht überschrieben wurden.
> Denke ich auch - eine Signatur über die gesamten 2,6 o. 4GB zu prüfen
> würde zu lange gehen. Wer lange Weile hat, kann in einem Image mal einen
> Solchen Bereich mit hallo123 vollschreiben ;)

Bin ich gerade bei ***grins*** ...

von Carlos B. (morpheus128)


Lesenswert?

Also...

Habe nun mehrere Verbatim Clip-it Sticks getestet.
Bisher habe ich mit dem 4GB mit SM3257ENLT Chip gearbeitet.
Nun habe ich einen 4GB mit SM3257ENAA, der funktioniert genau so gut.
Einen 2GB mit SM3211BC1 Chip habe ich nun auch testen können. 
Funktioniert genau so gut!

An den SMI Tool Einstellungen habe ich heute auch herrum gespielt:
Das einzige was vom Thermomix geprüft wird, ist die Seriennummer.
Habe den Rest der Einstellungen vor dem beschreiben eingelesen und in 
die .ini Datei eingetragen (und somit unverändert gelassen) um dies zu 
testen.

Desweiteren habe ich die Imagegröße auf erst auf 1GB geschrumpf und den 
Rest mit Nullen überschrieben...hat er auch einwandfrei gelesen.
Danach habe ich die magische Adresse 0x808000 gefunden, die weiter oben 
im Thread schonmal angesprochen wurde. Vor dieser Adresse befindet sich 
ein Block voll Nullen. Danach folgen Daten, die sich ständig auf dem 
Rest des Stick mehr oder weniger zufällig wiederholen.

Und siehe da: Dem Thermomix reichen die 8.421.376 bytes!
Der Rest ist Datenmüll auf dem Stick.

Was leider nicht geht, ist irgendwo Daten zu ändern. Die 8MB werden 
ständig auf ihre Konsistenz geprüft und es folgt sofort eine 
Fehlermeldung.

von Carlos B. (morpheus128)


Angehängte Dateien:

Lesenswert?

Hier übrigens mein Setup.

von Alexander S. (aschaefer85)


Lesenswert?

Wow das sieht ja richtig klasse aus.
Woraus hast du denn die Sachen gebaut?
3D Drucker?

Ach übrigens Amazon verkauft auch die Sticks.
Leider funktionieren die nicht.
Es handelt sich bei den Sticks um Appotech DM233 Controller.
Der Chip ist aber ganz genau so groß wie der im Thermomix Chip.


Darf ich fragen wie du deine her hast?

: Bearbeitet durch User
von Carlos B. (morpheus128)


Lesenswert?

Alexander Schäfer schrieb:
> Wow das sieht ja richtig klasse aus.
> Woraus hast du denn die Sachen gebaut?
> 3D Drucker?
>
> Ach übrigens Amazon verkauft auch die Sticks.
> Leider funktionieren die nicht.
> Es handelt sich bei den Sticks um Appotech DM233 Controller.
> Der Chip ist aber ganz genau so groß wie der im Thermomix Chip.
>
>
> Darf ich fragen wie du deine her hast?

Die Teile habe ich an der 2,5D Fräse gemacht aus PVC.

Meine Sticks habe ich von eBay. Reichelt hat die auch. Ich habe mir die 
Modelnummern notiert:
Verbatim#43905 1010-177 für den 2GB Stick in Oliv
Verbatim#43910 1103-177 für den 4GB Stick in Pink

Hast du mal auf dem Russischen Forum geschaut, ob du eine Software für 
den Controller findest? Wie gesagt, du musst nur Seriennummer ändern 
können und eine Autostart Image drauf flashen.

von Alexander S. (aschaefer85)


Lesenswert?

Auf der russischen Seite hatte ich nichts gefunden.
Auf einer chinesischen Seite war eine Software für den Chip.
Da aber mein Chinesisch sich in Grenzen hält, habe ich es nicht mal 
runter geladen bekommen.
Das hatte ich aber gestern schon probiert und wusste nicht dass es auch 
mit anderen funktioniert. Daher hatte ich auch nicht ganz so viel Mühe 
rein gesteckt. Werde es aber noch mal probieren und wenn ich Glück hatte 
berichten.
Da mein Rezept Chip ganz sicher defekt ist wäre es klasse wenn ich nur 
den Chip tauschen könnte. Ich habe mir auch schon überlegt einen 
günstigen Rezept Chip zu bestellen (ebaykleinanzeigen) und ihn dann zum 
basteln zu benutzen. Hab zwar schon drei hier liegen, kann aber diese 
nicht noch mal riskieren kaputt zu machen.

von Michael W. (mwulz)


Lesenswert?

Hallo Leute,

danke erstmal an alle in dem Thread für die Infos und Hartnäckigkeit an 
dem Thema!

Ich habe auch heute meinen Thermomix bekommen. Gleich auch damit 
gekocht. Genial das Teil. Ich habe mit meiner Frau 50/50 gemacht so sind 
das nicht so viel Geld für jeden. Egal - Sparen dann geht sichs aus.

Das mit dem USB ist cool. Auch die Neuigkeiten, dass anscheinend dass 
das Modell des Sticks relativ egal zu sein scheint.
Hat schon jemand mit einem anderen Modell mal das gleiche versucht?

Anscheinend scheint es ja nur die Daten am Stick bis zur Adresse 
0x808000 und die Seriennummer wichtig sein.

Weiter oben wurde ja mal über WLAN usw.. diskutiert. Hat schon jemand 
mal versucht einen WLAN Stick an den Thermomix zu hängen?
Mit dem Adapter unten von Carlos B. würde das ja gut klappen. Auch 
Tastaturen usw... oder auch einen USB/RS232 Wandler?

Ein Freund hat einen 3D Drucker, wir werden mal versuchen sowas in 3D zu 
printen und dann kann ich auch mit etwas USB - Material testen. 
Einstweilen kann ich euch nur danken und das Thema weiter verfolgen ;-)

gruss aus Österreich

von Carlos B. (morpheus128)


Lesenswert?

Alexander Schäfer schrieb:
> Auf der russischen Seite hatte ich nichts gefunden.
> Auf einer chinesischen Seite war eine Software für den Chip.
> Da aber mein Chinesisch sich in Grenzen hält, habe ich es nicht mal
> runter geladen bekommen.
> Das hatte ich aber gestern schon probiert und wusste nicht dass es auch
> mit anderen funktioniert. Daher hatte ich auch nicht ganz so viel Mühe
> rein gesteckt. Werde es aber noch mal probieren und wenn ich Glück hatte
> berichten.
> Da mein Rezept Chip ganz sicher defekt ist wäre es klasse wenn ich nur
> den Chip tauschen könnte. Ich habe mir auch schon überlegt einen
> günstigen Rezept Chip zu bestellen (ebaykleinanzeigen) und ihn dann zum
> basteln zu benutzen. Hab zwar schon drei hier liegen, kann aber diese
> nicht noch mal riskieren kaputt zu machen.

Wie hattest du deinen Chip kaputt gekriegt?
Falsches ISP aufgespielt, oder Inhalt gelöscht?

von Michael W. (mwulz)


Lesenswert?

Carlos B. schrieb:
> Wie hattest du deinen Chip kaputt gekriegt?
> Falsches ISP aufgespielt, oder Inhalt gelöscht?

Wie ich oben gelesen habe mit dem Hersteller Tool von SMI. Beim Auslesen 
wenn ich mich nicht irre...

Aber wie es scheind könnte er ja mit dem Dump oben den Stick wieder 
reparieren ;-)

von Alexander S. (aschaefer85)


Lesenswert?

Ich habe ihn zuerst gelöscht und danach frittiert.
Als du geschrieben hast das man es wieder hin bekommt, habe ich mich 
wieder an den Rechner gesetzt und den Chip mit meinen selbstgebautem 
Clip verbunden. Irgend was ging aber schief und der Chip wurde 
kurzgeschlossen. Nach kurzer Zeit roch es relativ komisch....
Na ja ich werde mir wohl eine bessere Lösung für das auslesen des Chips 
bauen müssen.

von Jonas W. (jonaswi)


Lesenswert?

@Knochi
In den Log werd ich bei Zeiten nochmal rein schauen!

Carlos B. schrieb:
> Hier übrigens mein Setup.

was sind das für Kontaktstifte die du da verwendet hast? Bekomm ich die 
bei Reichelt?

von Alexander S. (aschaefer85)


Lesenswert?


von Carlos B. (morpheus128)


Lesenswert?

Alexander Schäfer schrieb:
> Ich habe mir vor einer Zeit diese hier bestellt:
> 
http://www.amazon.de/Federkontakt-Block-1-reihig-6-pol-Ladekontakt-Schnittstellenkontakt/dp/B00OOS2BBA/ref=sr_1_1?ie=UTF8&qid=1423865934&sr=8-1&keywords=Federkontakt-Block+1-reihig+6-pol
>
> Vielleicht kann man die auch als Kontaktstifte für den Chip benutzen.

Oh. Die sind cool.
Meine sind von Fixtest. Kriege ich aber nur bei mir auf der Arbeit.
Privat kommt man da glaube ich schlecht dran.

Auf der Docking-Station habe ich eine präzisions Buchsenleiste genommen. 
Die gibts bei Reichelt.

von Kevin K. (4spiegel)


Lesenswert?

Alexander Schäfer schrieb:
> [...]
> Ach übrigens Amazon verkauft auch die Sticks.
> Leider funktionieren die nicht.
> Es handelt sich bei den Sticks um Appotech DM233 Controller.
> Der Chip ist aber ganz genau so groß wie der im Thermomix Chip.

Hier das Gleiche - hatte mir von Reichelt je einen weissen und einen 
schwarzen ClipIt Stick schicken lassen beide hatten den Appotech 8233 - 
dachte zuerst mein virt. XP wuerde Aerger machen... Scheint wohl nicht 
so.

Werde mir die Appotech spez. Tools (DM8233_QCTool o. DM_UDiskAP) 
besorgen und ein bischen rumpielen - waere cool, wenn der TM nichtmal 
auf einen SMI besteht...


Schoenes WE!

-K

von Kevin K. (4spiegel)


Lesenswert?

Carlos B. schrieb:
> Also...
>
> [...]
> Nun habe ich einen 4GB mit SM3257ENAA, der funktioniert genau so gut.
> Einen 2GB mit SM3211BC1 Chip habe ich nun auch testen können.
> Funktioniert genau so gut!
> [...]Das einzige was vom Thermomix geprüft wird, ist die Seriennummer.

Richtig geil! Der *ENAA ist inzw. glaub' leichter zu finden als der 
ENT...
Gute Arbeit - you just made my day!

> Desweiteren habe ich die Imagegröße auf erst auf 1GB geschrumpf und den
> Rest mit Nullen überschrieben...hat er auch einwandfrei gelesen.
> [...]
> Und siehe da: Dem Thermomix reichen die 8.421.376 bytes!
> Der Rest ist Datenmüll auf dem Stick.

Kann man eine 2. Part. (CDFS o. HDD) auf dem Stick anlegen und da was 
ablegen? :D

>
> Was leider nicht geht, ist irgendwo Daten zu ändern. Die 8MB werden
> ständig auf ihre Konsistenz geprüft und es folgt sofort eine
> Fehlermeldung.

Leider, aber das sollte auch noch zu schaffen sein ;)

Nochmal dickes Lob fuer dieses Etappenziel!

-K

von Carlos B. (morpheus128)


Lesenswert?

Kevin K. schrieb:
> Kann man eine 2. Part. (CDFS o. HDD) auf dem Stick anlegen und da was
> ablegen? :D
>

2. Partition kann als Flashspeicher genutzt werden, solange der TM die 
Daten auf der ersten Partition findet.

Leider muss die erste Partition als CDFS angelegt werden. Was anderes 
ließt er nicht! Dummerweise ist diese dann schreibgeschützt und kann 
nicht mit WinHex o.Ä. nachbearbeitet werden (soweit ich testen konnte).

Ein weiteres interessantes Detail:
Bevor die Fehlermeldung auftritt, wird der Splashscreen des Rezeptchips 
angezeigt. Erst dann folgt die Fehlermeldung, kurz bevor der Rezeptindex 
angezeigt werden würde.
Ich habe die Daten erst ab Adresse 0x408000 (also etwa die 2. Hälfte) 
manipuliert. D.h. er ließt zumindest den Splashscreen ohne die folgenden 
Daten zu prüfen. U.U. habe ich auch Teil des Rezeptindex überschrieben. 
Wer weiss...

von Carlos B. (morpheus128)


Lesenswert?

Weiss einer von euch zufällig die Auflösung des Displays des TM5?
Ich finde unter der Modellbezeichnung des Bildschirms nichts.

Habe mal ein wenig rumgerechnet:
Der Chip "Kochen hat Saison" hat von seinen 8.421.376 byte nur 3747840 
byte an Daten. Der Rest sind Nullen.
Auf dem Chip sind laut Rezeptindex 93 Rezepte. Das sind im Durchschnitt 
40,3KB an Daten pro Rezept.
Bei jedem Rezept ist mindestens ein "Vorschaubild" dabei. Falls das 
Display 800x480 pixel groß ist ist das Bild etwa geschätzte 250x250 
Pixel groß.
Ich habe mal gerade ein Foto auf diese Größe verkleinert und in 
verschiedenen Formaten konvertiert. Selbst bei 256 Farben ist das BMP 
62,5KB, das GIF hat 34,5KB, das JPG hat 21,3KB, das PNG 31,9KB. Das ist 
mindestens die Hälfte der Daten.

von Richard M. (richi1970)


Lesenswert?

Hallo morpheus128,

20 Kb an Daten ist für ein Rezept mehr als ausreichend (inkl. 
Motorteuerung).
Ich habe spasseshalber mel ein Rezept von der Rezeptwelt in einen 
Texteditor kopiert. Ich habe die komplette Seite, also alles was auf der 
Seite so rumsteht (ohne Bilder), kopiert - das sind gerade mal 5 KB an 
Daten. Dann wird ja noch die Steuerung des TM benötigt. da sind weitaus 
weniger Daten nötig als im geasmten Rezept stehen.

Groszügig gerechnet werden das wohl nie mehr als 5 KB an Daten für 
Rezept + Steuerung sein.

LG

richi

: Bearbeitet durch User
von Georg A. (georga)


Lesenswert?

Zu den SW-Paketen: Wenn da ein AVR auf der Steuerungseinheit sitzt 
(finde das Foto der Platine nicht mehr...), könnte avrdude für ein 
In-System-Update genutzt werden.

von Kevin K. (4spiegel)


Lesenswert?

Moin,


ich habe mal rumgespielt - und jetzt einen sehr seltsamen ClipIt - muss 
wohl noch mehr spielen ;)
Ich muss dazu sagen, das mein XP eine VM ist - das koennte beim 
Auswerfen des Sticks am Bus Aerger machen...
Das Tool welches 'tat' war das Partitionierungstool von einer rus. Seite 
fuer den DM8233. Das will bei 'Settings' ein Passwort - man findet es in 
der partition.cfg als Kommentar.
Das Ding hat nur mehrere Nachteile.
- Die SerNr ist buggy - musste den Haken bei Dec. wegmachen, weil sonst 
nur Muell entsteht.
- Das Partitionieren ist 1.Part norm. Stick 2.Part CD (oder nur CD)
- Macht unter VM komische Sachen - schreibt den Controller, aber das 
Image nicht - kann man sich vorstellen was das im Ergebnis bringt ;) - 
Genau, ein READ-Only-FS mit nicht korrigierbarem Datenmuell...
- Das ganze Tool bleibt weit hinter den Moeglichkeiten des SMI - sollte 
der Chip Wurst sein, wuerde mir das trotzdem Wurst sein ;) SMI ist 
stressfreier ;)


-K

von Alexander S. (aschaefer85)



Lesenswert?

Es sind anscheinend nur die weißen und schwarzen Modele mit dem Appotech 
DM8322 bestückt (meine unbestätigte Vermutung).
Da fängt die Modellnummer mit einer 5 an (siehe Foto).
Hier noch der Link zu dem Model:
http://www.amazon.de/Verbatim-Clip-4GB-Speicherstick-weiß/dp/B00440D0G8/ref=pd_sim_sbs_computers_1?ie=UTF8&refRID=1K1351K2T5RH421DDZH3

Sicher ist aber das der Verbatim ‘Clip-It’ in zwei verschiedenen 
Varianten zu kaufen gibt. Der Stick mit dem Appotech DM8322 hat ein 
wesentlich kleineren Chip verbaut als die Variante mit dem sm3257enlt.
Zur besseren Verständnis habe ich noch zwei Fotos erstellt.
Hoffe ich konnte helfen ;-)

: Bearbeitet durch User
von Kevin K. (4spiegel)


Lesenswert?

Alexander Schäfer schrieb:
> Es sind anscheinend nur die weißen und schwarzen Modele mit dem Appotech
> DM8322 bestückt (meine unbestätigte Vermutung).
> Da fängt die Modellnummer mit einer 5 an (siehe Foto).
Bei reichelt.de war die P/N (auf Packung) 43900 (weiss - schwarz 43901)
Ein von amazon.de heute angekommener hatte P/N 97555  (schwarz) - der 
hat aber leider auch keinen SMI, sondern einen 'ITE IT1176 A1BA' :( - 
bei diesem ClipIt sind allerdings die mitteleren 2 USB Kontakte schmaler 
als die Aeusseren - Chip gleich gross wie SMI...
Die Verpackung ist anders:
- Appo reichelt, kleiner Chip, kleinere Verpackung, das grosse Feld mit 
'Clip-it' 'USB DRIVE' ist weiss
- Amazon ITE, 'groesserer' Chip, groessere Verpackung, grosses Feld ist 
hier rot

> Hier noch der Link zu dem Model:
> 
http://www.amazon.de/Verbatim-Clip-4GB-Speicherstick-weiß/dp/B00440D0G8/ref=pd_sim_sbs_computers_1?ie=UTF8&refRID=1K1351K2T5RH421DDZH3
>
> Sicher ist aber das der Verbatim ‘Clip-It’ in zwei verschiedenen
> Varianten zu kaufen gibt.
Leider min. 3 jetzt...

Bei den Appos schauen zudem noch diese 2 winzigen Kontakte gerade so an 
der Kante vom Buegel raus - die fehlen beim SMI (oder sind weiter 
hinten? - der Appo hat da noch 2 groessere versteckt).

> Zur besseren Verständnis habe ich noch zwei Fotos erstellt.
Werde auch noch welche nachreichen...
> Hoffe ich konnte helfen ;-)

Ironie des Schicksals - ich hatte mir zum rumspielen einen 'Verbatim 
PinStripe 4GB' (schwarz) besorgt. Wollte mal andere Chips als den SMI 
probieren. Nun, die ClipIts waren dann Appo, aber der PinStripe stellte 
sich als 'SMI SM3257 ENLT'heraus :D (Verba. P/N ist 49061 ). Da ich mit 
'rumspielen' wollte, war mir der klassische 'Schiebestick'-Formfaktor 
egal...

Ein Verbatim 'Micro USB Drive 4GB' (P/N 44048) - entpuppte sich als 
Phison PS2251-67 (PS2267) - die Phison hatte ich als Zweitwahl gesetzt, 
weil deren Tools auch brauchbar aussahen.

-K

von Fab!an (fabiiian)


Lesenswert?

Ich kenne einen 'USB Stick Importeur' direkten Kontakten nach Asien. Bei 
Ihm kann man Sticks direkt mit Wunschchip bestellen. Soll ich mal 
anfragen? Welche Menge?

von Alexander S. (aschaefer85)


Lesenswert?

Da es wohl keinen Hersteller gibt der nur den einen Chip sondern immer 
wieder neue Chips je nach momentanen Preis verbaut ist eine genaue 
Aussage über die USB Sticks nicht möglich.
Entweder man bestellt eine große Menge über einen Importour oder man 
bestellt sich direkt einen Chip von Vorwerk.
Da ich absolut kein Interesse an Raubkopien habe werde ich mir einen von 
Vorwerk bestellen. Der Vorteil ist das man kein Gehäuse bauen muss und 
der Chip 100% richtig ist. Der günstigste Chip ist für 27€ zu bekommen. 
Weitere Suche nach einen funktionierenden USB Stick wird mich wohl mehr 
Geld kosten.

von David N. (knochi)


Lesenswert?

Alexander Schäfer schrieb:
> Da es wohl keinen Hersteller gibt der nur den einen Chip sondern immer
> wieder neue Chips je nach momentanen Preis verbaut ist eine genaue
> Aussage über die USB Sticks nicht möglich.
> Entweder man bestellt eine große Menge über einen Importour oder man
> bestellt sich direkt einen Chip von Vorwerk.
> Da ich absolut kein Interesse an Raubkopien habe werde ich mir einen von
> Vorwerk bestellen. Der Vorteil ist das man kein Gehäuse bauen muss und
> der Chip 100% richtig ist. Der günstigste Chip ist für 27€ zu bekommen.
> Weitere Suche nach einen funktionierenden USB Stick wird mich wohl mehr
> Geld kosten.

An dieser Stelle sei noch mal darauf hingewiesen, dass unser Ziel ist 
eigene Rezepte zu schreiben. Das Kopieren dient nur dazu, um 
herauszufinden welche Parameter stimmen müssen, damit der TM den Chip 
als Original erkennt. Also z.B. Seriennummer, Chipsatz etc.
IMHO lohnt sich das Kopieren auch nicht wirklich, wenn man bedenkt, dass 
man sich erst einen Adapter für USB Sticks bauen muss. Und die anderen 
Kochbücher fallen erfahrungsgemäß sowieso gegenüber dem Grundkochbuch 
stark ab.

Bis denne
Knochi

von Carlos B. (morpheus128)


Lesenswert?

Ich stimme Alexander zu.
Da jetzt klar ist, woran man rumschrauben darf und woran nicht, kann man 
direkt an dem Originalchip arbeiten.
Eine Docking Möglichkeit braucht man so oder so. Entweder um den Stick 
an den TM zu bringen, oder halt um den Chip mit dem PC zu verbinden.
Das eine versteckte Partition o.Ä. noch auf dem Chip ärger bereitet, ist 
jetzt ausgeschlossen.

Also auf gehts: Verschlüsselung knacken!

Übrigens habe ich mir mal das vollständige Patent genau durchgelesen. 
Dort ist bereits alles erklärt womit wir es hier zu tun haben. 
Allerdings haben sie viele Möglichkeiten erwähnt und tatsächlich nur 
eine Kombination daraus umgesetzt. Die Frage ist nun welche und kann man 
diese umgehen/reproduzieren?
Ich tippe auf eine Kombination aus SHA-256 für die Hash Berechnung und 
RSA-Algorithmus für die Chifrierung.

Eigentlich war geplant, einen Teil des Sticks am PC lesbar zu machen. 
Das haben sie anscheinend geknickt, da man sonst super über eine 
Plaintext-Attacke den Code hätte knacken können...

von Hans Ulli K. (Gast)


Lesenswert?

Carlos B. schrieb:
> Ich tippe auf eine Kombination aus SHA-256 für die Hash Berechnung und
> RSA-Algorithmus für die Chifrierung.

ich tippe eher auch AES.
Das können aktuelle SoC's in Hardware
Ich habe auch noch (alten) einen SoC gesehen, der konnte DES bzw. 3DES.

Und dann noch SHA für MAC, uch in HW

von Kevin K. (4spiegel)


Lesenswert?

Fabian O. schrieb:
> Ich kenne einen 'USB Stick Importeur' direkten Kontakten nach Asien. Bei
> Ihm kann man Sticks direkt mit Wunschchip bestellen. Soll ich mal
> anfragen? Welche Menge?

Hi Fabian - schön zu wissen; aber aus anderem Grund als vermutet...

Ein paar Chips herumliegen zu haben um zu testen und evtl. später 
strukturiert kochen zu können ist das eine (etwa einen Chip mit 'Menüs 
zum testen', einen mit 'lieblings Rezepten',...). Wie Knochi and Andreas 
aber schon meinten, sind Mengen einer Lieferung eines Importeurs 
allerdings wohl weit jenseits selbst einer grosszügigen Bestellung von 5 
Chips/User.

Ein paar Fehlkäufe kann man noch nutzen um zu lernen (Features anderer 
Hersteller, überhaupt den Umgang mit Controllerchips auf Sticks und 
damit verbundene Themen,...) - und wie die Beschreibungen zu den ClipIt 
Sticks wohl nicht zu vermeiden. Rein ökonomisch gesehen hat Andreas 
recht - mit ca. 20% Markanteil von SMI muss man so viele Sticks kaufen 
um Glück zu haben, das es sich tatsächlich eher lohnt gleich den Vorwerk 
Chip zu kaufen (min. 5 Käufe zu min. 8 Euro > billigster Chip).

Wenn aber der Importeur Tools besorgen kann, mit denen man am PC mit den 
Stickcontrollerchips direkt reden kann, dann wird's spannend 
('production tools'). Die meisten auf der russischen Seite(n) taugen für 
wenig mehr als die Ser/VId/PId zu setzen und evtl. ein ISO-Image 
hochzuladen. Firmware runterladen z.Bsp. ist meist nicht vorgesehen. 
Lustig wäre es etwa auch auf einem Stick 2 CDs zu haben. Oder die Daten 
der HDD als ISO zu exportieren - das würde einem ersparen jedes Mal ein 
ISO Image komplett hochzuladen wenn man nur ein paar Werte ändern will. 
Wenn das nicht öffentlich geht - schick mir einfach eine PM - solche 
Tools wären nicht nur für dieses Projekt für mich von Interesse.

Ich habe leider immer noch keinen TM, so das im Moment (noch) mehr Zeit 
für Grundlagenforschung bleibt ;)

Eine Erkenntnis eben derer: bei verschiedenen Sticks sind erhebliche 
Schwankungen in der Leitungsaufnahme am USB Port gemeldet worden - 
nichts gefährliches, aber bei der Entscheidung welchen der Clonechips zu 
benutzen vielleicht mit zu beachten.

So, da nun anscheinend klar das Seriennummer = legitimer Stick(?) ist, 
fehlt der nächste Schritt: ??? = legitime Daten.
Ich gehe davon aus, das entw. eine Prüfsumme abgelegt wird (wäre für uns 
cool) oder eine Signatur erstellt wird (erhebl. Aufwand das 
nachzustellen).
Evtl. kann man dann aus dem ??? schliessen was gemacht wird 
(md5,sha,..). Ich würde nochmal den Busmitschnitt durchgehen - ist da 
irgendwo ein Hinweis auf eine ziemlich kleine Menge Daten entw. gleich 
zu Anfang oder zum Ende zu finden?

Grüsse,

-K

von Fab!an (fabiiian)


Lesenswert?

Versteht mich nicht falsch, ich hatte dir den eindruck das sich hier 
viele mit der auswahl passender "Probiersticks" beschäftigten und wollte 
daher anbieten mich mal nach passenden Sticks mit garantiert richtigem 
Chip zu schauen - mehr nicht.

Ich denke die Verschlüsselung ist im Patent beschrieben. Privat und 
Puplic Key. Also einen Art PGP mit Zusätzlichem Salt in Form der Stick 
SN und damit wirds verdammt schwer. :'(

von Carlos B. (morpheus128)


Lesenswert?

Nun, ich habe SHA-256 und RSA nicht ohne Grund genannt.
Im Patent werden zwar diverse Möglichkeiten erwähnt, aber explizit auf 
die beiden hingewiesen!
Es ist die Rede von der Verschlüsselung des Datenpakets bestehend aus 
der Seriennummer (2), der Rezeptdaten (4) und der Prozessdaten (5) für 
den TM, mit einer public/private Key fähigen Verschlüsselung. Und später 
wird noch ein Hash berechnet und zusätzlich auf dem Stick abgelegt.

von Carlos B. (morpheus128)


Lesenswert?

Mal ne andere Sache die mir aufgefallen ist:
Ich habe mittlerweile drei verschiedene Chips analysieren können ("Das 
Kochbuch", "Wertvoll geniessen", "Kochen hat Saison"). Beim Vergleich 
sind mir zwei Blöcke aufgefallen, die bei allen drei Chips Identisch 
sind.
Der erste Block geht von 0x200 bis 0x89F und der zweite von 0xA00 bis 
0xBD7.
Auf den ersten beiden Chips sind die Blöcke jeweils um 16 Bytes länger 
und unterscheiden sich nur im Vergleich zum letztgenannten Chip.

Jemand eine Idee, was das für Daten sein könnten?!

von Carlos B. (morpheus128)


Lesenswert?

Ich meine gelesen zu haben, das die Sticks von "Silicon Power" direkt 
von "Silicon Motion" gefertigt werden. Auf der russischen Seite wurde 
der "Silicon Power Touch T01" Stick erwähnt der den SM3257ENLT drin 
haben sollte. Daraufhin habe ich mir einen 8GB T01 gekauft. Der hatte 
aber einen anderen SMI Chip verbaut (ich meine SM3255AA o.Ä.).

Wäre unwahrscheinlich einen "Silicon Power" Stick mit nem Chip von einem 
anderen Hersteller drin zu finden, oder?!

von Kevin K. (4spiegel)


Lesenswert?

Carlos B. schrieb:
> [...]
Irgendwie musste ich beim lesen eben dieser Stelle spontan an das alte 
Mac-OS Dateisystem denken:
> der Seriennummer (2), der Rezeptdaten (4) und der Prozessdaten (5) für

Die Rezeptdaten (4) sind der 'Resource fork' (klar lesbar auf CDFS)
Die Prozessdaten (5) der 'Programmcode' auf versteckt/verschl. Teil (was 
die SMIs hergegeben hätten).
Haben sie aber schlussendlich nicht so umgesetzt (anscheinend) - was 
wieder Hoffnung weckt.
So ist nämlich eben doch bekannter Klartext im Chiffrat enthalten 
(solange das vorher nicht komprimiert wurde...).

> den TM, mit einer public/private Key fähigen Verschlüsselung.
Ich glaube irgendwo auch sowas wie eine Anzahl an 'mitzuführenden' 
Schlüsseln gelesen zu haben. Das waren ziemlich viele - nur auf Vorrat 
um kompromittierte widerrufen zu können, oder stehen die im Zusammenhang 
mit etwa der Anzahl der gültigen Seriennummern?
> Und später
> wird noch ein Hash berechnet und zusätzlich auf dem Stick abgelegt.
Über diesen Punkt war ich ebenso gestolpert - wenn das Buch in einem 
Rutsch gelesen wird, ist wohl das Buch signiert/'hashed' (ich glaube 
weiter oben hatte jemand schon nur einzelne Bytes geändert und Fehler 
bekommen...). Allerdings haben wir diese Prüfsumme mWn noch nicht 
gefunden - kann man eigentlich die Seriennummer etwa des 'Saison' Chips 
in einen Stick packen, der mit 'Das Kochbuch' betankt wurde? Wäre schon 
mal eine Variable weniger ;)


VlG,

-K

von Kevin K. (4spiegel)


Lesenswert?

Hi alle,

noch kurz: vielleicht sollten wir auch die zweite Front nicht ganz aus 
den Augen verlieren: der TM5 selbst.
Wenn tatsächlich starke Verschlüsselung mit ordentlich langen Schlüsseln 
benutzt werden, wäre es u.U. einfacher dem Gerät einen selbst 
generierten Schlüssel unterzujubeln. Allerdings müssten wir dann aber 
auch nach einem anderem Weg suchen, uns die Infos über den Aufbau eines 
Rezeptes und die passenden Steuerbefehle zu verschaffen. Könnte aber 
auch dort zu finden sein, wo man den Schlüssel einschleust - dort sind 
die Daten evtl. dann offen... Will heißen: Debugport etc ;)

Wir sollten an beiden parallel arbeiten - den Aufbau des Buches (wie 
Hashwert berechnen - und/oder wo Sign. ablegen) brauchen wir - wenn 
tatsächlich stark verschl. kommen wir evtl. am Gerät direkt schneller 
voran.

Zum Schluss was zum schmunzeln : ich habe irgendwo (in SoC-Beschr.?) was 
von OTG gelesen - sollte das implementiert sein, könnte es erlauben den 
TM5 als Gerät an etwa einem PC anzuschließen (auch für Debug? - TM5 ist 
dann Slave) sprich er wäre dann der
Thermo-Nukleare-RIESEN-USB-Stick :D ).



VlG,

-K

von Kevin K. (4spiegel)


Lesenswert?

Carlos B. schrieb:
> [...]
> Auf den ersten beiden Chips sind die Blöcke jeweils um 16 Bytes länger
> und unterscheiden sich nur im Vergleich zum letztgenannten Chip.
>
> Jemand eine Idee, was das für Daten sein könnten?!
Brainstorming (bin immer noch ohne TM :( )
Gemeinsamkeiten:
Logo's?
Vor/Nachwort?
Eigenwerbung/Eula/Disclaimer/Warnung/...?

Tabellen-header/Dictionary?
* 2 Tabellen - Rezept und Steuerung
  - SQLite-Files?
  - Rezept Datei hat viele Felder (0x200 bis 0x89F)
  - Steuerung weniger Felder (0x0a00...)
  - Wo sind die Bilder zu Rezept dann?

1. Block 1695 bytes
2. Block 471 bytes

Pub/Priv Key?

16Byte = 128bit

Letzteres brachte mir einen langen Ausflug ein. Julien hatte 
ggaaaannnzzz weit oben ein paar gute Links und darauf fussend AES128b 
vermutet.
Klingt leider plausibel - leider, weil AES-128b im Prinzip sicher ist :( 
Features:
- No 'brute-force' - Rechenleistung eines sehr schnellen 2010 gebauten 
Rechners ist um Exponenten zu lahm um den Schlüssel innerhalb der 
bisherigen Lebenszeit des Universums zu berechnen
- Klartext Attacken wirkungslos

Mögliche Angriffsflächen:
- Schlechte Passwörter - Mensch 'erstellt' sie - hier eher nicht
- Es ist symetr. also kein pub/priv key - das was zum verschl. benutzt 
wurde ist das was man zum entschl. braucht
- Klartext möglich wenn mehrere bekannte Klartexte mit dem selbem 
Schlüssel (hier: versch. Chips)
- Es gibt inzw. 'indirekte' Angriffe - lauschen/timing in Prozessor 
cache etwa

Lichtblicke:
Konsequenz aus symtr. Verschlüsselung ist: sowohl bei der Produktion, 
als auch in dem TM5 muss der gleiche Schlüssel sein - einmal geknackt 
ist das Game-over - alle Chips alle TM5 haben denselben Schlüssel. Sehr 
riskant - aber zu umschiffen, indem man den Schlüssel asymetrisch 
verschlüsselt, und einfach beilegt
Blöderweise werden Klartext o. Cache Angriff nur möglich mit Zugang zum 
OS. für letzteres braucht man nicht einmal mehr root Rechte - bin aber 
noch nicht dahinter gestiegen, ob das auf für Dateien entschl. klappt - 
(Funk-)Netze ja...
Kommt man eingelogged an die Klardaten, so haben wir zusammen wohl 
bestimmt alles Sorten v. Chips

Cool wäre auch irgendwie einen OS-Dump zu bekommen...

Genug Zeit verdaddelt - ab ins Bett,


bis Bald,

-K

von Mano G. (manogalino)


Angehängte Dateien:

Lesenswert?

Hi all,

I'm interested in your work but I'm not familiar with german language at 
all (I'm french).
So I try to follow your work using google translate but the translation 
is very bad. I don't own a tm5 for the time being so i can't do any 
test.
Before modifying an existing recipe chip I would like to make a copy of 
it. Copy on which I could work without taking the risk of bricking the 
original one.

So I made some searches on goole to find the most appropriate usb 
flashdrive and, like Carlos.B, I found the Silicon Power T01 key on a 
russian web site.
Here is the partnumber you can find on Amazon : SP008GBUF2T01V1K
http://www.amazon.de/Silicon-Power-Touch-801-Speicherstick/dp/B00689HXA2/ref=sr_1_4?ie=UTF8&qid=1424425601&sr=8-4&keywords=silicon+touch+t01

The picture attached show the flashdrive properties using ChipGenius
And here under using ChipEasy :

Logical drive   : E:\            Capacity:  7.5G
Device ID       : VID = 090C     PID = 1000
Device SN       : 02501072159000000829
Device version  : 1100

Device vendor   : UFD 2.0
Device model    : Silicon-Power8G
Protocol        : USB2.0
Max power       : 500mA

Partition type  : FAT32          Device active   : OK
Aligned state   : 28 KB, Have been Aligned

Controller      : SMI
Controller model: SM3257ENLT
Flash Vendor    : SanDisk, Type: TLC, Single channel
Flash ID        : 45DE9493
Score           : 38             (Normal Score >= 30)
Firmware        : ISP 130506-AA-

Tools           : http://www.upan.cc/tools/mass/SMI/
OS Version      : Windows 7 Professional Service Pack 1
Update Status   : The current version is the latest version!


VID, PID and controller model seem to be the same than the recipe key 
but flash vendor is SanDisk whereas it should be Samsung.

Hope this will help.

Regards

: Bearbeitet durch User
von David N. (knochi)


Lesenswert?

Also noch mal ein paar Gedanken von mir.

Die Verschlüsselung findet im TM5 statt und ist somit nicht von dem 
Chipsatz des Speichermediums abhänging. Leider ist ist so auch nicht an 
die Originaldaten heranzukommen.

zur Verifikation des Gerätes reicht dem TM5 eine gültige Seriennummer.

Die Daten für das Grundkochbuch sind in den ersten 8Mb des 
Speichermediums abgelegt und werden ständig auf Konsistenz geprüft.

Vielleicht braucht man die Verschlüsselung auch gar nicht knacken, 
wenn..
1. ..der TM auch unverschlüsselte Daten akzeptiert
2. ..man das Dateiformat herausfindet, z.B. über Zugriff auf die 
Hardware

Ich denke mal die Verschlüsselung zu knacken ohne eine Sicherheitslücke 
oder eine fehlerhafte Implementierung ist nahezu unmöglich.


Bis denne
Knochi

von Alexander S. (aschaefer85)


Angehängte Dateien:

Lesenswert?

Hab heute mal ein neues Lesegerät für den Chip gebaut.
Man kann die Verpackung die mit dem Chip mit geliefert wird wunderbar 
dazu missbrauchen.

von Kevin K. (4spiegel)


Lesenswert?

Alexander Schäfer schrieb:
> Hab heute mal ein neues Lesegerät für den Chip gebaut.
> Man kann die Verpackung die mit dem Chip mit geliefert wird wunderbar
> dazu missbrauchen.

Wow! Respekt - da wird jeder Vorwerker Labormitarbeiter bestimmt blass 
vor Neid ;) - Und das aus 'Müll' (der Großteil des sichtbaren 
jedenfalls...) - bin gespannt wie viele 'flüchtig Reinschauer' jetzt auf 
ebay.de oder amazon.de verzweifelt danach suchen :D


VlG,

-K

von Kevin K. (4spiegel)


Lesenswert?

Mano Galino schrieb:
> Hi all,
>
> I'm interested in your work but I'm not familiar with german language
> [...]
Welcome aboard - my French is rather rusty, but it seems as if we have a 
common foreign language ;)

>
> VID, PID and controller model seem to be the same than the recipe key
> but flash vendor is SanDisk whereas it should be Samsung.
>
I don't think the flash vendor matters - if any at all, then the 
controller chip, or rather the chip you plan on using should be capable 
of offering similar features as the SMI. That one you've got seems right 
(assuming the Chipgenius info was taken from your stick, that you've 
already bought).
The flash chips probably will have differences in available bytes, power 
consumption, speeds,... - but to the TM5 all this doesn't seem to 
matter.

You'll need some SMI tools from where you pulled the infos on the 
fitting stick (Russian site), and use it to upload an iso. Since you 
don't have a TM5, you won't even need to bother with other settings...

> Hope this will help.
>
> Regards

von Carlos B. (morpheus128)


Lesenswert?

Alexander Schäfer schrieb:
> Hab heute mal ein neues Lesegerät für den Chip gebaut.
> Man kann die Verpackung die mit dem Chip mit geliefert wird wunderbar
> dazu missbrauchen.

Sehr geil! Gefällt mir!

Kevin K. schrieb:
> 1. Block 1695 bytes
> 2. Block 471 bytes

Sorry, die Blöcke sind jeweils ein byte länger (1696 und 472 bytes), da 
das letzte Byte mitzählt (mein Fehler).

von Carlos B. (morpheus128)


Lesenswert?

Kevin K. schrieb:
> Letzteres brachte mir einen langen Ausflug ein. Julien hatte
> ggaaaannnzzz weit oben ein paar gute Links und darauf fussend AES128b
> vermutet.

Ja, das hat mir die letzten Tage auch Kopfzerbrechen bereitet. Habe mir 
die drei Images mal genauer angeschaut u.a. auch die Entropie. Die Daten 
sind innerhalb des Images so sauber verteilt, dass man daraus auf das 
Verschlüsselungsverfahren schließen können muss.

Zusätzlich haben die Datenblöcke so schön gerade längen, das müsste 
eigentlich als Indiz zu gebrauchen sein.


Hier mal die Daten, die ich zusammengetragen habe
1
"Das Kochbuch"
2
Datenlänge 0x639000 von 0x808000
3
Entropy = 7.999974 bits per byte.
4
Optimum compression would reduce the size of this 6524928 byte file by 0 percent.
5
Chi square distribution for 6524928 samples is 232.29, and randomly would exceed this value 84.31 percent of the times.
6
Arithmetic mean value of data bytes is 127.4850 (127.5 = random).
7
Monte Carlo value for Pi is 3.140989142 (error 0.02 percent).
8
Serial correlation coefficient is 0.000288 (totally uncorrelated = 0.0).
9
10
"Wertvoll geniessen"
11
Datenlänge 0x360000 von 0x808000
12
Entropy = 7.999950 bits per byte.
13
Optimum compression would reduce the size of this 3538944 byte file by 0 percent.
14
Chi square distribution for 3538944 samples is 245.46, and randomly would exceed this value 65.47 percent of the times.
15
Arithmetic mean value of data bytes is 127.4955 (127.5 = random).
16
Monte Carlo value for Pi is 3.141350640 (error 0.01 percent).
17
Serial correlation coefficient is 0.000449 (totally uncorrelated = 0.0).
18
19
"Kochen hat Saison"
20
Datenlänge 0x393000 von 0x808000
21
Entropy = 7.999949 bits per byte.
22
Optimum compression would reduce the size of this 3747840 byte file by 0 percent.
23
Chi square distribution for 3747840 samples is 263.67, and randomly would exceed this value 34.12 percent of the times.
24
Arithmetic mean value of data bytes is 127.4706 (127.5 = random).
25
Monte Carlo value for Pi is 3.141355020 (error 0.01 percent).
26
Serial correlation coefficient is 0.001010 (totally uncorrelated = 0.0).

von Kevin K. (4spiegel)


Lesenswert?

Carlos B. schrieb:
> [...]
> Ja, das hat mir die letzten Tage auch Kopfzerbrechen bereitet. Habe mir
> die drei Images mal genauer angeschaut u.a. auch die Entropie. Die Daten
> sind innerhalb des Images so sauber verteilt, dass man daraus auf das
> Verschlüsselungsverfahren schließen können muss.
zumindest in Teilen.

>
> Zusätzlich haben die Datenblöcke so schön gerade längen, das müsste
> eigentlich als Indiz zu gebrauchen sein.
Vielleicht - aber wenn man durchfließende Datenströme komprimieren will, 
braucht man auch Blöcke ('cat file |gzip' etwa).

MMn ist die Datenmenge aber leider am unterem Rand des brauchbaren für 
100%-ige Aussagen - es bleibt ein Restrisiko, und ein gewisser 
Unsicherheitsfaktor. Meiner Meinung nach ist der groß genug, um den 
Aufwand den Du schon betrieben hast auch zu rechtfertigen. 
Ausdrückliches Danke hier nochmal dazu!

pi-error tendiert zu kleiner .02 -> encr.
Chi-quadr. allerdings eher um 250 -> kompr.

Allerdings sind die identischen Bereiche von verschiedenen Rezeptchips 
ein klarer Ausschluss des 'ganzes Image in einem Rutsch (AES-) 
verschlüsselt'. Das bedeutet mindestens das an den Stellen von neuem 
begonnen wird (sogar explizit exclusive dieser Bereiche).
Ich bin nicht der AES Profi - bitte korrigieren wenn ich Blech rede - 
aber eine saubere Impl. moderner krypt. Verfahren sollte folgende 
'Features' erlauben:
- 2 Durchläufe des identischen Klartextes mit gleichem Schlüssel ergeben 
2 völlig verschiedentlich aussehende Ergebnisse (dank 'IV' o. 'Salt')
- Da meist das Ergebnis der Operation auf einem Block (teilw.) wieder in 
die Berechnung des nächsten Blockes einfließt, sollten bei 
unterschiedlichen Klartexten mit aber teilweisen deckungsgleichen 
Passagen diese nicht als solche in den resultierenden Ergebnissen 
erkennbar sein.

Ob gerade Letzteres auch für AES gilt, wenn z.Bsp. ein genügend langer 
Block aus 0x00'ern mittendrin an gleicher Stelle anfängt würde ich 
vermuten, kann es aber nicht beschwören. Auf jeden Fall wäre das nur 
dann überhaupt möglich, wenn kein InitialisierungsVektor benutzt wird 
(sollte - ne, DARF nicht sein ;) ).

Vielleicht sollten wir so lange XOR auf eben diese Stellen exerzieren, 
bis was brauchbares rauskommt (Sern. anwenden?). Wir werden aber leider 
erst wissen was 'brauchbar' ist, wenn wir's sehen ;)
Hat jemand mal nach dem 'header' von dem CDFS gesucht? 'In meiner 
Jugend' war das mal der String 'CD001' glaub - ab dem 2. Byte oder so - 
weiss nicht ob Joliet/UDF sowas noch haben...

Aber xor sollte die Entropie nicht ändern - also doch lzma o.ä. kompr.?



Frohes Grübeln,

-K

von Kevin K. (4spiegel)


Lesenswert?

Carlos B. schrieb:
> [...]
> Sorry, die Blöcke sind jeweils ein byte länger (1696 und 472 bytes), da

Zumindest 1696 sind 106x 128b oder 53 256bit Blöcke - jedenfalls eine 
auffällige Grenze/Größe...


LG,

-K

von Carlos B. (morpheus128)


Lesenswert?

Kevin K. schrieb:
> Vielleicht sollten wir so lange XOR auf eben diese Stellen exerzieren,
> bis was brauchbares rauskommt (Sern. anwenden?). Wir werden aber leider
> erst wissen was 'brauchbar' ist, wenn wir's sehen ;)

:-D

Habe gerade mal aus Spaß die Seriennummer als AES-128 Schlüssel auf das 
Image losgelassen...kam nur Müll bei raus. Aber ein Versuch war es wert!

von Alexander S. (esko) Benutzerseite


Lesenswert?

Kevin K. schrieb:
> Allerdings sind die identischen Bereiche von verschiedenen Rezeptchips
> ein klarer Ausschluss des 'ganzes Image in einem Rutsch (AES-)
> verschlüsselt'.

Das stimmt so nicht. Beim "Electronic Code Book Mode" (ECB-Modus) werden 
gleiche Eingangsdaten durchaus in gleiche Ausgangsdaten verschlüsselt. 
Meist ist dies ein Fehler bei der Anwendung der Verschlüsselung. Und 
alles sieht danach aus, dass es hier so ist. Dass sich das 4GB große 
Image auf 6,3 MB komprimieren lässt ist ein eindeutiger Hinweis darauf.
Hier gibt es mehr dazu:
https://de.wikipedia.org/wiki/Betriebsmodus_%28Kryptographie%29


> - 2 Durchläufe des identischen Klartextes mit gleichem Schlüssel ergeben
> 2 völlig verschiedentlich aussehende Ergebnisse (dank 'IV' o. 'Salt')

Den Initialisierungsvektor (IV) gibt es beim ECB-Modus nicht.


> Aber xor sollte die Entropie nicht ändern - also doch lzma o.ä. kompr.?

Doch. Ein XOR mit mit einer Zufallsfolge, oder einer Pseudozufallsfolge, 
wie sie beim Verschlüsseln vorkommt, erhöht die Entropie auf ihr 
Maximum.

: Bearbeitet durch User
von Carlos B. (morpheus128)


Lesenswert?

Habe mir heute mal in Ruhe den Trace von knochi angeschaut.
Ich klasse, was da alles wiederzufinden ist.
Der TM lässt sich erst die Chip-Informationen ausgeben inkl. 
Seriennummer! Darunter seltsamerweise den Hersteller und Produkt-String 
die ihm eigentlich egal sind.
Darauf ließt erst die ersten 16KB (0x00-0x4000), dann springt er ans 
Ende der Daten und ließt da die letzten 4KB (0x638000-0x639000). Danach 
ließt er die 12KB davor (0x635000-0x638000) und anschließend die 8KB vor 
denen (0x633000-0x635000).
Ich denke, das in den ersten 16KB die Datenlänge und der Splashscreen 
des Buches gespeichert ist. Die 4KB am Ende wird wohl der Hash sein.
Warum er anschließend im Nullen Bereich (am Ende der Daten) rumließt 
verstehe ich nicht (erst 24KB, dann 82KB).
Darauf ließt er mal hier, mal da Datenblöcke ein:
0x625000 - 0x629000 16KB
0x629000 - 0x631000 32KB
0x631000 - 0x633000 8KB
0x5E9000 - 0x5ED000 16KB
weiter bin ich noch nicht.

Hmmm...die Pausen zwischen den Lesezugriffe sollten Aufschluss darüber 
geben, wann knochi auf dem Display was gedrückt hat. Schaue ich mir 
morgen an...

von Kevin K. (4spiegel)


Lesenswert?

Alexander Schmidt schrieb:
> [...]
> Das stimmt so nicht. Beim "Electronic Code Book Mode" (ECB-Modus) werden
> gleiche Eingangsdaten durchaus in gleiche Ausgangsdaten verschlüsselt.
Du hast recht - das hatte ich mehr oder weniger nicht beachtet - nach 
dem Motto 'so bloed koennen sie doch nicht gewesen sein' ;)
In dem genanntem Wiki Artikel steht dann auch "Von der Verwendung des 
ECB-Modus wird daher abgeraten, es sei denn, es soll nur einmal ein 
einziger Nachrichtenblock verschlüsselt werden."
Ist aber von mir bloed gewesen, sowas gleich auszuschliessen - diese 
Moeglichkeit also weiter im Hinterkopf behalten.

Da wollte ich nun mal nachbohren was FreeScale denn genau implementiert 
hat - bin aber nicht so wirklich schlau geworden, schnell und grob so:
- sie haben 1280 bit "einmal-schreib-speicher" um Seriennummern o. 
Schluessel abzulegen
- Sie haben einen integrierten 'Co-Proz' der Sicherheitsfeatures bietet 
um folgendes zu ermoeglichen:
"Read-only unique ID for Digital Rights Management (DRM) algorithms, 
Secure boot using 128-bit AES hardware decryption, SHA-1 and SHA256 
hashing hardware, High assurance boot (HAB4)"

Der max 10Schluessel fassende 1xSchreibspeicher macht Sinn um Schluessel 
zum entschl. des IC302 abzulegen. Aber die Rezeptchips? Sollte das 
AES128b sein, und der Schluessel auftauchen, wuerde nichtmal ein 
FirmwareUpdate das Problem loesen koennen - scheint mir riskant... 
Laesst die Hoffnung das sie im OS irgendwo rumliegen koennten ;) (die 
stirbt ja bekanntlich ... ;) )


> Und
> alles sieht danach aus, dass es hier so ist. Dass sich das 4GB große
> Image auf 6,3 MB komprimieren lässt ist ein eindeutiger Hinweis darauf.

Das ist ein Hinweis dessen Konsequenzen ich bisher ausser acht gelassen 
hatte - danke!
Will ich einzelne Teile eines verschl. Ganzen herauspicken, ist ECB 
tatsaechlich eine angenehme Moeglichkeit (aber nicht die Beste). Will 
heissen, das wenn ich nicht alles einlesen will, sondern in der Mitte 
anfangen, ist ECB besser als Verfahren, bei denen man sich durchhangeln 
muss.
Soweit ich das aber ueberblicken kann, hilft das zwar nicht den 
Schluessel zu erlangen, aber vielleicht den Code zu brechen ;)
Gleiches wuerde immer gleich kodiert werden. Sind die Bloecke klein 
genug, kann man etwa die Milch aus Rezept 1 in Rezept 4 packen :D - man 
muss nur finden wie der kodierte Block Milch aussieht...

>
>> - 2 Durchläufe des identischen Klartextes mit gleichem Schlüssel ergeben
>> 2 völlig verschiedentlich aussehende Ergebnisse (dank 'IV' o. 'Salt')
>
> Den Initialisierungsvektor (IV) gibt es beim ECB-Modus nicht.
>
>
>> Aber xor sollte die Entropie nicht ändern - also doch lzma o.ä. kompr.?
>
> Doch. Ein XOR mit mit einer Zufallsfolge, oder einer Pseudozufallsfolge,
> wie sie beim Verschlüsseln vorkommt, erhöht die Entropie auf ihr
> Maximum.
Ich meinte einfaches XOR statt verschluesseln - sowas wie "Kochbuch XOR 
Seriennummer". Fuege ich der Seriennummer noch einen Zufallswert hinzu, 
erhoet sich natuerlich die Entropie - da hast du vollkommen recht. Was 
ich allerdings meinte, ist das die beobachtete Entropie wiederum gegen 
einfaches XOR spricht.


Bin vorhin hierrueber gestolpert - etwas OT, aber mal 'ne semi-lustige 
Anwendung des TM:
http://www.modernmummymayhem.com/2013/04/thermomix-helped-clean-couch/


LG,

-K

P.S.: @Carlos - merci! Ich hatte ebenfalls schon das Rueckwaertslaufen 
gesehen, aber nicht beachtet das ein Block 2048 Bytes sind, und vorne 
bei 0x0cXX rumgewuehlt, und mich gefragt was er da denn wieder will... 
Aber watt'n 'Rauschen' bevor das eigentliche losgeht... Bist du aus dem 
'Get TOC' schlau geworden?

von Kevin K. (4spiegel)


Lesenswert?

P.P.S: Wenn man die Features des SoC sieht, fragt man sich wozu 
eigentlich noch den Atmel? Aber das Projekt fuer uebernaechstes Jahr 
steht schon: Hack den TM5! Der Soc hat soviele Zusatzfeatures, das man 
bloed waere ihn nicht voll in die Heimautomation zu integrieren :P
Aber Spass beiseite - da war (auch fuer unser Model) eine 10/100Mbs Eth. 
Schnittstelle - und eine Warnung: die Datenports des USB koennen max. 
24h lang 5V Level vertragen - max war glaub' mit 3.6V angegeben...

von Alexander S. (esko) Benutzerseite


Lesenswert?

Kevin K. schrieb:
> Will ich einzelne Teile eines verschl. Ganzen herauspicken, ist ECB
> tatsaechlich eine angenehme Moeglichkeit (aber nicht die Beste). Will
> heissen, das wenn ich nicht alles einlesen will, sondern in der Mitte
> anfangen, ist ECB besser als Verfahren, bei denen man sich durchhangeln
> muss.

Man muss sich bei keinem Modus durchhangeln, im Sinn von alle Daten 
einlesen um Daten vom Ende zu erhalten. Beim "Cipher Block Chaining 
Mode" und "Cipher Feedback Mode" muss man zwei verschlüsselte Blöcke 
einlesen. Beim "Counter Mode" nur einen, ebenso beim "Output Feedback 
Mode". Wobei bei letzterem die Verschlüsselungsfunktion so oft berechnet 
werden muss, wie die Zahl der vorhergehenden Blöcke.
Bei typischen Blöcken von 128 Bit oder 256 Bit und einer Gesamtlänge von 
hier nur 8 MB ist dies kein Problem, das wären 64 mal die 
Verschlüsselungsfunktion, die hier sogar in Hardware implementiert ist.


> Gleiches wuerde immer gleich kodiert werden. Sind die Bloecke klein
> genug, kann man etwa die Milch aus Rezept 1 in Rezept 4 packen :D - man
> muss nur finden wie der kodierte Block Milch aussieht...

So ist es. Das ist auch ein Ansatzpunkt.


> und eine Warnung: die Datenports des USB koennen max. 24h lang
> 5V Level vertragen - max war glaub' mit 3.6V angegeben...

Das mit den 24 h halte ich für ein Gerücht. Solche langen Angaben 
betreffen meist nur Elektronenmigration, da passiert bei 100 h auch noch 
nicht viel.

Viele Grüße,
Alexander

PS: Bitte kürze beim zitieren mehr.

von Carlos B. (morpheus128)


Lesenswert?

Kevin K. schrieb:
> Bist du aus dem 'Get TOC' schlau geworden?

Weiss nicht was du meinst. Ist das ein bestimmter Befehl? Welche 
Paketnummer?

von Kevin K. (4spiegel)


Lesenswert?

Alexander Schmidt schrieb:

>>[...] kann man etwa die Milch aus Rezept 1 in Rezept 4 packen :D - man
>> muss nur finden wie der kodierte Block Milch aussieht...
> So ist es. Das ist auch ein Ansatzpunkt.
Da hier jemand vor einer Weile eine franz. Version eines KB erwähnte - 
wäre das evtl. schon der erste Ansatz - angenommen Texte sind 
verschieden aber die Steuerbefehle gleich - mit Glück sind sie weit 
genug von einander entfernt um sie auseinander halten zu können... 
Versuch wär's Wert - wenn ich vorherige Posts korrekt verstanden habe, 
hätten wir durch den USB Mitschnitt schon Stellen an denen konkret 
Rezepte stehen...

>> [...] die Datenports des USB max. 24h 5V
> [...] da passiert bei 100 h auch noch nicht viel.
Das Datenblatt hatte max. 3,6V für USB-Data angegeben, und dann mit * 
auf die 24h bei 5V hingewiesen - wollte nur nicht das jemand da böses 
erlebt. Sie hatten auch explizit darauf verwiesen, das die im SoC 
integrierten A/D Wandler für die Dauer der 5V am USB evtl. unkorrekte 
Ergebnisse liefern.
Konnte mich zudem an Warnungen zu Port CN602(?) erinnern, dort einfach 
USB anzuklemmen. Anscheinend sollte man an diesem Gerät aber nicht 
einmal mit 5V an den echten USB Port gehen (oder zumindest nicht über 
Nacht stecken lassen) - ich würde also auf keinen Fall den vermuteten 
Debugport 1:1 mit USB verbinden, sondern tatsächlich warten bis jemand 
beim Booten einen Oszi dran hatte.
Irgendwie müssen die da geschummelt/gepennt haben - USB sollte 
eigentlich min. 4,4V und höchstens 5,25V vertragen.


> PS: Bitte kürze beim zitieren mehr.
Werde es versuchen - schon alleine weil ich irgendwie das Gefühl habe, 
hier immer ganze Tapeten oder Romane zu schreiben - hoffe ich nerve euch 
nicht (zu sehr?) damit...


VlG,

-K

von Kevin K. (4spiegel)


Lesenswert?

Carlos B. schrieb:
>> Bist du aus dem 'Get TOC' schlau geworden?
Ich hatte irgendwie öfter als vermutet einen 'get table of contents/...' 
(TOC und ein paar weitere Arten von Inhaltsverz. waren in dem SCSI-Cmd 
genannt - HDD,Speicher,...) gesehen, aber leider auch kein einziges mal 
ein brauchbares Listing als Antwort gesehen. Evtl. waren das jeweils für 
HDD/CDFS um das richtige zu suchen... aber irgendwie doch ein paar mehr 
als man erwartet hätte... Schien mir jedenfalls so.

von Carlos B. (morpheus128)


Lesenswert?

Kevin K. schrieb:
>>> [...] die Datenports des USB max. 24h 5V
>> [...] da passiert bei 100 h auch noch nicht viel.
> Das Datenblatt hatte max. 3,6V für USB-Data angegeben, und dann mit *
> ...

Dies gilt nur für die Datenports, nicht für die USB Versorgungsspannung. 
Die Datenports D+ und D- am USB sollten immer zwischen 3,0V und 3,6V 
liegen. Hier ein Zitat vom Datenblatt des ATmega32U4:
"To comply with the USB Electrical specification, USB buffers (D+ or D-) 
should be powered within the 3.0 to 3.6V range"

von Carlos B. (morpheus128)


Angehängte Dateien:

Lesenswert?

Kevin K. schrieb:
>>> Bist du aus dem 'Get TOC' schlau geworden?

Oh, mir ist gerade aufgefallen, das ich entweder andere Einstellung habe 
als ihr, oder ihr habt das falsche Programm. Bei mir sehen die Pakete 
ganz anders aus als im obigen Screenshot.

Ich benutze das "USB Mobile HS / USBMobile T2 Protocol Suite" aus dem 
Link von knochi's Post.

Von SCSI Befehlen sind bei mit keine Spur.

von Kevin K. (4spiegel)


Lesenswert?

Carlos B. schrieb:
> "To comply with [...]

Merci fuer die Klarstellung - d.h. "It's not a bug, it's ..."

von Kevin K. (4spiegel)


Angehängte Dateien:

Lesenswert?

Carlos B. schrieb:
> [...]
> Von SCSI Befehlen sind bei mit keine Spur.

Das sind bestimmt die Einstellungen. Ich glaube rechts oben kamen die 
her. Die Einstellungen das Hintergrundrauschen auszublenden hilft auch - 
das sind die 'Hide NAKs' o. 'Hide Chirps' - die Kästchen in denen sich 
kleine gelbe Kreuze unten rechts in rote wandelen, nach dem "2 only".
Sollten die kleinen Icon-Schalter über dem Dump fehlen, kann man sie 
auch unter View finden.
Ich hoffe das die Bytes die im 'Stacking view' zusammenfassend angezeigt 
werden, auch wirklich in einem Rutsch gelesen werden. Es sieht nach 
einem gewissen Muster aus, wo erstmal 4-8K gelesen werden, denen dann 
meist ein oder mehrere grössere Blöcke folgen (bis zu 120K). Wenn der 
Data-View an ist, kann man die Daten aus so einem Schwung auch einfach 
in einem an hexdump ähnlichem Format speichern. Da kommen dann Dateien 
wie im letztem Screenshot bei rum. Ich hatte 
lesenummer-groesse-adresse-zeit immer als Namen genommen. Wobei die 
Adresse mit Vorsicht zu genießen ist - meine olle Büchse mit dem 
Virt-Win hat einen üblen Font in dem Tool - da sind 8, B und so ziemlich 
blöd...

von Kevin K. (4spiegel)


Lesenswert?

Hallo zusammen,


ich habe ein Feature in der USB-Prot-View-Soft gefunden, die sich 
'Decoded fields view' nennt - dort werden die bits in den SCSI Paketen 
recht gut aufgedröselt.
Diese gehäuften 'Get TOC's waren mir ja schon vorher mal als seltsam 
aufgefallen - mit den SCSI-decoder sind sie noch seltsamer geworden. 
Wenn ich mich recht entsinne war das ausgehendes Jahrtausend eine 
Methode CDs zu schützen - einfach mehrere (un-)gültige TOCs anlegen, und 
lesen - wenn's Fehler gab -> orig, bei fehlerfreiem Müll lesen -> Kopie 
oder so ähnlich.

Evtl. ist das folgende nur heiße Luft, und darauf zurückzuführen, das 
die Controller nur ein CDFS haben statt auch noch 1 HDD & 1 sec.HDD 
haben, aber im Prinzip meldet der Chip 3 mögliche Geräte auf 'Request 
Mode Sense' oder 'Get Config' anfragen (alles so um Zeitstempel 12sec - 
transf#22 nach transa#58210). Ich glaube 'Get Config' liefert nackte 
Bytes, nämlich 12, 24 o. 32 - während der 'mode sense' das zwar 
ausschmückt, aber im Grunde die gleichen Bytes aneinander reiht.
Der Controller liefert zunächst 3 'Beschreibungen' - Nummer, LBAs und 
deren Größe. Die scheinen allesamt erstmal Schrott - da ich ins Bett 
will, hier meine Notizen:
1
Descriptor 1:
2
Byte  #Block    Length    Size
3
MSB  180707    772923    12.297.039.385.845  12,2TB
4
LSB  070718    232977    1.061.321.385.000  1TB
5
6
2A 180707 71 772923
7
8
9
Descriptor 2:
10
Byte  #Block    Length    Size
11
MSB  140100    002114    11.101.344.768    11GB
12
LSB  000114    142100    364.090.368    364MB
13
14
21 140100 08 002114
15
16
17
Descriptor 3:
18
Byte  #Block    Length    Size
19
MSB  002114    140000    11.099.176.960    11GB
20
LSB  142100    000014    26.383.360    26MB
21
22
00 002114 21 140000 (00 00)
23
24
Reply 1 TOC of Track0?
25
00 120101
26
00 140100
27
00 000200
28
29
Reply 2 TOC of Track1?
30
Illegal...
31
32
Resulting Re-request possibly introd. Descr0:
33
MSB  000500    00000A    12.800      12K
34
LSB  000500    0A0000    838.860.800    838MB
35
36
70 000500 00 00000A
37
38
changes Descr. 1 to:
39
00 000000 20 000000
40
leaving Descr. 2&3 as are, minus trailing 2 0x00

Die Zahlenfolge unter einem 'Gerät' (Descriptor) ist jeweils so, wie sie 
im Dump steht. Interessant ist hier die Zahl zwischen Anzahl der Blöcke 
und Blockgröße - das Feld ist angeblich 'reserved' und sollte '0' 
betragen. Das erste Byte ist jeweils der 'mode sense' (=ID?).
Interessant scheint hier, das die Werte irgendwie alle zwar Hex-Bytes 
sind, aber keine Buchstaben darin vorkommen (A-F).
Er versucht dann nacheinander(?) den Inhalt der 'Geräte' zu lesen - das 
erste Ergebnis führt wiederum nur zu Ziffern.
Das 2. platzt erwartungsgemäß. Danach fängt der Spaß an, kurz und 
einfach: der Fehler führt zu reset, nach 1. reset wird vorne ein Gerät 
eingefügt, und eines geändert (0 Blöcke mal 0 Größe) aber wiederum mit 
'illegaler' Zahl dazwischen. Das Spiel geht dann weiter - TOC lesen, 
reset, mal mehr, mal weniger Geräte,... bis es sich dann irgendwo vor 
dem 'XOR Write' bei ca. 13s Zeitstempel einpendelt, und danach alles 
glatt läuft - richtige Größe, komisches springen beim lesen - was Carlos 
weiter oben beschrieben hat.
Vielleicht Zufall, aber 4 'Phantasie' Geräte sind 32Byte - oder 2 
Schlüssel oder 2 Werte die XOR 1 Schlüssel ergeben - es könnte auch 
sein, das die Anzahl der Geräte am Ende ein vielfaches von 32Byte 
ergeben...

Springt jemandem da was ins Auge? (Meine sind schon halb zu... ;) )

-K

von Jonas W. (jonaswi)


Lesenswert?

Moin,
leider ist das ja ziemlich eingeschlafen hier.
Ich habe mir den weiter oben verlinkten USB Stick (Silicon Power Touch 
801 8GB Speicherstick USB 2.0) von Amazon bestellt. Dieser hat 
tatsächlich den SM3257ENLT als Chip verbaut.

von Florian P. (buerklin)


Lesenswert?

Hallo Zusammen,

diese Sticks habe ich mir bestellt, sollten auch funktionieren.

http://computer-pc-shop.de/shop/details.php?art=164347&artname=USB-Stick+++8GB+Silicon+Power+T01+Black%2FMetallic+Case

von Alain H. (hckman13)


Lesenswert?

hallo zusammen,
Ich discution dieses Thema, da es sehr interresant sein, aber ich frage 
mich fragt MEHRERE ca Ich bin französisch, und ich versuche zu 
übersetzen, was nicht offensichtlich ist auch bei Google-Übersetzung 
allem etwas technisch.

-kann haben actuelement MEHRERE Clef Rezept eine Taste, die verhindern 
würde mich beschäftigt viele Schlüssel gestellt wird alles sehr 
praktisches Rezept auf derselben Taste es.
-sait actuelement irgendwelche leeren Schlüssel Kauf 4 oder 8 GB?
- Möglicherweise müssen Sie ein Schaltbild, um erzeugt ein USB-Laufwerk 
wie diese haben?

https://www.mikrocontroller.net/attachment/247694/CIMG1688.JPG

-Muss Ich installierte Linux zwingend, um den Schlüssel Rezept TM 
extrahieren oder kann ich es in Win 7?

vielen Dank für Ihre reponce

von Sebastian K. (5phinxx)


Lesenswert?

Hallo zusammen,

habe seit letzter Woche auch einen Thermomix TM5 und wollte einfach mal 
nachfragen, obs inzwischen Neuigkeiten zur Verschlüsselung der Chips 
gibt.

Ich hoffe, dass der Thread nicht eingeschlafen ist, sondern es noch 
aktive Versuche gibt, eigene Chips zu programmieren.

: Bearbeitet durch User
von David N. (knochi)


Lesenswert?

Hi,

Schade dass das hier so eingeschlafen ist. Wollte nur noch mal darauf 
hinweisen, daß die c't in der aktuellen Ausgabe den TM5 unter die Lupe 
nimmt.
Ausserdem gibt es im Video Podcast Nerds zu sehen die mit dem Ding Eis 
machen.

http://m.heise.de/newsticker/meldung/c-t-uplink-6-6-Thermomix-Dias-scannen-Kim-Dotcom-2650328.html

Bis denne
Knochi

von Anonymus B. (anonymus_bugmenot)


Lesenswert?

Hi,

gibt es mittlerweile neue Erkenntnisse? Würde mich brennend 
interessieren, meinen Chip zu modden.

von Waldemar H. (vual)


Lesenswert?

Guten Abend,
meine Frau hat heute ihren Thermomix bekommen und mir gleich die Frage 
gestellt, ob es möglich ist eigene Rezepte einzuspeichern. Da habe ich 
mich an diesen Thread erinnert, den ich mal aus Interesse gelesen habe.

Gibt es mittlerweile Fortschritte? Es wäre ein gutes Feature :-)

von Dario C. (dario) Benutzerseite


Lesenswert?

Hallo,

ich habe nun seit einer Woche auch einen TM5.

Folgendes zu mir:
- ich kann Elektro
- ich kann Krypto
- ich kann nicht gut (PCs) programmieren

Ich habe mich hier durch den Thread gewurschtelt und festgestellt, dass 
die Aussagen Krypto betreffend - ich will niemanden beleidigen - aber 
fast alle falsch sind.

Das ganze Halbwissen hier aufzugreifen und richtigzustellen ist mir 
nicht möglich, aber ich würde gerne, sofern sich jemand findet der 
mitarbeitet die Sache mal professioneller angehen.

Wie gesagt, ich kann Krypto, weil ich das studiert habe und seit 2005 
beruflich mache. Zusammen mit jemandem der programmieren kann, sollte 
man schon ein gutes Stück weiter kommen.

Ich selber habe mal eine Datei (ich glaube das französische Kochbuch 
wars) hier heruntergeladen und angefangen mit meinen schlechten 
PC-Programmierkenntnissen diese zu analysieren. Zuerst habe ich ein 
Muster gesucht, das sich wiederholt. Dabei bin ich darauf gestoßen, dass 
die Bytefolge: c8 85 b8 03 12 24 b6 67 7a 7b fe 2c eb 87 05 76 genau 
224200 Mal vorkommt.

Das Erstaunliche dabei ist, dass der Abstand zwischen dem 1, und 2. 
Vorkommen und zwischen dem 3. und 4. Vorkommen und so weiter immer genau 
8192 (0x2000) Byte beträgt. Die anderen Abstände zwischen 2. und 3. 
Vorkommen, und zwischen 4. und 5. Vorkommen sind immer unterschiedlich. 
Hier die ersten und die letzten Vorkommen, damit Ihr seht, was ich 
meine:

Gesucht: c8 85 b8 03 12 24 b6 67 7a 7b fe 2c eb 87 05 76

Gefunden ab + Abstand +  Abstand
Adresse:    +     Hex +      Dec
------------+---------+---------
0x0080c44c;   80c44c;    8438860
0x0080e44c;     2000;       8192
0x00810c5e;     2812;      10258
0x00812c5e;     2000;       8192
0x0081526b;     260d;       9741
0x0081726b;     2000;       8192
0x00821f55;     acea;      44266
0x00823f55;     2000;       8192
0x00824f3b;      fe6;       4070
0x00826f3b;     2000;       8192
0x00828a39;     1afe;       6910
0x0082aa39;     2000;       8192
0x0083ce5a;    12421;      74785
0x0083ee5a;     2000;       8192
0x0085d805;    1e9ab;     125355
0x0085f805;     2000;       8192
0x00860077;      872;       2162
0x00862077;     2000;       8192
0x008658c0;     3849;      14409
0x008678c0;     2000;       8192
...
0xeffec1ce;     1f75;       8053
0xeffee1ce;     2000;       8192
0xefff1e56;     3c88;      15496
0xefff3e56;     2000;       8192
0xefff4409;      5b3;       1459
0xefff6409;     2000;       8192
0xefff931c;     2f13;      12051
0xefffb31c;     2000;       8192
0xefffd680;     2364;       9060
0xeffff680;     2000;       8192

Bevor ich jetzt anfange Krypto zu erklären, stelle ich erstmal die Frage 
ob hier jemand in der Lage und willens ist, zusammen mit mir das Problem 
anzugehen, dann würde ich mal aufschreiben, was man versuchen könnte.

In erster Linie, würde man alle Muster finden wollen. Als ich angefangen 
habe, hoffte ich, dass es 8196 Byte gibt, die sich immer wiederholen und 
nur am Anfang etwas anderes steht, aber das scheint ja nicht der Fall zu 
sein.

Schritt 1 wäre daher zu klären: Welche Bytefolgen wiederholen sich immer 
wieder, wo sind die und wie oft wiederholen sie sich und was bleibt über 
an Daten, die nur einmal vorhanden sind.

Wenn sich jemand meldet, erkläre ich auch die verschiedenen 
Kryptoverfahren und wieso einige nicht in Frage kommen (z.B.: AES-ECB)

Ach so, eventuell kann mir jemand sagen, welche Images es schon alles 
gibt und wo man die findet. Zudem könnten Images von einem leeren 4GB 
Stick, der mit unterschiedlichen Dateisystemen formatiert wurde auch 
weiterhelfen.

Grüße aus Bochum, wo es die beste Currywurst gibt,

Dario

von Fab!an (fabiiian)


Lesenswert?

Dario C. schrieb:

> Folgendes zu mir:
> - ich kann Elektro
> - ich kann Krypto
> - ich kann nicht gut (PCs) programmieren
[...]

Klingt doch gut. Soll das per PN ablaufen oder darf da jeder mitlesen?

Ich möchte nicht unbedingt der auserwählte Programmierer sein (außer es 
meldet sich sonst niemand), aber interessieren tut es mich doch sehr was 
du zu erzählen hast.

von Robert L. (lrlr)


Lesenswert?

(ich weiß, ist OT) aber wie zum Teufel kann man "Krypto" können, aber 
nicht programmieren?


naja, egal: was ist dein (erstes) Ziel?
herausfinden welche Verschlüsselung es ist (ausgeschlossen hast ja schon 
ein paar)?
nachdem der (teil) des Schlüssel wohl im Thermomix selber ist, wird


>Schritt 1 wäre daher zu klären: Welche Bytefolgen wiederholen sich immer
>wieder, wo sind die und wie oft wiederholen sie sich und was bleibt über
>an Daten, die nur einmal vorhanden sind.

muss man, wenn man "Krypo kann" nicht auch  schon mal was von B-Tree, 
Hashtabelle oder ähnlichem gehört haben? (oder verwechsle ich hier 
verschlüsseln und komprimieren..) auf jeden fall wäre es damit wohl 
schnell gelöst, und da muss man auch nix selbe erfinden, gibts fix 
fertig für alle sprachen.. auch wenn ich den sinn dahinter nicht sehe..

>Das Erstaunliche dabei ist
wirklich? ein Header-Satz und dann eine Daten-Satz, wieder ein Header, 
wieder Daten.. ja, sehr ungewöhnlich...

von Clyde B. (clyde_b)


Lesenswert?

Ein Ziel könnte ein Konverter-Programm sein, welches eine 
Rezepte-Datenbank in ein Thermomix-USB-Image konvertiert, was dann am 
Thermomix verwendet werden kann.

Vom Prinzip her kann man eigene Thermomix-Rezepte in "jeder" 
Rezeptverwaltung pflegen. Daher sollte man hier auf eine offene 
Rezeptverwaltung mit Exportmöglichkeiten setzen. Das Export-Format ist 
dann Grundlage für den Konverter.

Bisher kenne ich nur die üblichen Thermomix Online-Portale, die aber 
keine Exportfunktion unterstützen. Ich kann mich diesbzgl. aber mal 
umsehen, welches Format da geeignet erscheint. Dann braucht man sich um 
einen Rezept-Editor nicht weiter kümmern. Grundlage wäre das 
Export-Format.

Projektziele wären dann beispielsweise ein TM-USB-Adapter (Hardware) und 
ein Konverter (Software). Für die Hardware sollten wir hier genug Leute 
finden. Ein Layout würde ich auch erstellen können, wenn die Schaltung 
klar ist.

von Sebastian K. (5phinxx)


Lesenswert?

Für eine Software (Konverter) könnte ich mich zur Verfügung stellen. 
Natürlich nur unter der Bedingung die SW und die HW Open Source zu 
stellen.

von Tobias C. (toco)


Lesenswert?

Bevor hier angefangen wird über die Entwicklung von "Konvertern" oder 
Ähnlichem zu sprechen müssen erstmal die Probleme gelöst werden die 
Rezepte von dem Chip zu lesen, eigene Rezepte im selben Format zu 
schreiben und sie vor allem so auf einen Chip zu schreiben, dass sie vom 
TM 5 akzeptiert werden.
Wenn das alles "manuell" funktioniert, dann ist der richtige Zeitpunkt 
um über die Entwicklung von "Konvertern" nachzudenken, vorher ist es nur 
vergeudete Zeit und Ablenkung im Thread.

: Bearbeitet durch User
von Robert L. (lrlr)


Lesenswert?

>Ein Ziel könnte ein Konverter-Programm sein
das ist schon klar,
ich meinte eher was das ziel ist, den USB-Stick (weiter) zu untersuchen, 
wo doch für jemanden der "krypto kann" klar sein dürfte, dass es ohne 
Daten vom Thermomix (key), zu nix führen kann...

von Clyde B. (clyde_b)


Lesenswert?

Robert L. schrieb:
>>Ein Ziel könnte ein Konverter-Programm sein
> das ist schon klar,

Das ist ja auch schon mal was.

Die Rezepte haben ja Namen, die man auf dem Display sehen kann. Wäre 
dies nicht ein guter Ansatzpunkt?

Annahmen:
1) Rezepte sind zu Datensätzen zusammengefasst, wobei ein Datenfeld den 
Rezeptnamen als Inhalt hat.

2) Datenfelder sind durch Trennzeichen getrennt. (Welche?)

3) Datensätze sind in einer Reihenfolge (z.B. alphabethisch) abgelegt

Ansatz:
Länge der Datenfelder in den Datensätzen mit den Längen der Rezeptnamen 
vergleichen.

Sorry, bin kein Krypto. Mir fielen noch weitere Ansätze ein, falls das 
was hergibt. Sicherlich muß man erstmal Verschlüsselung und Kompression 
klären, da muß ich aber passen.

von Dario C. (dario) Benutzerseite


Lesenswert?

Hallo Zusammen,

t'schuldigung, jetzt ist es doch etwas länger geworden:


@Fabian O. (fabiiian)
> Soll das per PN ablaufen oder darf da jeder mitlesen?
Ich bin eigentlich immer für öffentlich.

@Robert L. (lrlr)
> (ich weiß, ist OT) aber wie zum Teufel kann man "Krypto" können,
> aber nicht programmieren?
Zum einen liegt es an meinen Qualitätsansprüchen an mich selbst zum 
anderen an meiner Erfahrung. Ich habe einige Zeit Krypto auf 
eingebetteten Systemen programmiert (8 Bitter und so) und dann war ich 
lange Projektleiter, jetzt gebe ich nur noch Schulungen zu IT-Sicherheit 
(z.B. im Linuxhotel).

C Programmieren geht gerade so, und ich habe mich mit meine obrigen 
Analyse schon schwer getan, hier mein (schlechter) Code.
1
#include <stdio.h>
2
#include <stdlib.h>
3
#include <stdint.h>
4
5
int main(void){
6
7
    FILE *datei;
8
    FILE *result;
9
    uint8_t buf[2048];
10
11
    // uint8_t muster[4] = {0xB0, 0x8F, 0xEF, 0x24};
12
    // uint8_t muster[4] = {0x56, 0x45, 0xF1, 0xD4};
13
    // uint8_t muster[8] = {0x12, 0x24, 0xB6, 0x67, 0x7a, 0x7B, 0xfe, 0x2c};
14
    // uint8_t muster[16] = {0x8E, 0x68, 0xC8, 0x8D, 0x38, 0xEB, 0x78, 0x0e, \
15
                             0xC2, 0xA5, 0xE4, 0x10, 0x7A, 0x40, 0x7C, 0xB5};
16
    // uint8_t muster[16] = {0x6e, 0xb3, 0x4c, 0xd5, 0x60, 0x74, 0xa9, 0x13, 0x48, 0xe4, 0xd3, 0x7c, 0xb2, 0xf9, 0xc1, 0xb2};
17
18
    uint8_t muster[16] = {0xC8, 0x85, 0xB8, 0x03, 0x12, 0x24, 0xB6, 0x67, 0x7a, 0x7B, 0xfe, 0x2c, 0xeb, 0x87, 0x05, 0x76};
19
20
    unsigned char c;
21
    long long bc;
22
    long long ltreffer;
23
    long long diff;
24
    long long treffer;
25
    int cnt;
26
    int gleich;
27
    int i;
28
    ltreffer = 0;
29
    treffer = 0;
30
31
    // Dateien öffnen
32
    datei = fopen( "recipes.img", "rb");
33
    result = fopen( "result.txt", "w");
34
35
    // Suchmuster ausgeben
36
    for (cnt=0; cnt<sizeof(muster); cnt++){
37
        if (muster[cnt] < 16){
38
            printf("0");
39
            fprintf(result, "0");
40
        }
41
        printf("%x ", muster[cnt]);
42
        fprintf(result, "%x ", muster[cnt]);
43
    }
44
    printf("\r\n");
45
    fprintf(result, "\r\n");
46
47
48
    // Fehlerbehandlung
49
    if(datei == NULL){
50
        printf("Fehler beim Öffnen von recipes.img\r\n");
51
        exit(EXIT_FAILURE);
52
    } else {
53
        printf("recipes.img erfolgreich geöffnet!\r\n");
54
        // Anzahl 2048 Bit Blöcke: 1966080
55
        for (bc=0; bc<66080; bc++){
56
            // einen Block einlesen
57
            // printf("lese Block %d\r\n",bc);
58
            for (cnt=0; cnt<2048; cnt++){
59
                buf[cnt] = fgetc(datei);
60
            }
61
            // gelesenen Block ausgeben
62
            /*
63
            for (cnt=0; cnt<(2048); cnt++){
64
                if ((cnt % 16) == 0){
65
                    printf("\r\n");
66
                }
67
                if (buf[cnt] < 16){
68
                    printf("0");
69
                }
70
                printf("%x ",buf[cnt]);
71
            }
72
            printf("\r\n");
73
            */
74
            // Muster suchen
75
            for (cnt=0; cnt<2048; cnt++){
76
                gleich = 0;
77
                for (i =0; i<sizeof(muster); i++){
78
                    if (muster[i] == buf[cnt+i]){
79
                        gleich++;
80
                    }
81
                }
82
                if (gleich == sizeof(muster)) {
83
                    treffer = bc*2048 + cnt;
84
                    diff = treffer - ltreffer;
85
                    /*
86
                    printf("0x%8x; ", treffer );
87
                    printf("%8x; ", diff);
88
                    printf("%10d ", diff);
89
                    printf("\r\n");
90
                    */
91
                    fprintf(result, "0x%8x; ", treffer );
92
                    fprintf(result, "%8x; ", diff);
93
                    fprintf(result, "%10d ", diff);
94
                    fprintf(result, "\r\n");
95
                    ltreffer = treffer;
96
                }
97
            }
98
        }
99
    // Dateien schließen
100
    fclose(datei);
101
    fclose(result);
102
    }
103
    printf("Ende.\r\n");
104
    return 0;
105
 }


> egal: was ist dein (erstes) Ziel?
> herausfinden welche Verschlüsselung es ist
Naja, sagen wir mal so: Zuerst herausfinden OB es eine Verschlüsselung 
ist.
Dazu bräuchte man idealerweise den Plaintext, den wir nicht haben.

Es handelt sich bei dem Chip ja um  ein Blockdevice, auf das (da nehme 
ich mal kühn an) nur lesend zugegriffen wird. Wollte ich das 
verschlüsseln hätte ich sowas gemacht, wie es auch Truecrypt macht. Also 
so, dass man gar kein einziges Byte Klartext (auch keinen Header) mehr 
hätte.

Eine weitere Annahme ist, dass der Chip ja von allen Thermomixen gelesen 
werden muss, also die Information, die man benötigt um einen Chip zu 
entschlüsseln, muss in jedem Thermomix drin sein. Teile können natürlich
auch auf dem Chip sein.

Kommen wir zu der Frage: Warum ist das Verschlüsselt.
1.) Weil niemand sehen soll, was da drauf steht.
2.) Als Kopierschutz

Als Kopierschutz wäre aber quatsch, denn wenn man den Chip kopiert, kann 
man die verschlüsselten Daten mit kopieren. Ein Kopierschutz kann daher 
nur funktionieren, wenn man nicht alles kopieren kann (z.B. die 
Seriennummer)
Dann würde man das aber richtigerweise mit einer kryptographischen 
Signatur lösen. Etwas nach der Art: "Signatur von Seriennummer des Chips 
erzeugt mit dem Private Key vom Hersteller" Der TM5 braucht zum Prüfen 
nur den Public Key.

Das bedeutet, selbst wenn ein Angreifer alle Chips und alle TM5 hätte,
könnte er immer keine Chips kopieren, wenn er die Seriennummer des Chips 
nicht kopieren kann.

Typische Fehler sind dann zum Beispiel: Man verschlüsselt den Chip mit 
einem kryptographischen Schlüssel, der aus der Seriennummer des Chips 
und einem weiteren Geheimnis (das im TM5 gespeichert ist) gebildet wird.

Wenn in dem Fall ein Angreifer dieses Geheimnis aus EINEM TM5 
rausbekommt, kann er munter Chips erzeugen, die von allen TM5 angenommen 
werden.

Aber wie ich schon schrieb, ob es sich überhaupt um eine Verschlüsselung 
handelt ist noch nicht gesichert.

> muss man, wenn man "Krypo kann" nicht auch  schon mal was von B-Tree,
> Hashtabelle oder ähnlichem gehört haben? (oder verwechsle ich hier
> verschlüsseln und komprimieren..)
Ich kenne vollständig balancierte Bäume und auch Hashtabellen aus der 
Datenbanktheorie, wie uns das hier weiterhelfen sollen müsstest Du mir 
aber erklären.

> auch wenn ich den sinn dahinter nicht sehe..
Die einzige Möglichkeit, die ich sehe, ohne den TM5 zu öffnen ist es 
Paare aus Klartextdaten und den dazugehörigen verschlüsselten Daten zu 
finden um dann zu klären, wie "verschlüsselt" wird. Dazu sollte man 
klären:
1. Sind die Daten auf unterschiedlichen Chips der selben Kochbücher
   identisch?
2. Was sind die Klartextdaten, oder was könnten die sein?
   Wenn sich unterschiedliche Blöcke wiederholen, nehme ich an,
   dass sich die Klartextdaten auch wiederholen. Zusammen mit weiteren
   Infos, zum Beispiel wie das Dateisystemen ausgebaut ist, könnte ,
   man dann darauf kommen, was die Klartextdaten zu diesen Blöcken sind.
   Und dann kann man mal überlegen, wie das "verschlüsselt" wurde

> wirklich? ein Header-Satz und dann eine Daten-Satz, wieder ein Header,
> wieder Daten.. ja, sehr ungewöhnlich...
Ich finde es ungewöhnlich, dass 224200 Datensätze ein 399 Seiten dickes 
Kochbuch abbilden? Und warum kann 7zip diese 224200 Datensätze auf 7MB 
packen?


> ich meinte eher was das ziel ist, den USB-Stick (weiter) zu untersuchen,
ACK

> wo doch für jemanden der "krypto kann" klar sein dürfte, dass es ohne
> Daten vom Thermomix (key), zu nix führen kann...
Wie ich oben schon schrieb, das ist nicht unbedingt der Fall.

Wenn ich es designed hätte könntest Du auch den Thermomix untersuchen 
und
würdest trotzdem nicht zum Ziel kommen. Die könntest dann nur "gewinnen" 
wenn:

a) Du es schaffst die Seriennummer mit dem Chip zu kopieren, aber dann
   kopierst Du auch immer meine Kochbücher und kannst keine eigenen 
Rezept-
   Chips erstellen.
b) Du die Daten in jedem Thermomix änderst, der Deine Chips akzeptieren 
soll.
   Das wurde zum Beispiel einmal bei einen Angriff auf die PS3 so 
gemacht.
   Ein USB-Dongle hat einen Buffer-Overflow-Error im Gerät ausgelöst und
   so eigenen Code eingeschleust, der das Betriebssystem verändert und
   so den Kopierschutz entfernt hat.

Aber, aus Erfahrung weiß ich, dass es selten der Fall ist,
das Krypto richtig genutzt und implementiert wurde,
die Chancen stehen daher nicht schlecht.

Ein Beispiel, wie man es hätte falsch machen können:
Verschlüsselt wird jeder Block mit AES im CounterMode [1] als Nonce wird 
die Seriennummer des Chips verwendet und der Schlüssel ist im TM5 
gespeichert.
Dann könnten wir einen Chip schnell entschlüsseln, wenn wir den Klartext 
von einem einzigen Block kennen würden.

Ich hoffe ich konnte einiges klären.

Zusammenfassend: Der erste Schritt ist möglichst viele Informationen zum 
Klartext zu bekommen, damit man ein paar Plain-/Chiphertext Paare 
erhält, um dann zu überlegen, ob und wie da verschlüsselt wurde.


Grüße

Dario

[1] https://de.wikipedia.org/wiki/Counter_Mode

von Dario C. (dario) Benutzerseite


Lesenswert?

@Clyde B. (clyde_b)
> Die Rezepte haben ja Namen, die man auf dem Display sehen kann.
> Wäre dies nicht ein guter Ansatzpunkt?
nicht wirklich, denn wo steht "Risotto" denn genau auf dem Chip.
Ich meine zielführender ist es Infos über die mögliche Struktur darunter 
zu finden und zu wissen, welche Daten sich immer wiederholen.

Aber mit der Datenbank ist auch keine schlechte Idee, denn da steht ja 
oben im Therad irgendwo, dann die folgenden Pakete zum Einsatz kommen:
> \unmodified_packages\libsqlite\sqlite3.c
> \unmodified_packages\libsqlite\sqlite3.h
Also wird wohl eine sqlite Datenbankstruktur irgendwo zu finden sein.

Was ich übrigens vermisse ist sowas wie libopenssl, die würde man 
nämlich brauchen, wenn man verschlüsseln will und nicht alles selber neu 
programmieren will. Es sei denn man kauft sich was ein.

Dario

von David N. (knochi)


Lesenswert?

HiDario,

schön, dass sich hier wieder was tut.
Ich weiss nicht, wie intensiv du den thread gelesen hast, aber ich hatte 
ja mal ziemlich zum Anfang USB Logs gezogen. Hier liesse sich 
zumindestens eine Zuordnung von Datenblöcken zu einzelnen Informationen 
herstellen.

Hast du auch gelesen, dass Chips bereits erfolgreich kopiert wurden?

Bis denne
Knochi

von Dario C. (dario) Benutzerseite


Lesenswert?

@David N-K (knochi)

> Ich weiss nicht, wie intensiv du den thread gelesen hast,
Sagen wir mal 2h lang habe ich gelesen.

> ja ich hatte ja mal ziemlich zum Anfang USB Logs gezogen. Hier liesse sich
> zumindestens eine Zuordnung von Datenblöcken zu einzelnen Informationen
> herstellen.
Das wäre der zweite Schritt.

> Hast du auch gelesen, dass Chips bereits erfolgreich kopiert wurden?
Nein. Wo steht das?


Dario

von Robert L. (lrlr)


Lesenswert?

@Dario C:
>Als Kopierschutz wäre aber quatsch,

dass der schon erfolgreich kopiert wurde, hast wohl übersehen?
Beitrag "Re: Thermomix Rezeptchips"

>Plain-/Chiphertext Paare
>erhält, um dann zu überlegen, ob und wie da verschlüsselt wurde.

gibt es wirklich (aktuelle) Verschlüsselungen die so schlecht sind dass 
die so einen Rückschluss zulassen?

>Ich kenne vollständig balancierte Bäume und auch Hashtabellen aus der
>Datenbanktheorie, wie uns das hier weiterhelfen sollen müsstest Du mir
>aber erklären.

Kurzfassung:

du willst "identische Blöcke" finden, also wirst du erstmals die 
minimale Länge eines solchen Blockes definieren müssen (z.b. 10 
Zeichen),

jetzt gehst du die Datei, Zeichen für Zeichen durch, und schreib den 
Aktuellen Wert (also aktuelles Byte + die nächsten 9) in die hashmap

z.B.
http://wiki.delphi-jedi.org/wiki/JCL_Help:TStringHashMap

dort kannst zu jedem (hash vom) String auch ein Datenobjekt ablegen (die 
Anzahl)

dann die top10 ermitteln, das File nochmal von vorne durchsuchen und 
immer wenn man auf einen der TOP10 stößt, die weiteren vorkommen 
suchen..

IMHO müsste das funktionieren...


> Und warum kann 7zip diese 224200 Datensätze auf 7MB
>packen?
vielleicht weil viel unnützer Müll drinnen ist, dutzendfach identisch, 
falls jemand auf die Idee kommt, gleiche Texte suchen zu wollen.. ;-)

von Fab!an (fabiiian)


Lesenswert?

Dario C. schrieb:
>> Hast du auch gelesen, dass Chips bereits erfolgreich kopiert wurden?
> Nein. Wo steht das?

An mehreren Stellen. 1=1 Kopien sind kein Problem. Wichtig ist dabei nur 
die SN des USB Devices nicht zu verändern. Ich wollte da mal ein paar 
Dumps und SN Sammeln aber hat sich leider kaum jmd. beteiligt. Es hat 
auch jmd. das Patent von Vorwerk gepostet, da steht einiges dazu drin.

von David N. (knochi)


Lesenswert?

Dario C. schrieb:
> @David N-K (knochi)
>
>> Ich weiss nicht, wie intensiv du den thread gelesen hast,
> Sagen wir mal 2h lang habe ich gelesen.
>

OK das Material reicht wahrscheinlich für 2 Tage ;-)

>> ja ich hatte ja mal ziemlich zum Anfang USB Logs gezogen. Hier liesse sich
>> zumindestens eine Zuordnung von Datenblöcken zu einzelnen Informationen
>> herstellen.
> Das wäre der zweite Schritt.
Dann sag Bescheid

>> Hast du auch gelesen, dass Chips bereits erfolgreich kopiert wurden?
> Nein. Wo steht das?
Weiter oben. Scherz beiseite, müsste ich selber suchen. Im Wesentlichen 
ging das so:
Man besorge sich einen USB Chip mit dem gleichen Controller und 
konfiguriert den mit einem Herstellertool so, dass er aussieht wie der 
TM Chip inkl. Seriennummer.
Dann noch das Image drauf und fertig.
Eigentlich sollte dann noch versucht werden, was passiert, wenn man die 
Informationen im Controller verändert, um herauszufinden was für den TM 
wichtig ist.

>
> Dario

von Alexander S. (alexschabel)


Lesenswert?

Hallo Dario

Wenn ich mich richtig erinnern kann stand im Patent auch drin, dass man 
mit einem Rechner/Computer den Chip lesen/entschlüsseln kann ohne den 
"Masterkey" zu kennen. Allerdings wird der Thermomix einen Chip nicht 
anzeigen/akzeptieren, der nicht mit dem Masterkey 
"verschlüsselt/erzeugt" wurde.

von Dario C. (dario) Benutzerseite


Lesenswert?

@Robert L. (lrlr)

>> Als Kopierschutz wäre aber quatsch,
> dass der schon erfolgreich kopiert wurde, hast wohl übersehen?
stimmt, das habe ich übersehen.
Aber es bestätigt meine Aussage.

>> Plain-/Chiphertext Paare erhält, um dann zu überlegen,
>> ob und wie da verschlüsselt wurde.
> gibt es wirklich (aktuelle) Verschlüsselungen die so schlecht sind
> dass die so einen Rückschluss zulassen?
Nein, aber oft werden aktuelle Verfahren falsch angewendet.

Beispiel 1: Die Leute lesen, dass die einzige mathematisch beweisbar
sichere Chifre das One-Time-Pad ist und implementieren das wie folgt.
Im Gerät ist ein 2048Byte Schlüssel, mit dem werden alle Blöcke 
verschlüsselt. Das Fatale ist, dass sie den Algorithmus zwar korrekt 
implementiert haben, Ihn aber falsch benutzen.
Siehe https://de.wikipedia.org/wiki/One-Time-Pad unter dem Punkt 
"Mehrfachverwendung des Einmalschlüssels"

Beispiel 2: ECDSA Signaturen sind sicher. Aber man benötigt, im Laufe 
der Signaturerzeugung eine Zufallszahl, die nicht geheim ist. Wenn man 
zwei Signaturen erzeugt und für Beide die selbe Zufallszahl benutzt kann 
ein Angreifer den Private Key berechnen und das System ist gebrochen. 
Wenn Du jetzt sagst, dass niemand so doof ist, kann ich Dir versichern, 
dass ein Spielekonsolenhersteller genau diesen Fehler gemacht hat, siehe 
https://events.ccc.de/congress/2010/Fahrplan/attachments/1780_27c3_console_hacking_2010.pdf 
Folie 122ff, besonders interessant der XKCD dazu: https://xkcd.com/221/
Nochmal im Klartext: Der Schlüssel liegt hochsicher irgendwo bei dem 
Hersteller, er ist in keiner Spielekonsole gespeichert und nur weil die 
den falsch verwendet haben, wurde er der Öffentlichkeit bekannt.

>> balancierte Bäume und auch Hashtabellen
> du willst "identische Blöcke" finden, ....
Das was Du beschreibst ist aber nicht fertig, dass muss ich 
programmieren

> jetzt gehst du die Datei, Zeichen für Zeichen durch, und schreib den
> Aktuellen Wert (also aktuelles Byte + die nächsten 9) in die hashmap
Das ist eine Möglichkeit, aber das muss man eben programmieren, oder 
hast Du ein fertiges Tool, was das kann? Ich tue mich schwer sowas "mal 
eben" zu hacken.

> IMHO müsste das funktionieren...
Stimmt, auch wenn es bestimmt eleganter ginge, aber wie ich schrieb: ich 
bin eben nicht der PC-Programmier-Guru. Ich habe noch nicht einmal eine 
IDE installiert und musste mir für meine erste Analyse erstmal den gcc 
installieren.

>> Und warum kann 7zip diese 224200 Datensätze auf 7MB
>> packen?
> .. unnützer Müll drinnen ist, dutzendfach identisch,
Wenn man jetzt weiss, was das im Klartext ist, dann sieht die Sache 
schon besser aus.

> falls jemand auf die Idee kommt, gleiche Texte suchen zu wollen.. ;-)
Meine Erfahrung sagt, dass es normalerweise nicht so ist.


Dario

von Waldemar H. (vual)


Lesenswert?

Interessant wäre es zwei verschiedene Kochbücher zu dumpen und den 
"Blödsinn" zu vergleichen, evtl. Ist hier was identisches zu erwarten?

von Dario C. (dario) Benutzerseite


Lesenswert?

@Waldemar Heimann (vual)
> Interessant wäre es zwei verschiedene Kochbücher zu dumpen und den
> "Blödsinn" zu vergleichen, evtl. Ist hier was identisches zu erwarten?

Interessant wäre es auch zwei gleiche Kochbücher zu dumpen und zu 
vergleichen.
- Haben gleiche Kochbücher die selben Seriennummern?
- Ist der Inhalt ansonsten identisch?

Dario

von Waldemar H. (vual)


Lesenswert?

Dario C. schrieb:
> @Waldemar Heimann (vual)
>> Interessant wäre es zwei verschiedene Kochbücher zu dumpen und den
>> "Blödsinn" zu vergleichen, evtl. Ist hier was identisches zu erwarten?
>
> Interessant wäre es auch zwei gleiche Kochbücher zu dumpen und zu
> vergleichen.
> - Haben gleiche Kochbücher die selben Seriennummern?
> - Ist der Inhalt ansonsten identisch?
>
> Dario

Ich würde gerne helfen, habe leider (noch) keine Aufnahme für den Chip. 
Ich werde zuhause (bin  bis Do. im Ausland) mal was basteln und 
versuchen den Chip mit dd (nur MacOS) zu klonen. Hilft das weiter?

von Alexander S. (aschaefer85)


Lesenswert?

Waldemar H. schrieb:
> Interessant wäre es zwei verschiedene Kochbücher zu dumpen und den
> "Blödsinn" zu vergleichen, evtl. Ist hier was identisches zu erwarten?

Wurde schon weiter oben gemacht.
Die sind Identisch.
Selbst die Seriennummer des USB-Sticks.

von Michael W. (mwulz)


Lesenswert?

Hallo

Wäre es nicht interessant mit einem Sniffer sich mal an die USB 
Schnittstelle zu hängen?
Hatte das oft mit RS232 gemacht, da war das mit einem Y Kabel einfach. 
Bin mir aber sicher das gibt's für USB auch?

Lg

von David N. (knochi)


Lesenswert?

Michael W. schrieb:
> Hallo
>
> Wäre es nicht interessant mit einem Sniffer sich mal an die USB
> Schnittstelle zu hängen?
> Hatte das oft mit RS232 gemacht, da war das mit einem Y Kabel einfach.
> Bin mir aber sicher das gibt's für USB auch?
>
> Lg

Ja das geht. Habe ich auch schon gemacht. Das Log und die Diskussion 
findest du weiter oben im Thread.

Suche mal auf der Seite nach LeCroy

Bis denne
Knochi

von Dario C. (dario) Benutzerseite


Lesenswert?

Andere Frage:
Wenn es scheinbar nur darum geht die ersten paar Megabyte, VID, PID und 
Seriennummer zu kopieren. Wie sieht es dann mit einem Teensy 
https://www.pjrc.com/teensy oder einem Rubberducky 
http://hakshop.myshopify.com/products/usb-rubber-ducky-deluxe aus? Wäre 
das möglich, damit eine funktionsfähige Kopie zu erzeugen, an der man 
dann einfach rumprobieren könnte, was passiert, wenn man einzelne Bytes 
ändert.

Noch was: Hat irgendjemand schon mal eine Sammlung an solchen Daten in 
der Art
Kochbuch | VID | PID | s/n | checksum(Byte0-xMB) | checksum(all)
angelegt?

Oder hat jetzt noch jemand eine Quelle für einen funktionierenden Stick?

Dario

von Thomas H. (decafbad)


Lesenswert?

Hallo miteinander,

ich habe jetzt die letzten zwei Tage damit verbracht hier mitzulesen und 
zu begreifen was bisher passiert ist.

Ich selber habe keinerlei Erfahrungen im Bereich Code Knacken oder 
tiefere Analysen.

Ich habe einige Ideen und Fragen zusammengesammelt:

1. Wisst ihr schon was genau in dem CDFS drin ist?
2. Ist der Bereich des CDFSs eventuell rein die SQLite DB?
=> wie beispielhaft / pseudocode dd if=sqlite.db of=/dev/cdfs
3. Gehen wir davon aus, das die SQLite DB die Rezepte beinhaltet - wäre 
es dann nicht möglich den Bereich der DB soweit einzugrenzen - sagen wir 
64MB - (habe gelesen das jemand den Stick auf 1GB beschränkt hat), 
sodass wir - auch wieder aufgegriffen eine Plaintextatacke starten 
könnten auf den Header Descriptor einer SQLite Datenbank (Verkleinerung 
auf 64MB um die Analyse kleiner zu halten)
4. Ich habe mittlerweile aufgenommen, das sich datenblöcke mit 
anscheinend Nutzdaten wiederholen -> könnte dies das "Trennzeichen" bzw 
der Beginn der Spalte darstellen?
5. Interessant fand ich auch den Ablauf bei der erstmaligen 
Initialisierung des Kochbuchs erste und letzte paar KB - danach die 
jeweiligen davor - Können wir dabei davon ausgehen das die ersten und 
letzten KB in Teilen den Schlüßel, bzw die Antwort darauf enthalten, 
sodass eventuell im Bereich dazwischen die SQLite DB liegt? --> würde 
bedeuten, wenn wir den Bereich extrahieren, könnten wir eventuell an die 
DB rankommen.
6. Ist - wie schon mal vermutet die SQLite DB in einem zip file, welches 
eventuell verschlüßelt ist und jedes mal unverschlüßelt ins RAM des TM 
kopiert wird?
==> Gedanke dahinter -> hat das zip file ein einfaches Passwort, welches 
innerhalb mehrerer Tage / Wochen extrahiert werden könnte?

: Bearbeitet durch User
von Fab!an (fabiiian)


Lesenswert?

Dario C. schrieb:
> och was: Hat irgendjemand schon mal eine Sammlung an solchen Daten in
> der Art
> Kochbuch | VID | PID | s/n | checksum(Byte0-xMB) | checksum(all)
> angelegt?

Das war auch mal mein Ansatz, hat aber kaum jmd. mitgemacht. Kannst es 
gerne nochmal probieren, ich würde mich mit drei Chips beteiligen...

von Thomas H. (decafbad)


Angehängte Dateien:

Lesenswert?

moin - ich habe mir mal das image von hier geladen und durch den reveal 
laufen lassen den es unter https://f00l.de/hacking/ gibt. sinn dahinter 
war, zu sehen was eventuell in diesem image ist - habe mal die ausgabe 
als datei angehängt. vielleicht bringt das ja jemandem etwas.

von Tim T. (timtanner)


Lesenswert?

@ thomas H. wo hast du das image her? die links sind doch alle tot?
habe ich da einen übersehen?

von Thomas H. (decafbad)


Lesenswert?

@timtanner
hi, ich weiss nicht mehr welcher beitrag das war - auf jeden fall gab es 
hier noch einen funktionsfähigen link.

mit meinen forschungen bin ich auch noch nicht viel weiter gekommen, mir 
gehen die ideen aus - und leider sieht das hier auch nicht wirklich 
lebendig aus...

von Richard M. (der_chirurg)


Lesenswert?

Ich konnte keinen funktionierenden Link finden. Wenn du mir dein Image 
des Chips zur Verfügung stellst, kann ich mal versuchen, was 
rauszufinden.

von Andreas S. (sunfire69)


Angehängte Dateien:

Lesenswert?

hier gibts mal neuen input!
hat meine frau heute von so ner thermomix trulla bekommen. ;-)

von Klaus W. (mfgkw)


Lesenswert?

Es gibt ein vegetarisches Buch. Ist das nicht toll!!!!!!!!!!!!!!!!

von David .. (volatile)


Lesenswert?

Andreas S. schrieb:
> hier gibts mal neuen input!
> hat meine frau heute von so ner thermomix trulla bekommen. ;-)

Oh Hund. Wer gibt denn solche Texte an Kunden raus?

von David N. (knochi)


Lesenswert?

Also wenn das kein Fake ist, drängen sich mir direkt zwei Fragen auf.

1. Ist die nötige Software schon auf dem Gerät, oder hat der WLAN-Chip 
dann einen Speicher, welcher ein Update ausführt?

2. Vorwerk knöpft dem Kunden wahrscheinlich wieder 100€ für ein Teil ab, 
in dem sie einen 8,50€ USB WLAN Stick einbauen. Funktioniert auch ein 
handelsüblicher USB WLAN Stick?
Eventuell muss hier, analog zu machen SmartTVs, auf einen bestimmten 
Chipsatz geachtet werden.

Hat schonmal jemand versucht einen Linux kompatiblen WLAN Stick 
anzustöpseln?

Bis denne
Knochi

von Fab!an (fabiiian)


Lesenswert?

David N. schrieb:
> Also wenn das kein Fake ist, drängen sich mir direkt zwei Fragen auf.
>
> 1. Ist die nötige Software schon auf dem Gerät, oder hat der WLAN-Chip
> dann einen Speicher, welcher ein Update ausführt?
>
> 2. Vorwerk knöpft dem Kunden wahrscheinlich wieder 100€ für ein Teil ab,
> in dem sie einen 8,50€ USB WLAN Stick einbauen. Funktioniert auch ein
> handelsüblicher USB WLAN Stick?
> Eventuell muss hier, analog zu machen SmartTVs, auf einen bestimmten
> Chipsatz geachtet werden.
>
> Hat schonmal jemand versucht einen Linux kompatiblen WLAN Stick
> anzustöpseln?
>
> Bis denne
> Knochi

Zu 1: In den Credits steht was von dhcpd.
Zu 2: ich fänd 50-100€ okay wenn es damit freien Zugang zur Rezeptwelt 
gibt. Hatte mal zwei Sticks dran (Realtek und Atheros) jedoch ohne 
erfolg.

von Alexander S. (alexschabel)


Lesenswert?

Jetzt gibt es auch eine offizielle Vorwerk Seite zum WLAN-Chip

http://cook-key.de/

von David N. (knochi)


Lesenswert?

Also ist es offiziell... jetzt müssen wir noch an so nen Tester 
rankommen :-)

von Clyde B. (clyde_b)


Lesenswert?

WLAN ist zwar klasse, aber auf dem besagten Portal kann man keine 
"eigenen" Rezepte eingeben. Quasi nur gekaufte verwalten, was nicht 
wirklich besser als die fixen gekauften Kochbücher ist.

Es ist ja eigentlich der Wunsch, eigene Rezepte mit der Kiste zu 
verarbeiten. Hoffentlich kommen wir hier irgendwie weiter.

von Hans Ulli K. (Gast)


Lesenswert?

Fabian O. schrieb:
>
> Zu 1: In den Credits steht was von dhcpd.
> Zu 2: ich fänd 50-100€ okay wenn es damit freien Zugang zur Rezeptwelt
> gibt. Hatte mal zwei Sticks dran (Realtek und Atheros) jedoch ohne
> erfolg.

Ich würde auf einen RaLink tippen, da deren Treiber schon länger im 
Kernel sind

von David N. (knochi)


Lesenswert?

Tja man sollte sich wohl schonmal mit WireShark und Co 
auseinandersetzen. Vielleicht bekommt man ja auf den Weg Rezepte in das 
Teil. Wobei da garantiert eine https Verschlüsselung dazwischen ist.

von Fab!an (fabiiian)


Lesenswert?

David N. schrieb:
> Tja man sollte sich wohl schonmal mit WireShark und Co
> auseinandersetzen. Vielleicht bekommt man ja auf den Weg Rezepte in das
> Teil. Wobei da garantiert eine https Verschlüsselung dazwischen ist.

Denk ich auch. Dann hoffen wir mal, das auf SSL Pinning verzichtet 
wurde.

von Uwe W. (uwe_w45)


Lesenswert?

Zugegeben, ich habe lange nicht mitgelesen:

Ist bekannt, dass es bald einen WLAN-Chip geben wird? Ist gerade im 
internationalen Betatest, wie man HIER:

http://thermofix-bonn.blogspot.de/2015/10/sensation-viel-fruher-als-werwartet.html

nachlesen kann.
Vorgesehen ist (zunächst?), dass nur Rezepte aus dem kostenpflichtigen 
meinthermomix-portal übertragen werden können.
Da dort überwiegend Rezepte der bereits gekauften Chips vorgehalten 
werden, macht es nicht viel Sinn, wenn dieser WLAN-Chip lediglich das 
wechseln der Chips erleichtern soll.
Vorteil könnte sein, dass Fehlerhafte Rezepte aus den Chips korrigiert 
auf den WLAN-Speicher-Chip übertragen werden. Außerdem gibt es 
Rezeptsammlungen, die es als Chip nicht gibt. Die hätte man dann auch 
endlich in der Guided Cooking Funktion vorliegen.

Ich kann mir aber nicht vorstellen, dass langfristig nicht auch Rezepte 
anderer Quellen übertagen werden sollen können. Schon allein, um eure 
Bemühungen zu stüren ;)

Wie auch immer: Es wird ein einfacher "Zugang" zum Gerät für euch ;) ;)

: Bearbeitet durch User
von Uhu U. (uhu)


Lesenswert?


von Waldemar H. (vual)


Lesenswert?

Uhu U. schrieb:
> Enttäuschendes Testergebnis für den Thermomix
> 
http://www.welt.de/wirtschaft/article149298360/Enttaeuschendes-Testergebnis-fuer-den-Thermomix.html

...da ist meine Frau und ihr TM5-Clan anderer Meinung ;-)

von Barney G. (fuzzel)


Lesenswert?

Waldemar H. schrieb:
> ...da ist meine Frau und ihr TM5-Clan anderer Meinung ;-)

Ich auch, fuer das Geld koennen wir 10x richtig gut essen gehen und das 
Danach ist eh nicht zu bezahlen.

Also ich persoenlich halte von dem Geraet nix.

Nur eine Meinung von einem eigentlich stillen Mitleser.

von Wolfgang B. (changman)


Lesenswert?


von Markus H. (markusfooo)


Lesenswert?

Hallo liebes Forum,

ich bin kürzlich versucht gewesen mich etwas mit unserem Thermomix und 
dem Rezeptchip zu befassen. Da ich dieses Forum erst im Nachgang 
entdeckt habe, war es für mich super spannend meine Erkenntnisse zu 
challengen und möchte diese noch mal zusammenfassen:

* Der Chip ist "doof" und nur ein USB Stick, das Image kann einfach 
runter geladen werden.
--> Beitrag "Re: Thermomix Rezeptchips"
* Nur am Anfang befinden sich Nutzdaten (ca. die ersten 8MB)
--> Vermutung hier 
Beitrag "Re: Thermomix Rezeptchips", 
"Beweis" hier 
Beitrag "Re: Thermomix Rezeptchips"
* Aufgrund der Entropie tippte ich auch eine Verschlüsselung
--> Ebenfalls aufgefallen hier 
Beitrag "Re: Thermomix Rezeptchips" und 
die Patente (geniale Idee von euch übrigens) weisen auf AES hin 
Beitrag "Re: Thermomix Rezeptchips"

Mit Hilfe des "französischen Images" habe ich dann ein Diff zu "meinem 
Buch" erstellt und das brachte folgende Erkenntnisse:
* Die ersten 512 Byte sind völlig verschieden
* Die Bytes 512 - 2224 sind identisch
* Die Bytes ab (und inkl. 2224) sind wieder unterschiedlich (das franz. 
Image ist sogar etwas kleiner)
--> Vielleicht handelt es sich um verschiedene (Teil)Schlüssel oder 
Schlüsselkette, wobei der Identische Teil von "Vorwerk" ist?

Dann wollte ich mit dem USB-Trace 
(Beitrag "Re: Thermomix Rezeptchips") 
nachvollziehen, welche Parts zuerst gelesen werden um so vielleicht den 
Aufbau besser verstehen zu können. Einen kleinen Einblick was wann 
gelesen wird findet sich zwar bereits hier 
Beitrag "Re: Thermomix Rezeptchips", 
allerdings war ich auch an den Daten interessiert, daher habe ich selbst 
nochmal den Trace geöffnet.
Nun hatte ich erwartet, da wir beide das Grundkochbuch genutzt haben, 
dass ich bei einem SCSI-Read-Command die Daten aus meinem Image wieder 
finde - genau das ist aber nicht der Fall! So scheint "mein" Image 
bereits zu Beginn unterschiedliche Bytes zu haben (ich beziehe mich auf 
die 34te SCSI Operation, ein READ an Adresse 0 von
16384 Bytes).
--> Vielleicht ist die Seriennummer Teil des Schlüssels und das erklärt 
damit unterschiedliche verschlüsselte Daten - aber wäre das nicht 
unwirtschaftlich für jeden Chip ein eigenes Image zu beschreiben?

Hier meine Daten zum Chip:
* Seriennummer: 1004000540010005 (die gleiche wie hier 
Beitrag "Re: Thermomix Rezeptchips")
* MD5Sum vom Image (die ganzen 4GB): c879fb469d7953cb96e56fa65c42beda

Hat wer das gleiche Image oder andere Werte?

Viele Grüße!

: Bearbeitet durch User
von Alexander S. (esko) Benutzerseite


Lesenswert?

Markus H. schrieb:
> Hier meine Daten zum Chip:
> * MD5Sum vom Image (die ganzen 4GB): c879fb469d7953cb96e56fa65c42beda

MD5 von recipes.img ist 32790d0c33309850f1c40ce67b3e3453
Beitrag "Re: Thermomix Rezeptchips"

Kann jemand diese Datei wieder hochladen?

von Eckhard S. (eckhard_s)


Lesenswert?

Markus H. schrieb:

> Mit Hilfe des "französischen Images" habe ich dann ein Diff zu "meinem
> Buch" erstellt und das brachte folgende Erkenntnisse:
> * Die ersten 512 Byte sind völlig verschieden
> * Die Bytes 512 - 2224 sind identisch
> * Die Bytes ab (und inkl. 2224) sind wieder unterschiedlich (das franz.
> Image ist sogar etwas kleiner)
> --> Vielleicht handelt es sich um verschiedene (Teil)Schlüssel oder
> Schlüsselkette, wobei der Identische Teil von "Vorwerk" ist?
>
>
> finde - genau das ist aber nicht der Fall! So scheint "mein" Image
> bereits zu Beginn unterschiedliche Bytes zu haben (ich beziehe mich auf
> die 34te SCSI Operation, ein READ an Adresse 0 von
> 16384 Bytes).
> --> Vielleicht ist die Seriennummer Teil des Schlüssels und das erklärt
> damit unterschiedliche verschlüsselte Daten - aber wäre das nicht
> unwirtschaftlich für jeden Chip ein eigenes Image zu beschreiben?
>
> Hier meine Daten zum Chip:
> * Seriennummer: 1004000540010005 (die gleiche wie hier
> Beitrag "Re: Thermomix Rezeptchips")
> * MD5Sum vom Image (die ganzen 4GB): c879fb469d7953cb96e56fa65c42beda
>
> Hat wer das gleiche Image oder andere Werte?
>
> Viele Grüße!

Es gibt die Chips in verschiedenen Sprachen.

Vielleicht erklärt das den Unterschied der Bytelängen?

von X. Y. (fastmov)


Lesenswert?

Hallo, bin der neue.

Ist Euch aufgefallen, dass sich der Chip merkt, welche Rezepte als 
letztes gekocht wurden? Ich habe ja tapfer das Forum studiert aber bin 
dann doch irgendwann abgestorben, weil ich vieles nicht verstehe.

Aber es MUSS sich auf dem Chip (Falls es nicht in der Maschine 
gespeichert wird, das kann jemand testen, der 2 ansonsten gleiche Chips 
besitzt) irgend etwas ändern.

Hoffentlich hilft diese profane Beobachtung bei dem Ziel, einen selbst 
beschreibbaren Chip zu entwickeln.

Leider bin ich ansonsten bin ich ein ziemlicher Laie auf dem Gebiet. Ein 
selbst beschreibbarer Chip wäre traumhaft. Ein "verbesserter" Cook-Key 
(also das ganze per WLan oder auch Bluetooth) wäre es umso mehr.

Meine Lösung ist ein Tablet mit Rezept an der Wand und das funktioniert 
fast genauso gut. Man muss statt auf "Weiter" zu drücken eben Dauer, 
Temperatur, Mixgeschwindigkeit und ggf. Linkslauf eben manuell eingeben, 
damit kann ich leben :-)

von Fab!an (fabiiian)


Lesenswert?

Zufällig jmd. aufm 32C3?

von Andreas J. (dolar)


Angehängte Dateien:

Lesenswert?

Hallo Leute,
wie ich letztes jahr sagte würde ich eine gui beisteuern, aber 
mittlerweile habe ich das nicht in c++ sondern in html/js hier in der 
schublade liegen.
ich nutze dafür die sql.js (ich habe keine ahnung von krypto und sql.js 
unterstützt das auch nicht) und nach einigem kopf auf den tisch schlagen 
kann ich die lokalen bilder in der sqlite auch in chrome speichern und 
laden.
rezpte aus der db kann ich anzeigen lassen, aber der eingabemodus ist 
noch nicht geschrieben weil ich da gerne erstmal die db struktur hätte 
um nicht alles wieder umschmeissen zu müssen

irgendwie verstehe ich nicht das die uns so lange zappeln lassen und da 
mal ein paar infos auf den tisch legen.
ich sehe das so: das teil liegt extrem über den vergleichbaren geräten 
die es jetzt immer wieder für 200€ gibt. das einzige merkmal was mir 
jetzt ins auge sticht ist eben das "betreute wohnen" äh.. kochen.

ich habe mir das teil nur wegen dem thread hier gekauft weil ich von der 
dbox2 damals so verwöhnt war hoffte ich auf ein schnelles gelingen.
aber das wurde auch mit einem enormen hardware aufwand geknackt. ich 
möchte nicht an jeden pin vom ram ein drähtchen löten um das auszulesen.

von Bac B. (Gast)


Lesenswert?

X. Y. schrieb
> Ist Euch aufgefallen, dass sich der Chip merkt, welche Rezepte als
> letztes gekocht wurden?
> Aber es MUSS sich auf dem Chip (Falls es nicht in der Maschine
> gespeichert wird, das kann jemand testen,

Falsche Fährte, die zuletzt gekochten Rezepte werden im TM gespeichert!

Beweis: Wenn ich eines dieser Rezepte aus der Menüfunktion (ohne 
verbundenen Chip) aufrufe, werde ich zB aufgefordert:
Verbinden Sie den Thermomix Rezept-Chip "Das Kochbuch"

von S. Z. (ceving)


Lesenswert?

Dario C. schrieb:
>
> Ich habe mich hier durch den Thread gewurschtelt und festgestellt, dass
> die Aussagen Krypto betreffend - ich will niemanden beleidigen - aber
> fast alle falsch sind.
>

Wenn du Krypto kannst, müsste dir klar sein, dass es wahrscheinlich 
total sinnlos ist, sich am USB-Stick abzureagieren.  Es ist ziemlich 
unwahrscheinlich, das man, ohne den TM5 zu modden, irgend etwas auf 
welchen USB-Stick auch immer schreiben kann.

Wenn ich einen TM5 bauen müsste, würde ich den USB-Stick mit einem 
privaten Schlüssel signieren und in die TM5-Firmware den öffentlichen 
Schlüssel und die Signaturprüfung packen.  Dadurch würde der TM5 nur 
Daten akzeptieren, die von Vorwerk signiert wurden.  Und der dafür 
nötige Schlüssel würde bei Vorwerk im Tresor liegen.  Es würde mich 
schwer wundern, wenn Vorwerk irgendwas anderes gebaut hätte.  Und das 
bedeutet, dass kein Weg daran vorbei führt, die Firmware des Gerätes zu 
ändern.

Und das bedeutet, dass ein Hack des TM5 damit beginnen muss, den 
Diagnose-Port auf dem Board zu finden, um einen Zugang zum Linux zu 
bekommen.  Es ist viel einfacher, die Programme unter Linux zu tracen, 
um dadurch heraus zu finden, was auf dem USB-Stick sein muss.  Und nur 
so wird man auf dem TM5 entweder die Signatur-Prüfung abschalten oder 
seinen eigenen Schlüssel hinterlegen können.

Die Entropie von einem Hexdump zu berechnen oder darin nach 
irgendwelchen Mustern zu suchen, halte ich für völlige 
Zeitverschwendung. Die Zeit kann man besser in die Zubereitung des 
Hefezopfs investieren. Den habe ich heute morgen mit Orangenmarmelade 
genossen. Sehr lecker und zwar deswegen, weil nicht ich das Rezept auf 
den USB-Stick geschrieben habe. ;-)

von Markus H. (markusfooo)


Lesenswert?

Ich stimme S.Z. vollkommen zu - hätte ich das implementieren müssen, 
hätte ich es genau so gemacht (öffentlicher Schlüssel auf Thermomix und 
Signatur prüfen).

Ohne Hack des Thermomix selbst (d.h. damit er die Signatur nicht mehr 
prüft) wird da wohl nicht viel zu holen sein.

von Markus H. (markusfooo)


Lesenswert?

Obwohl ich zugeben muss: zumindest den Inhalt lesen zu können wäre schon 
spannend - aber das auch nur aus technischem Interesse.

Die Aktion hätte wohl kaum einen Mehrwert (ausser die Rezepte am PC zu 
lesen ;)).

von Martin S. (sirnails)


Lesenswert?

Man merkt - alle die hier so gehyped haben, besitzen nun ihren 
Thermomix, und bei 99% verstaubt er jetzt im Schrank. Und drum ist hier 
auch nichts mehr los :(

von W.P. K. (elektronik24)


Lesenswert?

wahrscheinlich wollen die meisten dann doch lieber was Richtiges und in 
vernünftigen Portionsgrößen essen. Dann wird der TM eben nur noch hin 
und wieder für Marmelade, Eintopf, Nüsse hacken etc. eingesetzt und 
ansonsten richtig gekocht.
Glück gehabt, das Abendland geht doch nicht sooo schnell unter.

War bei der Nachbarin das Gleiche: erst gab es alle Naselang irgendwas 
"mit meinem Thermomix gekocht", nach ein paar Monaten ist es 
eingeschlafen.

Ich habe ja nichts gegen den TM - es gibt sicherlich Nischenanwendungen, 
da wäre er super und hilfreich - also alle paar Tage mal für einen Teil 
einer Mahlzeit. Aber als generelles und universelles Kochgerät, sorry: 
keine Chance gegen Herd/Ofen und Topf/Pfanne.  Und für 1000 Euro sowieso 
nicht.

von Barney G. (fuzzel)


Lesenswert?

W.P. K. schrieb:
> sorry:
> keine Chance gegen Herd/Ofen und Topf/Pfanne.

Naja, kann man sooo jetzt nun auch nicht vergleichen. Ich meine das 
Dingen ruehrt fuer 1000.- irgendeinen Brei zusammen, mehr macht das ja 
nun auch nicht. Vielleicht was fuer's Altenheim, aber ich zerlege dann 
doch lieber den Fisch mit Messer und Gabel und matsch die Kartoffeln 
selber klein statt im Thermomix "Fischfrikadelle" anzuwaehlen.

Aber ich sehe es auch so. Die stehen jetzt alle im Schrank und gammeln 
vor sich hin, ist ja meist so.

von David N. (knochi)


Lesenswert?

Martin S. schrieb:
> Man merkt - alle die hier so gehyped haben, besitzen nun ihren
> Thermomix, und bei 99% verstaubt er jetzt im Schrank. Und drum ist hier
> auch nichts mehr los :(


Stimmt... Ohne gehackten Rezeptchip ist das Ding ja quasi ohne Funktion. 
Ich habe die 1000€ ja auch eigentlich nur investiert, weil ich mir das 
mal angucken wollte.

Habt ihr so einen Thermomix eigentlich mal aus der Nähe gesehen? Das die 
Dinger nur Brei produzieren ist mindestens 15 Jahre her. Bei uns ist der 
TM jeden Tag im Einsatz. Bevor man eine Küchenmaschine in der 
Preiskategorie anschafft sollte man sich schon genau überlegen, wie das 
in den Alltag passt.

Ich koche selber sehr viel und gerne und war selbst skeptisch. Aber nun 
genug mit dem unsachlichen Geschreibsel. Das tut hier auch eigentlich 
nix zum Thema. Wenn ihr über das Für und Wider des TM quasseln wollt, 
macht nen eigenen Threat auf. Am Besten in einem anderen Forum wo es 
noch mehr Stammtischthemen gibt.

Bis denne
Knochi

von Carsten F. (telefisch)


Lesenswert?

Es gibt einfach Zuviele dumme Menschen die jeden ihr "Wissen" mitteilen 
müssen.

Diese unqualifizierten Aussagen und Diskussionen haben hier nichts 
verloren. Aber ist doch geil wenn man wieder klugscheissen kann und 
damit auch noch die ärgern kann die es besser wissen.

Klingt für mich nach dem klassischen Neid der Besitzlosen.
Ich bin damit aus dieser Duskussion raus. Schade, hatte gut angefangen.

von Barney G. (fuzzel)


Lesenswert?

Da der Thread eh tot ist...

David N. schrieb:
> Das die Dinger nur Brei produzieren ist mindestens 15 Jahre her.

Na was kann das dolle Dingen denn sonst noch ausser heissen Brei machen? 
Yo, man kann auf den Kochtopf noch 'n Kochtopf stellen und dann 
duensten. Wow.
ALLES Andere muss dann nochmal in einen extra Topf, Pfanne, Backofen und 
wenn ich mit der Thermokocherei fertig bin habe ich 3x so viel Geruempel 
zu spuelen wie normalerweise. Oder schaelt mir das Teil die Kartoffeln, 
Moehren, Zwiebeln und Co auch noch ?
Das Dingen macht doch NICHTS anderes als ein Rezept vorzulesen und mit 
gepiepe zu nerven. Die Kroenung, man muss staendig irgendwelche Knoeppe 
druecken und dem auch brav Bescheid geben das die Zwiebeln jetzt drin 
sind, also trotz das es einem Arbeit abnimmt steht man doof daneben. Man 
oh man.
Naja, ist wohl so ein Thema wie MAC vs PC, habe ich auch noch nicht 
verstanden.

von Clyde B. (clyde_b)


Lesenswert?

Ich habe schon den Vorgänger besessen und nutze ihn regelmäßig seit 
langer Zeit. Auch in Kombination mit anderen Küchengeräten/Töpfen und 
Pfannen.

Gegenüber konventionellem Kochfeld kochen kann er die Temperatur 
hinreichend genau regeln, was sehr komfortabel ist und unbeaufsichtigte 
exakte Arbeitsschritte erst ermöglicht.

Ebenso sind direktes Einwiegen, Zeit- und Stufenwahl effektive Optionen 
um Rezepte gelingsicher zu entwickeln, reproduzieren und dokumentieren. 
Dies sollte nicht unterschätzt werden und es ist kein MUSS, denn ich 
kann mit dem Teil auch frei Schnauze ohne Rezept etwas zubereiten, wenn 
man sich eingearbeitet hat.

Der TM soll nichts ersetzen. Er kann Arbeitsschritte erleichten und wer 
das sinnvoll einzusetzen weiß, hat einen Vorteil. Wie groß der bei jedem 
einzelnen ist und ob das seinen Preis rechtfertigt, ist eine persönliche 
Abwägung.

Wenn ich an die ganzen Kaffeeautomaten und die nicht einkalkulierten 
Folgekosten denke, ...

Wer auf Zusatzstoffe achten muss/will, kommt ums Selbermachen nicht 
herum. Mit dem TM ist es einfach, Brotaufstriche, Wurst- und 
Käsealternativen, Kosmetik, Wasch- und Reinigungsmittel, Vollkornmehl, 
Würzmittel, Liköre, Salben, etc. herzustellen. Und man weiß was drin 
ist.

Wer darin nur Brei herstellen kann, hat den TM nicht begriffen oder 
braucht ihn einfach nicht, was ja auch sein kann. :-)

von Mode M. (mode)


Lesenswert?

Leute, bitte beim Thema bleiben.

von Axel W. (axelmi)


Lesenswert?

Da anscheinend das Grundkochbuch immer die gleiche Seriennummer hat, 
stellt sich für mich die Frage, ob das bei anderen Kochbüchern mit dem 
selben Titel auch so ist.
Ausserdem ob die Bytes 512 - 2224 identisch bei allen büchern ist oder 
innerhalb eines Buchtitels.
Ich hab leider nur das Leicht & Lecker und noch niemanden gefunden der 
das gleiche hat.
Steht die aufgelaserte Seriennummer auf der Rückseite aussen (der 
Buchstabencode) in Beziehung zu der Seriennummer des Usbsticks ?
Für den Cook-Ring (Wlan-Adapter) muss man diese Nummern im Portal 
eingeben und kann damit sich die Bücher freischalten....


Ausserdem kann ich mich Mode M. nur anschliessen und beim Thema bleiben. 
Dieser Flamewar um den Thermomix nervt nur.

von Christoph H. (christoph_h408)


Lesenswert?

Ich halte mich jetzt mal bewusst aus der Pro/Contra Diskussion zum 
Thermomix raus. Meine Frau hat einen in der Küche stehen, also will der 
auch mal aus Nerd-Perspektive betrachtet werden. Über die Rezept-Chips 
reinzukommen, ist wohl wenig erfolgsversprechend wenn ich eure 
bisherigen Ergebnisse korrekt interpretiere.

Ich versprechen mir eine größere Chance wenn das Ding erstmal in meinem 
Netzwerk hängt. Da ja bald ein WLAN Modul für das Gerät erscheint werde 
ich mir das mal besorgen. (Achtung Produktwebseite: 
https://cook-key.de/)

Generell hätte ich da zwei Ansätze, wenn das Ding erstmal ne IP hat 
könnte man scannen ob man irgendwie von aussen auf das Ding kommt (nen 
SSH Server wird es wohl leider nicht laufen haben denke ich). Alternativ 
könnte ich mir vorstellen den Netzwerkverkehr mitzulesen, wobei der ja 
vermutlich verschlüsselt sein wird. Der muss ja auf irgendeine Art im 
Netz erreichbare API zugreifen. Wenn ich diesen API Server im lokalen 
Netz dann simuliere müsste ich ja eigene Rezepte auf das Teil bekommen. 
Warum der Hersteller soviel Wert darauf legt, nur seine Rezepte auf das 
Gerät zu schicken, verstehe ich nicht. Zumindest wenn jemand dieses 
dämliche Jahresabo für alle Rezepte abschliesst, kann derjenige über das 
Thermomixportal weder eigene Rezepte abspeichern noch die vorhandenen 
Rezepte individuell optimieren. Das wäre sicherlich umzusetzen, scheint 
aber in der Vertriebspolitik nicht vorgesehen zu sein.

Aber ich denke, wenn das Gerät erstmal im Netzwerk hängt habe ich mehr 
Angriffspunkte ohne das Gerät auseinanderzuschrauben.

von Ivo B. (ivoburkart)


Lesenswert?

So. Hab mal mit dem Cook Key etwas rumgespielt.

Erstmal ist auf dem Key ein Firmware-update für das Gerät gespeichert. 
Evtl. kann man da was drehen (siehe unten)

Rezepte und Favoritenlisten werden vom Server auf den Speicher des Chips 
synchronisiert. D.h. die Rezepte sind danach offline nutzbar.

Hab mal ein SSL man in the middle versucht, und es scheint so als führt 
der TM5 eine ordentliche Zertifikatprüfung durch.

Allerdings wird eine unverschlüsselte HTTP anfrage gesendet (URL ist 
/now) die sehr wahrscheinlich zur Zeitsynchronisation dient gestellt. 
Danach ist alles HTTPS.

Mit dem proxy versucht er es ca. 5 mal und gibt dann mit einer 
Zahlenfehlermeldung auf.

Man müsste also nur die Stammzertifikate in dem Firmwareupdate verändern 
und schon könnte man einen eigenen Rezepteserver starten.

Nachtrag: Leider keine offenen Ports

: Bearbeitet durch User
von Winston S. (winston_smith)


Lesenswert?

Ich habe (noch?) keinen Thermomix, aber der Thread ist sehr interessant.

Angriffspunkte, die mir noch einfallen:
- Man sollte einfach mal eine Tastatur an den USB-Port anstecken und 
CTRL+ALT+F1 drücken. Vielleicht erscheint dann ein Terminal auf dem 
Bildschirm? :O)
- Es ist sehr alte Software installiert (2.6er Kernel(!), vermutlich 
auch altes openssl, glibc, ...)! Da müsste man doch den passenden 
fertigen Exploit finden können und ausführen (Vielleicht beim parsen der 
Zertifikate in openssl oder so?)
- Auf die schnelle habe ich jetzt den hier gefunden: getaddrinfo() in 
der glibc wird exploitet - man simuliert also quasi einen DNS server, 
der anstatt die echte Adresse zum Update-Server aufzulösen, einen 
Exploit schickt, der dann von der glibc ausgeführt wird: 
https://www.exploit-db.com/exploits/40339/
- Ich habe das natürlich alles nicht getestet, sollen nur Denkanstöße 
sein.

Viel erfolg!

von 1nv41n 1. (1nv41n)


Lesenswert?

Danke für den sehr interessanten Thread! Haben einen TM5 und bekommen in 
den nächsten Tagen den WLAN Cook Key.. Hätte die selbe mim-attacke 
geplant gehabt wie @ivoburkart. Werde versuchen eine USB-Tastatur direkt 
an den TM5 anzuschließen (mit Magnet) und dann melden was passiert.
Ich kann mir sehr gut vorstellen, dass nach dem Firmwareupdate über den 
Cook Key auch eventuell vorhandene Lücken geschlossen werden.
@ivoburkart: Wird das Update automatisch durchgeführt oder erst nach 
WLAN Einrichtung usw? Ist das Update auf dem Cook Key gespeichert wie 
die Informationen auf den Kochbüchern? Eventuell könnte man da ja ein 
image ziehen...

von Martin S. (sirnails)


Lesenswert?

Also ohne hier jemanden was vorschreiben zu wollen:

Der TM5 Hack ist juristisch auf sehr dünnem Eis, weil man hier durchaus 
von technischen Schutzmaßnahmen zur Beschränkung des Zugriffs sprechen 
kann.

Entsprechend wäre es weitaus besser (auch für den Seitenbetreiber), das 
wenn was kommt, ihr nicht angemeldet postet, und eventuell auch einen 
VPN wie hide.me oder hidemyass.com nutzt.

von Ivo B. (ivoburkart)


Lesenswert?

1nv41n 1. schrieb:
> @ivoburkart: Wird das Update automatisch durchgeführt oder erst nach
> WLAN Einrichtung usw? Ist das Update auf dem Cook Key gespeichert wie
> die Informationen auf den Kochbüchern? Eventuell könnte man da ja ein
> image ziehen...

Das update ist auf dem key drauf. Das muss man installieren um die 
WLAN-Funktionalität überhaupt zu erhalten.

Ausserdem ist das Basiskochbuch mit auf dem Key, so dass der Basis-Chip 
nicht mehr nötig ist.

Was ein paar leute stören wird: Der Empfang ist sehr schlecht für die 
Größe des moduls. Zudem war es mir nicht möglich eine Verbindung mit 
einem 5ghz Netz herzustellen

von Axel W. (axelmi)


Lesenswert?

Kann das Update beliebig oft eingespielt werden oder nur einmal ?

von Ivo B. (ivoburkart)


Lesenswert?

Das update kann nur einmal eingespielt werden. Bei Einsetzen des Keys 
wird man gefragt ob man das machen will

von 1nv41n 1. (1nv41n)


Lesenswert?

Martin S. schrieb:
> Also ohne hier jemanden was vorschreiben zu wollen:
>
> Der TM5 Hack ist juristisch auf sehr dünnem Eis, weil man hier durchaus
> von technischen Schutzmaßnahmen zur Beschränkung des Zugriffs sprechen
> kann.
>
> Entsprechend wäre es weitaus besser (auch für den Seitenbetreiber), das
> wenn was kommt, ihr nicht angemeldet postet, und eventuell auch einen
> VPN wie hide.me oder hidemyass.com nutzt.

Danke Martin für den Denkanstoß!  Bin da ganz bei dir, und ob dieser 
Rahmen hier der richtige ist Frage ich mich auch.
Nur zum Verglich: Falls wer die Tiptoi Stifte von Ravensburger kennt - 
Da haben findige Reverse-Engineers so viel über die Funktionsweise des 
Stiftes herausgefunden um jetzt selber Bücher drucken zu können. Ist das 
jetzt verboten oder nur einfach genial? Verkauft Ravensburger jetzt 
weniger Bücher? Ich denke wohl kaum.

Und wenn man vielleicht erreicht, selbst Rezepte programmieren zu 
können, schadet das dann Vorwerk? Wird dann diese Funktion freigegeben? 
Kauft man dann die Online-Rezepte weniger? Kann sein, nur die 5-10 
(sorry) Geeks die das machen werden wohl keinen Umsatzschaden anrichten 
können, oder?

Ich für meinen Teil kann nur sagen: Spaß am Tüfteln sollte nicht 
verboten sein. Exploits public zu machen um damit dem Hersteller zu 
schaden ist natürlich ein no go!

von Winston S. (winston_smith)


Lesenswert?

Martin S. schrieb:
> Entsprechend wäre es weitaus besser (auch für den Seitenbetreiber), das
> wenn was kommt, ihr nicht angemeldet postet, und eventuell auch einen
> VPN wie hide.me oder hidemyass.com nutzt.

Eigentlich geht das hier total am Thema vorbei, aber wenn man sich schon 
in der Richtung Schützen will, dann bitte richtig mit dem Tor Browser ( 
https://torproject.org ).

Back 2 Topic:
Probiert mal den exploit mit der glibc aus, den ich weiter oben gepostet 
habe an die, die einen solchen Thermomix besitzen. Damit solltet ihr zum 
Ziel kommen.

von 1nv41n 1. (1nv41n)


Angehängte Dateien:

Lesenswert?

1nv41n 1. schrieb:
> Danke für den sehr interessanten Thread! Haben einen TM5 und bekommen in
> den nächsten Tagen den WLAN Cook Key.. Hätte die selbe mim-attacke
> geplant gehabt wie @ivoburkart. Werde versuchen eine USB-Tastatur direkt
> an den TM5 anzuschließen (mit Magnet) und dann melden was passiert.
> Ich kann mir sehr gut vorstellen, dass nach dem Firmwareupdate über den
> Cook Key auch eventuell vorhandene Lücken geschlossen werden.
> @ivoburkart: Wird das Update automatisch durchgeführt oder erst nach
> WLAN Einrichtung usw? Ist das Update auf dem Cook Key gespeichert wie
> die Informationen auf den Kochbüchern? Eventuell könnte man da ja ein
> image ziehen...

Danke für die Infos!
Mit HP Tastatur hat nichts geklappt, leuchtet nicht mal, auch nicht mir 
Magnet.

von Thomas D. (digitalfreak)


Lesenswert?

Hallo zusammen,

ich habe mir auch einen Cook-Key besorgt in der Hoffnung hier ein 
Möglichkeit zu finden eigene Rezepte unterzubringen. Ich habe den Thread 
mit Begeisterung gelesen. Meine Hoffnungen wurde im Prinzip zerstört: 
Keine API zur lokalen Kommunikation sondern direkte Kommunikation mit 
dem Vorwerkserver über gesicherte Verbindung die sich nich mit einem 
mitm Angriff austrixen lässt.
Ich mache mir auch wenig Hoffnung das man über die Updatefirmware 
reinkommt, die ist vermutlich genau so signiert wie die Kochbuchchips 
und wenn man die schon nicht "knacken" kann wird es mit dem Update 
sicher auch nicht gelingen.
Einzig ein Hack der TM5 Firmware, wie schon oft erwähnt, wird wohl die 
Problemlösung näher bringen.
Hat schon mal jemand die TM5 soweit analysiert um die Flashbausteine mit 
der Firmware zu lokalisieren und eventuell auszulesen. Eventuell ist ja 
die Firmware dort unverschlüsselt, wobei meine Vermutung auch eher ist 
das die selbst dort verschlüsselt ist.
Vorwerkt scheint sich ja vor Hacks sogar so sehr zu fürchten das sie 
sich nicht mal trauen eine Android App herauszubringen.

Eventuell bekommt man ja eine Custom-FW drauf aber der Aufwand ist 
sicher sehr sehr groß.

Grüße,
Thomas

von Winfried J. (Firma: Nisch-Aufzüge) (winne) Benutzerseite


Lesenswert?

Es stellt sich die Frage nach dem Verhältnis von Aufwand zum Nutzen ein 
Gerät zu hacken welches in allen Bewertungen zwischen durchschnittlich, 
laut und gefährlich eingestuft wird.

Namaste

von Waldemar H. (vual)


Lesenswert?

Hier ist der Verlauf der Einrichtung vom Cook-Key gezeigt. Wer es nicht 
hat und wen es aber interessiert

https://youtu.be/BsCiJIAyORw

von Hans Ulli K. (Gast)


Lesenswert?

Waldemar H. schrieb:
> Hier ist der Verlauf der Einrichtung vom Cook-Key gezeigt. Wer es nicht
> hat und wen es aber interessiert
>
> https://youtu.be/BsCiJIAyORw

???
15 Rezepte Buttons WTF ???, das ist ja noch schlimmer als bei Druckern 
...

1nv41n 1. schrieb:
> Danke für die Infos!
> Mit HP Tastatur hat nichts geklappt, leuchtet nicht mal, auch nicht mir
> Magnet.
Hätte mich auch gewundert, soweit kenne ich mich langsam mit dem USB 
Protokoll aus.
Wenn ihr Glück habt kann man den Cook Key an einen normalen PC 
anklemmen. Aber hier könnte Vorwerk auch noch eine Falle eingebaut haben
Die USB-ID ist könnte keine "offizielle". Vielleicht kann man aus der 
MAC Adresse von den WLAN NIC Rückschlüsse ziehen, aber das ist nicht 
sicher.

Thomas D. schrieb:
> Hallo zusammen,
>
> ich habe mir auch einen Cook-Key besorgt in der Hoffnung hier ein
> Möglichkeit zu finden eigene Rezepte unterzubringen. Ich habe den Thread
> mit Begeisterung gelesen. Meine Hoffnungen wurde im Prinzip zerstört:
> Keine API zur lokalen Kommunikation sondern direkte Kommunikation mit
> dem Vorwerkserver über gesicherte Verbindung die sich nich mit einem
> mitm Angriff austrixen lässt.
> Ich mache mir auch wenig Hoffnung das man über die Updatefirmware
> reinkommt, die ist vermutlich genau so signiert wie die Kochbuchchips
> und wenn man die schon nicht "knacken" kann wird es mit dem Update
> sicher auch nicht gelingen.
> Einzig ein Hack der TM5 Firmware, wie schon oft erwähnt, wird wohl die
> Problemlösung näher bringen.
> Hat schon mal jemand die TM5 soweit analysiert um die Flashbausteine mit
> der Firmware zu lokalisieren und eventuell auszulesen. Eventuell ist ja
> die Firmware dort unverschlüsselt, wobei meine Vermutung auch eher ist
> das die selbst dort verschlüsselt ist.
> Vorwerkt scheint sich ja vor Hacks sogar so sehr zu fürchten das sie
> sich nicht mal trauen eine Android App herauszubringen.

Wenn Vorwerk das sauber entwickelt hat (was ICH glaube) ist der minimale 
Bootloader im ROM vom SoC (*) und der läd halt den 2. Stage Bootloader 
und entschlüsselt ihn.

(*)
z.B. Marvell Kirkwood/Armada habe intern einen minimal Bootloader dieser 
kann bei einem kaputten Flash benutzt werden um per serielle 
Schnittstelle einen neuen Bootloader auf das NAND/ SPI NOR Flash zu 
schreiben.
Die Doku dazu ist in den Sourcen von U-boot
Natürlich ohne Verschlüsselung ...

von Michael M. (do7tla)


Lesenswert?

Mir fällt auf das nur versucht wird über den USB Anschluss in das Gerät 
zu kommen.
Es hat bisher noch keiner so richtig im Thermomix selber auf der 
Hauptplatine die Seriellen oder andere vorhandene Schnittstellen 
untersucht.
Möglich das es im Gerät noch eine USB Schnittstelle gibt die für 
Servicezwecke da ist.

von Hans Ulli K. (Gast)


Lesenswert?

Michael M. schrieb:
> Mir fällt auf das nur versucht wird über den USB Anschluss in das Gerät
> zu kommen.
> Es hat bisher noch keiner so richtig im Thermomix selber auf der
> Hauptplatine die Seriellen oder andere vorhandene Schnittstellen
> untersucht.
> Möglich das es im Gerät noch eine USB Schnittstelle gibt die für
> Servicezwecke da ist.

Das Problem an solchen USB Schnittstellen ist, der Kernel muss diese 
erkennen und nutzen -> unwahrscheinlich

Auch seriell ist schwer, z.B. wird bei Xioami mini Router nach dem 
ersten Boot diese abgeschaltet !. Nur per Service Request kommt man auf 
die BOX um alles umzubauen. Selber gemacht !

Irgendeiner muss eben auf der Kiste "probieren" per Oscar (Oszilloskop 
für die jüngere Generation) und nach der seriellen Schnittstelle suchen.
Aber an 1000 (T)EUR zu testen, da glaube ich die "bessere" Hälfte würde 
einem den  .... versohlen.

Persönlich brauche ich so einen Staubfänger nicht.
Besonders wenn man sieht was da sonst noch alles drumherum passiert, das 
ist ja fast so schlimm, wie die Influenzer auf Youtube

von Michael M. (do7tla)


Lesenswert?

Hans Ulli K. schrieb:
> Aber an 1000 (T)EUR zu testen, da glaube ich die "bessere" Hälfte würde
> einem den  .... versohlen.

Daran wird dieses Projekt scheitern!


Deswegen die untersuchung der Hauptplatine.
Da ist die warscheinlichkeit deutlich größer das man weiterkommt als 
über den Äußeren USB Anschluß.

von Fab!an (fabiiian)


Lesenswert?

MAC ist übrigens 00:13:43:XX:XX:XX

Das ist der Prefix von:

Matsushita Electronic Components (Europe) GmbH
Zeppelinstrasse 19
Lueneburg  Niedersachsen  21337
DE

: Bearbeitet durch User
von Migel C. (migelchen)


Lesenswert?

Winfried J. schrieb:
> und gefährlich eingestuft wird.
>
> Namaste

Gefährlich wäre mir neu. ^^
Verhältnismäßig laut und kostenintensiv ja, aber gefährlich wohl kaum.

von Tobias C. (toco)


Lesenswert?

Die aktuellen Open Source Versionen für Software Version: 201605230000

Linux kernel 2.6.35.3-imx GPLv2 (from Freescale SDK 10.12.01, + custom 
patches)
Busybox 1.15.0 - GPLv2
GNU C librarz 2.11.1 - LGPLv2.1
libgcc 4.4.2 - CPL-3.0-with-GCC-exception
libstdc++ 4.4.2 - CPL-3.0-with-GCC-exception
kobs-ng 10.12.01 - GPLv2 (+custom patches)
mtd-util 201006 - GPLv2
util-linux 2.21.2 - GPLv2
logrotate 3.8.3 - GPLv2
dhcpd (ISC) 3.0.3b1 - ISC license
zlib 1.2.8 (28-04-2013) - zib license
libpng 1.6.18 (July 23, 2015) - libpng license
libjpeg 9a (19-Jan-2014) - libjpeg license
libfreetype 2.6.1 (04-October-2015) - GPLv2
m2mxml-C 1.0 (08-03-2013) - LGPLv2.1
libwebsockets v1.5-chrome47-firefox41 - LGPLv2.1
curl 7.21.6 - MIT license
sqlite 3.7.16 - Public Domain
openssl 1.0.2d (09-July-2015) - OpenSSL license
nanomsg 0.5-beta MIT license
avrdude 6.11.1 - GPLv2
lrzsz 0.12.20 - GPLv2
e2fsprogs 1.41.4 - GPLv2
libsqlite 3.7.16 - public domain
libcre 1.2.4 - BSD 3-clause license
libxml2 2.6.28 - MIT license
popt 1.6.3 - MIT license
wireless-tools - GPLv2 & (LGPLv2.1 | MPL-1.1 | BSD)
wpa-supplicant 2.4 - BSD license

: Bearbeitet durch User
von Nix I. (nixis)


Lesenswert?

guten tach

meine frau hat jetzt auch so´nen tm5 mixer mit wlan ....

wir nutzen erstmal die 6 monate inkl. für das cookidoo, danach ist ja 
ein abo fällig (36,-€).
der cook-key ist nach erfolgreicher sync auch offline (ohne wlan) 
nutzbar.

ivoburkart schrieb das bis auf /now alles https bzw. ssl verschlüsselt 
ist.

frage: woher weiß der cook-key ob mein abo gültig ist ?
ist ein ev. zeitsync mit ntp notwendig da der "datensatz" auf dem stick 
bzw. ein mögliches zertifikat ein ablaufdatum hat ?
was ist wenn der ntp manipuliert wird ?

okay so bekommt man zwar keine eigenen rezepte drauf auf das was drauf 
ist bleibt zumindest drauf.

von D. E. (depp)


Lesenswert?

Tobias C. schrieb:
> Die aktuellen Open Source Versionen für Software Version: 201605230000
>
> Linux kernel 2.6.35.3-imx GPLv2 (from Freescale SDK 10.12.01, + custom
> patches)
[...]
> wpa-supplicant 2.4 - BSD license

CVE-2015-1863
Heap-based buffer overflow in wpa_supplicant 1.0 through 2.4 allows 
remote attackers to cause a denial of service (crash), read memory, or 
possibly execute arbitrary code via crafted SSID information in a 
management frame when creating or updating P2P entries.


Das klingt doch nach allem was man braucht um mit einem SoftAP kurz vor 
Schulschluß in der Wohnsiedlung viel Freude zu bereiten :-D

von Chris R. (chrisr2710)


Angehängte Dateien:

Lesenswert?

Ich habe mal den Cook-Key auseinander gebaut und ein Bild davon 
angehängt.

Hier die Infos:
1. USB-Stick
2. Mikrocontroller PIC16F1454
3. USB-Hub FE1.1s
4. Wifi PAN9010U

Wie könnte man nun weiter vorgehen?

von David N. (knochi)


Lesenswert?

Na das sieht ja übersichtlich aus. Keine weiteren Komponenten auf der 
Rückseite?

Vielleicht könnte man die Kommunikation zwischen pic und WiFi Modul 
belauschen.
Kann aber auch sein, dass der PIC nur den USB Hub und das WLAN Modul 
beim Start konfiguriert.

Jedenfalls sehe ich da eine Programmierschnittstelle, evtl. auch eine 
Angriffsfläche.

Leider habe ich so ein Teil nicht zur Hand, sonst würde ich Mal das 
Oszilloskop dranhängen.


Bis denne
Knochi

von Chris R. (chrisr2710)


Lesenswert?

Nein, auf der Rückseite ist nichts mehr.

Mit einem Oszilloskop habe ich noch nie gearbeitet. Ich hätte einen 
Raspberry Pi zur Hand. Kann ich damit etwas überwachen oder rausfinden 
was uns weiterhilft? Oder kann man die Daten die auf dem USB-Stick sind 
irgendwie auslesen?

Welche Programmierschnittstelle kannst du auf der Platine erkennen? Das 
schräge schwarze Plastikteil mit den 4 Eingängen ist für die 4 Pins am 
Thermomix (wo der Cook-Key mit Magnet befestigt wird).

von Chris M. (christoph_m988)


Lesenswert?

Hi Chris,

wie hast du den Cook-Key den aufbekommen?
Ich bin mit den üblichen Werkzeugen zum Öffnen von Handy und anderen 
Geräten gescheitert...allerdings hat meine Frau mich auch schon kritisch 
beäugt.
--> Vielleicht kannst du hier noch ein paar zusätzliche Fotos 
einstellen, damit man sieht, wo die Klips (?) sind/wie man den Key 
beschädigungsfrei öffnet :)

Bei dem USB-Hub-Chip handelt es sich lauten Datenblatt um ein 
4-Kanal-Hub 
(https://cdn-shop.adafruit.com/product-files/2991/FE1.1s+Data+Sheet+(Rev.+1.0).pdf).
Es wäre jetzt interessant an die verbleibenden zwei Ports zusätzliche 
Geräte anzuschließen (bspw. USB Tastatur). So wie das auf deinem Foto 
aussieht, könnte man die Tastatur auch direkt in die USB-Buchse 
einstecken? Oder eine WebCam, einen WLan-Stick....

: Bearbeitet durch User
von David N. (knochi)


Lesenswert?

Chris R. schrieb:
> Nein, auf der Rückseite ist nichts mehr.
>
> Mit einem Oszilloskop habe ich noch nie gearbeitet. Ich hätte einen
> Raspberry Pi zur Hand. Kann ich damit etwas überwachen oder rausfinden
> was uns weiterhilft? Oder kann man die Daten die auf dem USB-Stick sind
> irgendwie auslesen?
Mit dem Raspberry könnte man Mal versuchen, ob irgendwo ein Uart zu 
finden ist, vielleicht spuckt der ein paar Informationen aus.

> Welche Programmierschnittstelle kannst du auf der Platine erkennen? Das
> schräge schwarze Plastikteil mit den 4 Eingängen ist für die 4 Pins am
> Thermomix (wo der Cook-Key mit Magnet befestigt wird).

Ich meine die goldenen Testpunkte links oben. Offensichtlich gehen 
mindestens zwei auf den PIC.

von Hans Ulli K. (Gast)


Lesenswert?

Chris R. schrieb:
> Ich habe mal den Cook-Key auseinander gebaut und ein Bild davon
> angehängt.
>
> Hier die Infos:
> 1. USB-Stick
> 2. Mikrocontroller PIC16F1454
> 3. USB-Hub FE1.1s
> 4. Wifi PAN9010U
>
> Wie könnte man nun weiter vorgehen?

Dann wollen wir mal die Bauteile analysieren ...
1. USB-Stick
nichts besonderes.
Vielleicht Treiber und/oder Rezepte drauf

2. Mikrocontroller PIC16F1454
für irgendwas zum steuern oder speichern.
Dazu später mehr

3. USB-Hub FE1.1s
ein einfaches USB 4 fach HUB IC
wenn noch ein EEPROM vorhanden ist, kann dieses mit einer USB VID/PID 
vom "Hersteller" beschrieben werden. Es sollen zwei Ports benutzt sein. 
Einer für den USB Stick und einer für das WLAN Modul.
Mal sehen ..

4. Wifi PAN9010U
Ein WLAN Modul von Panasonic, das mit einem Marvell 88W8782 bestückt 
ist. Dazu soll es Linux/Android Treiber geben

Also nichts besonderes, wenn nicht der Mikrocontroller wäre.
Laut Datenblatt hat der eine USB Schnittstelle und sogar USB 2, der 
dritte Teilnehmer auf dem HUB.

So wie es aussieht hat dieser keine Funktion, ggf. vielleicht für den 
USB Stick ...

Könnte es sein, das dort was versteckt ist ??

Ist der gleiche Aufbau HUB-IC, Stick, Mikrocontroller auf den den Rezept 
Buttons ??

von David N. (knochi)


Lesenswert?

Hans Ulli K. schrieb:
> Chris R. schrieb:
>> Ich habe mal den Cook-Key auseinander gebaut und ein Bild davon
>> angehängt.
>>
>> Hier die Infos:
>> 1. USB-Stick
>> 2. Mikrocontroller PIC16F1454
>> 3. USB-Hub FE1.1s
>> 4. Wifi PAN9010U
>>
>> Wie könnte man nun weiter vorgehen?
>
> Dann wollen wir mal die Bauteile analysieren ...
> 1. USB-Stick
> nichts besonderes.
> Vielleicht Treiber und/oder Rezepte drauf
Da wird das Softwareupdate für den ersten Start drauf sein. Später dann 
die Rezepte.

> 2. Mikrocontroller PIC16F1454
> für irgendwas zum steuern oder speichern.
> Dazu später mehr

>
> 3. USB-Hub FE1.1s
> ein einfaches USB 4 fach HUB IC
> wenn noch ein EEPROM vorhanden ist, kann dieses mit einer USB VID/PID
> vom "Hersteller" beschrieben werden. Es sollen zwei Ports benutzt sein.
> Einer für den USB Stick und einer für das WLAN Modul.
> Mal sehen ..
Und einer für den PIC

> 4. Wifi PAN9010U
> Ein WLAN Modul von Panasonic, das mit einem Marvell 88W8782 bestückt
> ist. Dazu soll es Linux/Android Treiber geben
>
> Also nichts besonderes, wenn nicht der Mikrocontroller wäre.
> Laut Datenblatt hat der eine USB Schnittstelle und sogar USB 2, der
> dritte Teilnehmer auf dem HUB.
>
> So wie es aussieht hat dieser keine Funktion, ggf. vielleicht für den
> USB Stick ...
Ich nehme Mal an, da der TM ja nur einen USB Port hat, übernimmt der PIC 
das Housekeeping, also Konfiguration des WLAN Moduls, des USB Hubs und 
das ansteuern der LEDs.

> Könnte es sein, das dort was versteckt ist ??
Ich fürchte nicht. Der TM greift auf die drei Geräte vermutlich einfach 
als USB Devices zu. Lädt Rezepte über das WiFi Modul und speichert diese 
wie gehabt verschlüsselt auf den Stick.

> Ist der gleiche Aufbau HUB-IC, Stick, Mikrocontroller auf den den Rezept
> Buttons ??

Ne da ist nur ein USB Stick, ähnliche diesem drin. Weiter oben sind 
Fotos.
Ist ja dann auch nur ein Gerät und keine LEDs.

Bis denne
Knochi

von Chris R. (chrisr2710)



Lesenswert?

Hier sind noch ein paar weitere Fotos. Leider ist der Cook-Key verklebt, 
sodass ein zerstörfreies öffnen nicht möglich ist. Ich habe mit einem 
Messer die weiße Abdeckung ringsherum aufgehebelt. Das hat ganz gut 
funktioniert.

Anschließend muss man die 4 markierten Punkte (runde Huckel) mit einem 
Messer abschneiden damit man die Platine entfernen kann.

Wenn man die Platine komplett freiliegend haben möchte, müsste man noch 
die Lichtleiter entfernen (ebenfalls auf der Rückseite die 10 runden 
Huckel, aber kleiner). Ich habe das gemacht.

=> Eigentlich würde ich gerne irgendwie an das Zertifikat kommen, um den 
WLAN-Verkehr beeinflussen zu können.
=> Oder wie könnte ich per Konsole irgendwie auf das System kommen?
=> @knochi: wie könnte das mit dem UART gehen?

Ich bräuchte Infos von euch, was ich versuchen soll, wenn sich sonst 
niemand anderes traut das Teil zu zerlegen :-D

Mfg Chris

von Chris M. (christoph_m988)


Lesenswert?

Hi Chris,

hast du mal versucht an den USB-Port andere USB Gerät (Maus oder 
Tastatur, Bluetooth-Stick) anzuschließen (anstelle des USB-Sticks im 
Cook-Key)? Interessant wäre sicher auch mal ein USB-auf-VGA-Adapter 
(LogiLink USB zu VGA Display: https://www.reichelt.de/?ARTICLE=132672).

Danke und viele Grü0e

: Bearbeitet durch User
von Ivo B. (ivoburkart)


Lesenswert?

Ich würde mal vermuten der pic ist für die led.

von Chris R. (chrisr2710)


Lesenswert?

Nein, habe ich bisher nicht versucht. So ein USB-VGA-Adapter habe ich 
nicht. Wenn ich nur eine Tastatur anschließe bringt mich das nicht 
weiter, oder was ist der Hintergrund?

von Fab!an (fabiiian)


Lesenswert?

Habt ihr den Thread mal von Anfang an gelesen? Das haben wir doch alles 
schon probiert.

Der WiFi Chip ist IMO nichts anderes als ein USB Hub mit Memorystick, 
WiFi Client und USB Led Controller. Und da SSL Pinning an ist, bring es 
uns auch nicht weiter. Bleibts wohl beim kopieren der Chips :(

von Michael M. (do7tla)


Lesenswert?

Gibt es schon neuigkeiten zu dem Mainboard im TM selber?
Hat hier schon jemand Forschungen angestellt?

Leider lese ich in diesen Thread nur viel zu den USB Anschluss und dem 
Cookkey.
Und da drehet man sich wohl nur noch im Kreis.

: Bearbeitet durch User
von Axel W. (axelmi)


Lesenswert?

Der Usb Anschluss ansich ist doch ein interessanter Angriffspunkt.
Mit dem Facedancer/Raspdancer 
(https://github.com/travisgoodspeed/goodfet/tree/master/contrib/facedancer) 
ist es möglich USB Geräte zu simulieren und das Protokoll zu 
manipulieren. Vielleicht ist es damit möglich Fehler im Usb-Stack oder 
Device-Treiber zufinden.

Platinen für den Raspdancer21 hab ich heute bekommen. Sobald er zusammen 
gebaut ist, wollte ich damit mein Glück versuchen.

von Stephan M. (Firma: Herr) (assiy2k)


Lesenswert?

Gibts denn schon wieder Neuerungen bezüglich des Themas?

Viele Grüße,
AssiY2K

von Sdfseezzef S. (Firma: zerzer) (qsdsqdf)


Lesenswert?

Ok guys,

According to their patent 
(https://docs.google.com/viewer?url=patentimages.storage.googleapis.com/pdfs/US20140337631.pdf), 
the golden target everyone should focus is the private key stored in the 
TM5. But to access it, it is required to get a living session on TM5 
(private key is to be encrypted for sure in the "offline" firmware).

Only solution I can see is to find an exploit (type buffer overflow) in 
communicating via USB interface or if using the cook-key, http packet 
crafting could also be a vector. What do you think, some of you are 
aldready on the deck? PM me.

von Ikaro P. (ikaro_p)


Lesenswert?

Looks like this community is stuck, so I have decided to give us all a 
little present.

EiOJeNLiooqwWobaVDVrbJWLCifvQC5oDqNqHfuSYBt3y4vwN3YKq2EsvFK3U4M9 
(AES128)

Enjoy.

--Ikaro Psi

P.S. The security on this machine is very very impressive, I have pretty 
much never seen done anything this right and I do security for living, 
those engineers were thinking of every little detail. Sadly even them 
are only humans :)

von Daniel D. (Firma: privat) (daniel_ventura)


Lesenswert?

woah, thank you man! :-)

von Stephan M. (Firma: Herr) (assiy2k)


Lesenswert?

Hi Ikaro,

Thanks for that. But what can we do with the key?

Best regards and have a great weekend,
AssiY2K

von Daniel D. (Firma: privat) (daniel_ventura)


Lesenswert?

think this is the private key extracted from the fw ;-)
you can do almost everything on this machine with it.
for example digging for the ssl certs :-)

: Bearbeitet durch User
von Mode M. (mode)


Lesenswert?

Wo kommt der Key her?
Ich kann nur empfehlen, den Key local zu speichern. Er wird hier ggfs. 
nicht lange öffentlich stehen.
Vielleicht ist es auch nur ein Fake....

von Daniel D. (Firma: privat) (daniel_ventura)


Lesenswert?

ich gehe mal davon aus dass er den key (sofern es wirklich der private 
key der Maschine ist) irgendwie aus dem laufenden ram rausbekommen haben 
könnte. ich könnte mir vorstellen dass der thermi ein Silicon based 
security Konzept ähnlich wie zb bei spielkonsolen hat.
ps. es ist herzlich egal wo der key herkommt solange er valid ist ;-)

: Bearbeitet durch User
von Julian W. (julian-w) Benutzerseite


Lesenswert?

Na dann mal gespannt ob es hier weiter geht, leider kann ich nichts 
sinnvolles dazu beitragen :D

von David N. (knochi)


Lesenswert?

Diese Information sollte uns doch einen neuen Hebel geben. Also ich habe 
mal stumpf den Wikipedia- Artikel zu AES gelesen. Darin wird auf ein 
Tool verlinkt, welches sich AES-pipe nennt. In der Read.me steht was von 
verschlüsselten CD-ROMs, wenn mich nicht alles täuscht hatten wir doch 
Anfangs was von einem CD Laufwerk gesehen. Vielleicht kann man damit die 
Images von den Cook Keys ver- bzw. Entschlüsseln.

Link: http://loop-aes.sourceforge.net/

Habe im Moment wenig Zeit, probiert das mal jemand?

Bis denne

Knochi

: Bearbeitet durch User
von Chris R. (chrisr2710)


Lesenswert?

Could you please explain what to do with this key?

I am not really familiar with encryption, but I think the key is too 
long for AES128 encryption. AES28 means 128 bit, but this key is 512 
bits long.

Can anyone give more details?

von Martin P. (billx)


Lesenswert?

Ikaro P. schrieb:
> EiOJeNLiooqwWobaVDVrbJWLCifvQC5oDqNqHfuSYBt3y4vwN3YKq2EsvFK3U4M9
> (AES128)

Vom aussehen her hätte ich nun auf base64 plädiert.... aber so wirklich 
Sinnvoll ist das was ich da raus bekomme auch nicht.


0x12 0x23 0x89 0x78 0xd2 0xe2 0xa2 0x8a 0xb0 0x5a 0x86 0xda 0x54 0x35 
0x6b 0x6c 0x95 0x8b 0xa 0x27 0xef 0x40 0x2e 0x68 0xe 0xa3 0x6a 0x1d 0xfb 
0x92 0x60 0x1b 0x77 0xcb 0x8b 0xf0 0x37 0x76 0xa 0xab 0x61 0x2c 0xbc 
0x52 0xb7 0x53 0x83 0x3d

Mhm was könnte denn an KDF hier sinnvoll sein?
Vielleicht wird wirklich einfach sowas wie dm-crypt verwendet?

: Bearbeitet durch User
von Waldemar H. (vual)


Lesenswert?

Hallo Zusammen,
hat jemand die Richtigkeit des veröffentlichten Keys bereits in 
irgendeiner Weise verifiziert?

Ich kann da leider nicht helfen, da ich mich damit leider nicht auskenne

Gruß

von Moritz M. (mom)


Lesenswert?

Hallo,

kurz nachdem hier ein Thermomix Einzug hielt und ich rausfinden wollte, 
was da drin ist und wie denn das WLAN funktioniert, stieß ich auf diesen 
Thread.

Mir selbst ein Bild zu machen, wurde mir untersagt, aus der Angst den 
Thermomix zu zerforschen.

Nun habe ich kürzlich den Dichtungsring vergessen und das Innenleben mit 
Milch geflutet. So war meine Chance gekommen und ich konnte doch mal 
schauen.

Im Nachhinein sah ich, dass das Meiste hier schon besprochen wurde. Aber 
der Vollständigkeit halber hier noch was zur Steuerplatine:

Dort gibt es einen STM32F100R8 mit unbestücktem JTAG-Connector und einen 
ATxmega16D4.

Ich habe es noch etwas ausgeführt und Bilder gibt es auch[1].

Grüße Moritz

[1]: 
https://nerdgenieur.tumblr.com/post/166890591787/i-accidentally-the-thermomix

von Stephan M. (Firma: Herr) (assiy2k)


Lesenswert?

Moin Moritz,

Danke für deinen klasse Beitrag. Ich habe mir deinen Blog mal 
ausführlich durchgelesen. Macht Spaß :-)

Bleibt die Frage, wie man jetzt in das System vom TM5 kommt?

Viele Grüße,
Stephan

von Moritz M. (mom)


Lesenswert?

Danke Stephan. Einziges Manko: die Frequenz mit der ich dazu komme, neue 
Beiträgen zu schreiben.

TM5 System: keine Ahnung.

Mein Ansatz wäre wahrscheinlich mal die Testpads auf dem Mainboard zu 
untersuchen ob da vielleicht eine UART dabei ist und CN601 genauer 
anzuschauen, ob das wirklich USB ist.

Sonst fällt mir noch ein, den äußeren USB Anschluss ohne den 4 poligen 
Kontaktstecker zu testen, nicht dass der TM5 daran doch was erkennt nur 
wird der äußere Stecker vielleicht nicht ordentlich aktiviert (mangels 
korrekt platziertem Magneten). Und dann mit USB-Lan Adapter testen.

SOnst könnte man auch den USB-Traffic zwischen Cook-key und TM 
anschauen, aber keine Ahnung was das für neue Erkenntnisse bringen 
würde.

Du siehst, einen richtigen Plan habe ich nicht.

Und um irgendwas mit dem vermeintlichen Private Key aus 
Beitrag "Re: Thermomix Rezeptchips" zu 
machen, fehlen mir die Skills.

von Stephan M. (Firma: Herr) (assiy2k)


Lesenswert?

Moin Moritz,

Das gleiche Problem habe ich auch, mir fehlen die nötigen Skills und die 
Zeit. :-(

Viele Grüße,
Stephan

von Ikaro P. (ikaro_p)


Lesenswert?

I can has firmware dump?

https://uloz.to/!6LxjhQYGAnoY/1-squashfs

Beitrag #5196357 wurde vom Autor gelöscht.
von Daniel D. (Firma: privat) (daniel_ventura)


Lesenswert?

Thx man!!!!

von Julian W. (julian-w) Benutzerseite


Lesenswert?

Hab mir das Image mal heruntergeladen, scheint tatsächlich authentisch 
zu sein unter opt findet sich einiges interessantes...

von Thomas H. (decafbad)


Lesenswert?

Sieht echt interessant aus - kann man das vielleicht irgendwie über qemu 
zum laufen bringen und dann die Chips anschließen? Ab dem Moment müsste 
man ja ins System eingreifen können, da man dort Tastatur und tty 
Zugriff haben müsste...

Welche Firmware ist das? Die aktuelle vom Cook Key oder die „alte“?

von Philipp L. (philippl)


Lesenswert?

Thx! Echt nette informationen. in netlink finden sich sehr interessante 
Abläufe. wie wohl so ein DEBUG COOKIE aussieht?
philipp

von Thomas H. (decafbad)


Lesenswert?

Ich würde auf VM oder emulation gehen. Mir sind auch noch Zertifikate in 
der Firmware aufgrfslllen...

von Chris R. (chrisr2710)


Lesenswert?

Kann jemand mal bitte ein paar mehr Infos geben, wie man mit der Datei 
umgeht? Welches Programm benötige ich (Windows)? Oder geht nur Linux?

UPDATE: hat sich erledigt! 7Zip ist die Lösung zum entpacken des 
Verzeichnisses ;-)

: Bearbeitet durch User
Beitrag #5197528 wurde vom Autor gelöscht.
von Marco H. (marco_h883)


Lesenswert?

Wow also der Firmwaredump "liest" sich wirklich spannend. Ich bin da
zwar persönlich nicht ausreichend im Thema um beurteilen zu können, ob
man durch die Veröffentlichung des Dumps demnächst eigene Rezepte
hochladen kann, aber spannende Dinge habe ich trotzdem gefunden:

- Unser TM5 heißt an vielen Stellen in der Firmware TM41 (siehe
/etc/rc/rc.conf: export HOSTNAME="tm41")

- Es gibt einen Debug Modus, der Telnet und FTP Server aktiviert (siehe
/etc/rc/rc.local:
# Defines what shall be done for Debug and Release builds of TM5
# Possible values: 1 - for  debug | 0 - for release. Are switched by
build system during build.
# Default value for build system is "1 - for debug" (for LTIB builds
used by developers))

- Es gibt einen Supervisor Modus der gestartet wird, wenn keine Serial
Number "eingebrannt" wurde (/opt/Thermomix/Thermomix.sh)

- der o.g. angebliche AES128 Key liegt unter /opt/cookey.txt (kein
Tippfehler meinerseits...)

- unter /tmp/certificates liegt ein "client_TM5" Zertifikat mit privatem
Schlüssel.

von Stephan M. (Firma: Herr) (assiy2k)


Lesenswert?

Hi Marco,

Vielen Dank für deine Forschungen, das sind schon mal hilfreiche Infos 
:-)



Gruß,
Stephan

von Moritz M. (mom)


Lesenswert?

Danke allen Beteiligten, das sieht ja alles spannend aus.

Hat denn jemand eine Idee, wie man den FTP oder Telnet Server nutzen 
kann?

Bei einem USB-Anschluss in einem Auto hörte ich davon, dass man mit 
einem USB-LAN-Adapter zum Ziel kam und sogar eine IP per DHCP vom Auto 
bekam.

Ich habe in
1
/etc/rc.d/init.d/usbpower
 noch Folgendes gefunden:
1
#!/bin/sh
2
3
if [ "$1" = "stop" ]
4
then
5
    echo "PowerOff USB"
6
    echo 85 > /sys/class/gpio/export
7
    echo out > /sys/class/gpio/gpio85/direction
8
    echo 1 > /sys/class/gpio/gpio85/value
9
    echo 85 > /sys/class/gpio/unexport
10
fi
11
12
if [ "$1" = "start" ]
13
then
14
    echo "PowerOn USB"
15
    echo 85 > /sys/class/gpio/export
16
    echo out > /sys/class/gpio/gpio85/direction
17
    echo 0 > /sys/class/gpio/gpio85/value
18
    echo 85 > /sys/class/gpio/unexport
19
fi

Damit wird bei "start" ein ein GPIO Pin auf low gezogen, bei "stop" auf 
high. Ich vermute, dass damit der externe USB-Anschluss eingeschaltet 
wird, getriggert durch den Magnet im Rezept-Chip.

von Moritz M. (mom)


Lesenswert?

Ikaro P. schrieb:
> I can has firmware dump?
>
> https://uloz.to/!6LxjhQYGAnoY/1-squashfs

Thanks a lot for your effort.

How did you extract the firmware?

Do you know if U-Boot is used as bootloader?

von Sigma P. (sigmapic)


Lesenswert?

Ikaro P. schrieb:
> I can has firmware dump?
>
> https://uloz.to/!6LxjhQYGAnoY/1-squashfs

Thank very much for that dump.

Please, can you tell me how di you extract it ?

I successfully uncompress the file system.
There are a lot of interesting things but the most important one is the 
binary /user/sbin/checkimg.

I successfully emulated the ARM926EJ-S processor (processor from TM5) 
with Qemu.
I ran checkimg and the result is:
1
Wrong aguments. Please use one of following commands:
2
3
To decrypt single pack file with embedded public key:
4
(Note: filename passed as packfile must be one of 3 possible
5
filenames: firmware.pack, data.pack, extra.pack)
6
    checkimg -d <in_bundlefile> <out_packfile>
7
8
Print SW version info:
9
    checkimg -i <in_bundlefile>
10
11
Verify consistency of an image only:
12
    checkimg -c <in_bundlefile>

I already started to analyse this binary with a disassembler.
I think a lot of our questions is inside this binary.
The good thing is that it has almost no dependencies.

Let's start to work on it.

-------------

The second interesting thing is the script /opt/app.sh and especially 
the function update_data_partition() that show the data process.

von Chris R. (chrisr2710)


Lesenswert?

Ikaro Psi, great work!! Thank you!

How can we get the image from our TM5 ourselves?? This would help the 
most!

von David N. (knochi)


Angehängte Dateien:

Lesenswert?

Hi,

also auf meinem WIndows PC mit 7-ZIP bekomme ich zahlreiche Daten-Fehler 
beim entpacken des Images... Das würde erklären, warum das Image im 
Emulator nicht läuft. Ist das bei euch auch so?

Interessant ist auch das Verzeichnis /opt/Thermomix/automated_receipes/

hier liegen.xml Dateien der integrierten Rezepte.. da kann man schon mal 
gucken, wie die aufgebaut sind. Vielleicht findet man ja auch einen Weg, 
wie der TM5 die Rezepte unverschlüsselt über einen beliebigen USB Stick 
(oder WLAN Stick) annimmt. Wäre doch das einfachste?!

Bis denne
David

: Bearbeitet durch User
von David N. (knochi)


Lesenswert?

Sigma P. schrieb:
> I successfully emulated the ARM926EJ-S processor (processor from TM5)
> with Qemu.

Hey Sigma,

can you please give us a short introduction how to load the image with 
QEMU?




Thanks
David

von David N. (knochi)


Lesenswert?

Ikaro P. schrieb:
> Looks like this community is stuck, so I have decided to give us all a
> little present.
>
> EiOJeNLiooqwWobaVDVrbJWLCifvQC5oDqNqHfuSYBt3y4vwN3YKq2EsvFK3U4M9
> (AES128)

Findet sich übrigens in /opt/cookey.txt

von Sigma P. (sigmapic)


Lesenswert?

David N. schrieb:
> Hey Sigma,
>
> can you please give us a short introduction how to load the image with
> QEMU?
>
> Thanks
> David

You need a working install of QEmu.
Then you can download prebuild images (linux + debian squeeze) and you 
run it with the given command line.

Then, access through ssh.

Next step, I will install a gdb server on the emulated system so I will 
be able to debug binaries from my host with any comaptible tool.

von Chris R. (chrisr2710)


Lesenswert?

Different approach: man-in-the-middle attack with the cookkey to sniff 
the wifi traffic.

- Is this possible with the given certificates under /tmp/certificates 
or the /opt/cookey.txt file?
- Or do we need a certificate from our own Thermomix?
- another idea is to find any code in the image, where the cookey date 
gets processed

von Chris R. (chrisr2710)


Lesenswert?

Noch ein Ansatz wäre, etwas mit dem Key in der /opt/cookey.txt zu 
entschlüsseln. Dafür habe ich mal in allen Dateien nach "cookey.txt" 
gesucht. In der Datei /usr/sbin/netlink habe ich folgenden Code 
gefunden. Könnte der dafür genutzt werden, um die Daten des USB-Sticks 
der sich im Cookkey befindet zu entschlüsseln?
1
------------ Power-cycling USB interface ----------
2
/etc/rc.d/init.d/usbpower stop
3
/etc/rc.d/init.d/usbpower start
4
mkdir -p /tmp/dev/
5
mknod /tmp/dev/ttyACM0 c 166 0
6
/usr/sbin/eth stop
7
settings_cloud.sdb material/photo/150x150/vorwerk_trademark_logo.png
8
umount -f
9
losetup -d
10
rm -f
11
rmdir
12
/usr/sbin/eth start
13
mount -t ext4 -o noatime,commit=2,data=journal tm5.img material/ mkfs.ext4
14
tcsetattr usbTermio /sys/ /idVendor i j q u z rm -f /tmp/dev/ sd /../../../../../../../serial sr s.+(\d+) sd([a-z])\d+
15
mknod -m 644 /tmp/dev/loop b 7
16
mknod -m 644 /tmp/dev/ b 11 b 8
17
mkdir -p
18
losetup -e aes128 -P /opt/cookey.txt
19
mount -o ro
20
mount

von Dirk K. (d-k)


Lesenswert?

Da scheint ja bei vielen Zeilen etwas zu fehlen. Als ob dies der "linke 
Teil" eines Skriptes währe und der "recht Teil" fehlt. (Z.b. "rm -f" 
ohne Argument macht keinen Sinn)

Die relevante Zeile "losetup -e aes128 -P /opt/cookey.txt" ist auch 
nicht komplett. Falls wir annehmen das was dasteht richtig ist und nur 
rechts was fehlt dann währe der /opt/cookey.txt nur ein device 
identifier und nicht der geheime Schlüssel.

Eventuell hast du da einen Textblock gefunden der vom Programm noch 
verändert wird bevor er ausgeführt wird?

von Sigma P. (sigmapic)


Lesenswert?

Chris R. schrieb:
> Noch ein Ansatz wäre, etwas mit dem Key in der /opt/cookey.txt zu
> entschlüsseln. Dafür habe ich mal in allen Dateien nach "cookey.txt"
> gesucht. In der Datei /usr/sbin/netlink habe ich folgenden Code
> gefunden. Könnte der dafür genutzt werden, um die Daten des USB-Sticks
> der sich im Cookkey befindet zu entschlüsseln?
>
>
1
> ------------ Power-cycling USB interface ----------
2
> /etc/rc.d/init.d/usbpower stop
3
> /etc/rc.d/init.d/usbpower start
4
> mkdir -p /tmp/dev/
5
> mknod /tmp/dev/ttyACM0 c 166 0
6
> /usr/sbin/eth stop
7
> settings_cloud.sdb material/photo/150x150/vorwerk_trademark_logo.png
8
> umount -f
9
> losetup -d
10
> rm -f
11
> rmdir
12
> /usr/sbin/eth start
13
> mount -t ext4 -o noatime,commit=2,data=journal tm5.img material/ 
14
> mkfs.ext4
15
> tcsetattr usbTermio /sys/ /idVendor i j q u z rm -f /tmp/dev/ sd 
16
> /../../../../../../../serial sr s.+(\d+) sd([a-z])\d+
17
> mknod -m 644 /tmp/dev/loop b 7
18
> mknod -m 644 /tmp/dev/ b 11 b 8
19
> mkdir -p
20
> losetup -e aes128 -P /opt/cookey.txt
21
> mount -o ro
22
> mount
23
>


netlink is a binary. All these strings are used in the binary.
There may be no link between these strings depending on how they are 
used inside the binary.

A also started to analyse this binay.

I have a lot of difficulties to debug the binary in my qemu system.
So I will continue static analysis.

Note: It would be great if you can speak english

von Dirk K. (d-k)


Lesenswert?

If the static analysis gets too involved it might be an idea to have the 
program do its thing and observe it on the way.

I can think of two things:
- Use strace (with -f) to get the calls the program makes to other 
programs (mentioned as "execve" in the strace output). This would 
require a strace program on the platform. If that is not there one might 
need to get it from a compatible system.
- My tests with strace (on a desktop linux system) showed that the 
subprogram to be called is not invoked directly, but rather through a 
call to /bin/sh. That means one could create a program/script (placed in 
the old location of /bin/sh) that logs the call to a file before the 
(renamed) real /bin/sh is called. (There is a potential for a big 
problem here, if the logging or calling the original sh needs to call 
/bin/sh we just created a recursion. One would need to try this.)

The whole process will probably be a bit involved since the netlink 
binary certainly will check some conditions before the actual losetup 
call is made. One would need to make sure that these are fulfilled one 
by one.

von David N. (knochi)


Lesenswert?

Hi,

I thin we found something very interesting here. It should give us a 
hint how the Chips data is decrypted by the software.

I'm not a Pro when it comes to that things, but the first readable 
String in the binary is "ELF". i know .elf files from AVR-GCC it 
descripes how to link and build things.

From the Wiki article one can further notice that this is definitly an 
elf-File. Magic Number is 0x7F followed by ELF. So we should be able to 
processes and anaylse this file using one of the Tools mentioned in the 
article.

https://en.wikipedia.org/wiki/Executable_and_Linkable_Format

What I found out with a Hex Editor:
data size: 32bit
endiness: little endian
ELF Version: original version of ELF
target System: systemV ?
Version: 0
type: executable
target architecture: ARM
...

the rest is to much for my electricians brain :) need a software guy.

Cu
David

von Chris R. (chrisr2710)


Lesenswert?

The code I found in /usr/sbin/netlink is of course not usable. But I 
thought to post it, because it reveals details about how to mount the 
encrypted Cook-Key. But I don't have the skill to mount the encrypted 
image. There is a file called "tm5.img" on the Cook-Key as written in
1
mount -t ext4 -o noatime,commit=2,data=journal tm5.img material/ mkfs.ext4

But how do I work with it? cryptsetup & mount & ... ?!

: Bearbeitet durch User
von Daniel S. (schuballaa)


Lesenswert?

Also ich habe übermorgen eine Vertreterin zu besuch - hatte ernsthaftes 
Interesse - bis ich gerade auf das Problem (welches eigentlich keines 
sein dürfte) eigenes Rezept gestoßen bin.

Das naheliegenste (Familien und Lieblingsrezepte) einzuspielen ist nicht 
möglich???? ernsthaft?? warum? gelinggarantie? so what??

Ganz ehrlich, ich würde mir so n Ding zu dem preis (Produktionswert ca 
200€) schon Kaufen, wenn auch überteuert, weil die Qallität sehr gut 
ist, aber das iphone war das letzte Gerät welches mich als Kunde 
Kastriert hat.

Wer Kunden daran hindert das System technisch voll auszunutzen (eigene 
Rezepte/kein root iphone) stattdessen mit Abos / Einschränkungen und 
unverhältnismäßiger Kryptografie Ihre Kunden an die Leine nimmt, den 
werde ich aus Prinzip nicht unterstützen.

Dann hätten die auch n eigenes Betriebssystem schreiben müssen und nicht 
auf freie Software zurückzugreifen (Linux).

Hätte ich nicht schon die Zutaten gekauft, würde ich der Termomix 
Vertreterin Absagen.

Ich hoffe Ihr bekommt das System ent-kastriert, kaufen würde ich ihn mir 
aber auch dann nicht, nicht weil ich gegen Patentrechte verstoßen, 
sondern damit eine Firmenpolitik unterstützen würde, die in meinen Augen 
total in die falsche Richtung läuft.

von Ikaro P. (ikaro_p)


Lesenswert?

Chris R. schrieb:
> Ikaro Psi, great work!! Thank you!
>
> How can we get the image from our TM5 ourselves?? This would help the
> most!

I'm sorry but I will not reveal the exploit since that would make the 
vendor issue an firmware update with the fix and most probably close any 
realistic homebrew development of the platform. And even in the case I 
discover a proper "unfixable" rooting method in the future (e.g. 
something like finding the usable firmware signing key), I would still 
need to inform the vendor first.

I have somewhat full root access to the platform but I don't think one 
needs to have that for the work on a homebrew. Vast majority of the 
fiddling can and should be done in an emulator, the platform itself is a 
minefield anyway and one could destroy his TM with just a stupid little 
typo. It might seem a bit protective stand but I will hold it for now.

> Different approach: man-in-the-middle attack with the cookkey to sniff
> the wifi traffic.

> - Is this possible with the given certificates under /tmp/certificates
> or the /opt/cookey.txt file?
> - Or do we need a certificate from our own Thermomix?

Sadly this is not possible for two reasons now:
- the process of registration of the TM to the online system is probably 
the way the per device client certificate is issued and I think that one 
is used most of the time.
- TM strictly enforces the verification of the server certificate. 
Public CA system is not used and the only certificates accepted must 
stem from Vorwerk's internal CA.

I hope we would be able to run the GUI and the netlink parts in the 
emulator with replaced CA certificates so the (not so much now) MitM 
attack would be possible. We could reverse engineer the protocol and 
than develop a custom server using the specificiation created (clean 
room). Since one need to replace the CA certificat on TM for this to 
work and since there is no easy way of doing this, my afford is focused 
in this direction mostly now.

> The whole process will probably be a bit involved since the netlink
> binary certainly will check some conditions before the actual losetup
> call is made.

I'm pretty sure netlink is just inserting the correct device filename 
and all the magic is done either by patched losetup or patched kernel 
itself. I was unable to decrypt any image even by using TM's losetup 
binary in my emulator, it's a big mind=boogle...

I'm looking forward to the static analysis findings... I hoped someone 
here would be able and willing to do it, since I prefer not to touch 
tools like IDA ever again :))

> There are a lot of interesting things but the most important one is the
> binary /user/sbin/checkimg.

That one is used in an update process, since distributed firmware is 
encrypted with a static global key but to flash it one need to encrypt 
it using device specific keys and also since the update package can have 
some preupdate and postupdate payloads and hooks ect.

: Bearbeitet durch User
von Joachim S. (oyo)


Lesenswert?

Sigma P. schrieb:
> David N. schrieb:
>> Hey Sigma,
>>
>> can you please give us a short introduction how to load the image with
>> QEMU?
>>
>> Thanks
>> David
>
> You need a working install of QEmu.
> Then you can download prebuild images (linux + debian squeeze) and you
> run it with the given command line.

Which command line? I'd love to give that QEMU approach a try as well, 
but I've never used QEMU before. Would someone please give more detailed 
instructions on how to access a QEMU environment with this firmware?
I'm sure there's more people who would appreciate this.

I've had a quick first look at the firmware files. Very interesting, 
fantastic job, Ikaro Psi.

Here's a few little things I realized that might be somewhat 
interesting, but that nobody hasn't mentioned yet:
1) There is no password set for the "root" user in /etc/shadow. If one 
would somehow get to a login prompt, the password for the root user 
should be a simple [ENTER]

2) There are a few sqlite3 database files with the file suffix .sdb in 
the opt/Thermomix directory:
contact.sdb
settings_cloud_default.sdb
settings_empty_en.sdb
settings_empty_tw.sdb
subscription_empty.sdb
subscription.sdb

No recipes seem to be stored in these files though. The most interesting 
information I could find in these files were the following tables:
Table "settingsCloudApp" in file "settings_cloud_default.sdb":
1
id|remoteAddress|TCPPort|remotePath|pingAddress
2
1|css.tmecosys.com|443|/ws|l.root-servers.net
which suggests URL https://css.tmecosys.com:443/ws

Table "settingsCloudAppDebug" in file "settings_cloud_default.sdb":
1
id|mac|ssn|serial|version
2
1|AABBCCDDEEFF|0123456789ABCDEF|00000000000000000|203801010000

Table "settingsCloudApp" in "settings_empty_en.sdb":
1
id|remoteAddress|TCPPort|remotePath
2
1|css.tmdesync.com|3080|/ws.ashx
which suggests URL https?://css.tmdesync.com:3080/ws.ashx

Simply entering these URLs in a webbrowser is not successful though; the 
first URL responds with a "403 Forbidden", the second one doesn't seem 
to respond at all.

3) As I get it, the ARM seems to communicate with some microcontroller 
via the serial line /dev/ttySP0 at 38400 bps:
1
(file opt/common.sh)
2
3
mc_configure_stty() {
4
    # configure serial port to similiar values that libntm does, but before GUI is started
5
    stty -F /dev/ttySP0 -icrnl -ixon -opost -onlcr -isig -icanon -iexten -echo 38400
6
}
7
8
mc_turn_off_shutdown_timer() {
9
    # set shutdown timer to 15min. (0xFFFF) to
10
    # prevent shutdown after killing GUI app by force
11
    echo -e -n "\x55\x03\x10\xFF\xFF\x8C" > /dev/ttySP0
12
}
13
14
mc_keep_alive() {
15
    # sends heart-beat packet to MC
16
    echo -ne "\x55\x08\x30\x50\x06\x50\x06\x10\x00\x00\xB8" > /dev/ttySP0
17
}
18
19
mc_reset() {
20
    # resets the MC
21
    echo -e -n "\x55\x01\x11\xFD" > /dev/ttySP0
22
}

von Sigma P. (sigmapic)


Lesenswert?

> I'm pretty sure netlink is just inserting the correct device filename
> and all the magic is done either by patched losetup or patched kernel
> itself. I was unable to decrypt any image even by using TM's losetup
> binary in my emulator, it's a big mind=boogle...

If it's the case, do you have a idea how to continue.

> since I prefer not to touch tools like IDA ever again :))

Why, IDA Pro is perfect for that.


> Which command line? I'd love to give that QEMU approach a try as well,
> but I've never used QEMU before. Would someone please give more detailed
> instructions on how to access a QEMU environment with this firmware?
> I'm sure there's more people who would appreciate this.

I tested on Ubuntu.
Install Qemu: sudo apt-get install qemu-system

Dwnload the 3 following images on :
debian_squeeze_armel_standard.qcow2
initrd.img-2.6.32-5-versatile
vmlinuz-2.6.32-5-versatile

Run QEmu with command line:
qemu-system-arm -M versatilepb -kernel vmlinuz-2.6.32-5-versatile 
-initrd initrd.img-2.6.32-5-versatile -hda 
debian_squeeze_armel_standard.qcow2 -append "root=/dev/sda1" -redir 
tcp:2200::22

Then connect through SSH with:
ssh user@localhost -p 2200

User account:   user
User password:  user
(Root password:  root)

You can see VM output by using a VNC viewer (https://www.realvnc.com for 
example) on port 5900 (for me).

You can send binaries you want to execute through SSH (scp command).

Have fun!


Ikaro Psi, what analysis do you suggest to do ?
I'm looking to netlink with IDA Pro but maybe you have some better ideas 
not losing time on IDA Pro.

von Moritz M. (mom)


Angehängte Dateien:

Lesenswert?

Joachim S. schrieb:
> 3) As I get it, the ARM seems to communicate with some microcontroller
> via the serial line /dev/ttySP0 at 38400 bps:

Where did you find this information?

As I wrote a bit earlier, there is a STM32F100R8 and a ATxmega16D4 on 
the power board. Some pictures[0][1]. The STM32 has also a 2x10 JTAG 
connector next to it.

I assume that your finding is the thermomix applications way to 
communicate with one or both of them.

[0]: 
https://78.media.tumblr.com/f4770bfb4d43e861ebbe6c4b5c7b1d8b/tumblr_oyjxnyog0s1sk4l6uo8_1280.jpg
[1]: 
https://78.media.tumblr.com/f322fccd257abc3ce32bbd0f469cf363/tumblr_oyjxnyog0s1sk4l6uo3_1280.jpg

Edit: attached pics to post.

: Bearbeitet durch User
von Moritz M. (mom)



Lesenswert?

I attach the images right away.

: Bearbeitet durch User
von Joachim S. (oyo)


Angehängte Dateien:

Lesenswert?

Moritz M. schrieb:
> Joachim S. schrieb:
>> 3) As I get it, the ARM seems to communicate with some microcontroller
>> via the serial line /dev/ttySP0 at 38400 bps:
>
> Where did you find this information?

In file /opt/common.sh
But it really only contains the commands I mentioned in my previous 
posting. Apparently, the serial communication with these 
microcontrollers is usually handled by "libntm", and common.sh only 
contains those commands that need to be sent via the serial line while 
libntm is not running.

Moritz M. schrieb:
> As I wrote a bit earlier, there is a STM32F100R8 and a ATxmega16D4 on
> the power board. Some pictures[0][1]. The STM32 has also a 2x10 JTAG
> connector next to it.
>
> I assume that your finding is the thermomix applications way to
> communicate with one or both of them.

Very likely indeed. I remember from another thread on hacking the TM31 
(Beitrag "Thermomix TM31 Modifikation") that the previous model 
used a similar approach:
The main CPU sends commands for the actual actions to perform (e.g. Heat 
to temperature X, Make motor rotate left at speed Y) via a serial line 
to a microcontroller on the power board.
It seems like they kept that architecture in the TM5 model, but changed 
the serial protocol.

Sigma P. schrieb:
> Run QEmu with command line:
> qemu-system-arm [...]

Thanks a lot for the instructions, I had a stupid misunderstanding.

To make the process of setting up a working QEMU environment very easy, 
I created a small Linux shell script named tm5.sh (see attachment) that 
might be useful to others. To use it:

1. Download tm5.sh (attachment of this posting) and make it executable 
(chmod 755 tm5.sh)
2. Download the squashfs firmware file, and place it in the same 
directory as tm5.sh, under filename "tm5_firmware.squashfs"
3. Ensure you have the required software packages installed. qemu-system 
is needed (sudo apt-get install qemu-system), I believe all other 
software is installed on most linux systems by default.
4. Run ./tm5.sh. The script will download and create a few files if 
necessary, then start QEMU.
5. Login (Username: root, password: root).
6. The TM5 filesystem is stored in directory /tm5. To chroot into this 
directory, simply enter "tm5_chroot"

von Sigma P. (sigmapic)


Lesenswert?

> To make the process of setting up a working QEMU environment very easy,
> I created a small Linux shell script named tm5.sh (see attachment) that
> might be useful to others. To use it:

Well done!

On my side, I'm stuck.
It seems that when netlink is called (because a recipe chip has been 
attached), the stick has already been read and netlink check if tm5.img 
is present in tmp.

Then some checks are done. These strings appear:
- Storage partition found at %s (S/N: %s)
- Partition containing recipe DB is found
- Expecting official recipe chip --> perf
- /opt/ref.sig

ref.sig seems to be a public key (not sure at all).

Do you have some ideas ?

Beitrag #5217033 wurde vom Autor gelöscht.
von Bimby T. (bimby)


Lesenswert?

Sigma P. schrieb:
>> To make the process of setting up a working QEMU environment very easy,
>> I created a small Linux shell script named tm5.sh (see attachment) that
>> might be useful to others. To use it:
>
> Well done!
>
> On my side, I'm stuck.
> It seems that when netlink is called (because a recipe chip has been
> attached), the stick has already been read and netlink check if tm5.img
> is present in tmp.
>
> Then some checks are done. These strings appear:
> - Storage partition found at %s (S/N: %s)
> - Partition containing recipe DB is found
> - Expecting official recipe chip --> perf
> - /opt/ref.sig
>
> ref.sig seems to be a public key (not sure at all).
>
> Do you have some ideas ?

Hi there, have you seen that there is a global variable that allows 
pirated cookie?
Just check the file on /etc/rc.d/rc.local, they even call it "pirated 
cookie"! :P

# set global variable RDV, which is then read by netlink
# Possible values: 0 - not RDV version, no support for pirated cookie
(EXT4 formatted cookie).
#                  1 - RDV version, no support for pirated cookie.
export RDV=0
echo "Set Recipe Development Version to $RDV"

So if Ikaro_Psi could develop a way that would allow us to change this
global variable, maybe we could use a "pirated cookie"... :)

Why is there a wireless connection already on the firmware? Please check 
the file /usr/local/routerlist.txt:

dlink1 "dlink-8B91" "zubnw96594"

Can it be that the TM5 enters some service mode when it connects to this 
wireless SSID "dlink-8B91" and password "zubnw96594"? Or is this the 
router data from Ikaro_Psi? :/

I do not own a TM5, so I can not test this...

: Bearbeitet durch User
von Joachim S. (oyo)


Lesenswert?

Bimby T. schrieb:
> Hi there, have you seen that there is a global variable that allows
> pirated cookie?
> Just check the file on /etc/rc.d/rc.local, they even call it "pirated
> cookie"! :P
> [...]
> So if Ikaro_Psi could develop a way that would allow us to change this
> global variable, maybe we could use a "pirated cookie"... :)

I stumbled upon that too. But the problem I see is that none of the 
choices  actually allows that pirated cookie being mentioned:
> # Possible values: 0 - not RDV version, no support for pirated cookie
> (EXT4 formatted cookie).
> #                  1 - RDV version, no support for pirated cookie.

And apart from that: What is a "cookie" in this context anyway? Did they 
just misspell "Cook-Key"? I didn't quite get it, just as I didn't get 
what it has to do with "recipe development".

> Why is there a wireless connection already on the firmware? Please check
> the file /usr/local/routerlist.txt:
>
> dlink1 "dlink-8B91" "zubnw96594"
>
> Can it be that the TM5 enters some service mode when it connects to this
> wireless SSID "dlink-8B91" and password "zubnw96594"? Or is this the
> router data from Ikaro_Psi? :/

It seems unlikely that this is Ikaro Psi's own router data, as the 
.squashfs file we are looking at is a readonly filesystem. None of the 
files should contain any data that belongs to a specific TM5.

It seems like "routerlist.txt" is only being used by 
"/usr/bin/testrouter"; that shell script will try to connect to a 
wireless network with the SSID/PSK you mentioned, and writes to file 
"/mnt/rwfs/data/tech_box/routertests.log" if it was successful.
I assume that this WLAN access point is only being used during the 
manufacturing of the TM5 or the Cook-Key, simply to test if the WLAN 
works correctly.

von Bimby T. (bimby)


Lesenswert?

Joachim S. schrieb:
> I stumbled upon that too. But the problem I see is that none of the
> choices  actually allows that pirated cookie being mentioned:
>> # Possible values: 0 - not RDV version, no support for pirated cookie
>> (EXT4 formatted cookie).
>> #                  1 - RDV version, no support for pirated cookie.

I think the no for the value 1 (RDV version) is a typo, because the 
variable sets the Recipe Development Version active, so the engineers 
can use EXT4 formatted cookie's (I think without encryption).

> And apart from that: What is a "cookie" in this context anyway? Did they
> just misspell "Cook-Key"? I didn't quite get it, just as I didn't get
> what it has to do with "recipe development".

From what I have read, the cookie ist the "read only" recipe chips 
(internal with a USB flash drive detected as a CD-ROM drive) that are 
used on the side of the TM5. The Cook-Key is the wireless adapter with a 
"read/write" USB flash drive. I think if the global variable is set to 
1 as RDV version, we could use a normal USB flash drive with own 
recipes in the same XML format found on the .squashfs file.

: Bearbeitet durch User
von Moritz M. (mom)


Lesenswert?

Bimby T. schrieb:
> Joachim S. schrieb:
>> I stumbled upon that too. But the problem I see is that none of the
>> choices  actually allows that pirated cookie being mentioned:
>>> # Possible values: 0 - not RDV version, no support for pirated cookie
>>> (EXT4 formatted cookie).
>>> #                  1 - RDV version, no support for pirated cookie.
>
> I think the no for the value 1 (RDV version) is a typo, because the
> variable sets the Recipe Development Version active, so the engineers
> can use EXT4 formatted cookie's (I think without encryption).
>

That could make sense. My thought was that a there was a mechanism which
puts the TM5 in a somehow broken state once he detects somebody is
trying to use a pirated/manipulated cookie (the recipe one). Not that it 
makes sense, but what I've read from vorwerk I would not wonder if they 
dare doing that kind of stuff.

von Bimby T. (bimby)


Lesenswert?

Moritz M. schrieb:
> That could make sense. My thought was that a there was a mechanism which
> puts the TM5 in a somehow broken state once he detects somebody is
> trying to use a pirated/manipulated cookie (the recipe one). Not that it
> makes sense, but what I've read from vorwerk I would not wonder if they
> dare doing that kind of stuff.

I can not test it, first I do not know how to get access to the system 
and second I do not own a TM5. :)
The best way would be to find out how the encrypted cookie works, 
because we could then create a "pirated" cookie with our own recipes 
without messing with the firmware... In my opinion, the Cook-Key 
(wireless adapter) is not worth it because it is only limited to the 
recipes that vorwerk has approved on their portal and asks for a 
subscription to access it.
The TM5 is nothing more than a TM31 with a Raspberry Pi on it. :D
Did anyone know if we can control the TM31 over infrared diagnostic 
port, so I could use a smartphone with IR and develop an app that does 
the same as the TM5, but not limited to their recipes! ;)

von Joachim S. (oyo)


Lesenswert?

Bimby T. schrieb:
> The TM5 is nothing more than a TM31 with a Raspberry Pi on it. :D

Pretty much, yeah.

> Did anyone know if we can control the TM31 over infrared diagnostic
> port, so I could use a smartphone with IR and develop an app that does
> the same as the TM5, but not limited to their recipes! ;)

I didn't quite get that sentence: Was it a question asking if the TM31 
can be controlled over the infrared diagnostic port, or was it a 
statement pointing out that the TM31 can in fact be controlled  over 
that port?

Either way, I actually wonder if it doesn't make sense to simply develop 
an alternative main board for the Thermomix, instead of trying to hack 
the original one. I believe that would have a few advantages:
- The same board could probably be used for both the TM5 and the TM31; 
that way, owners of the TM31 could get the advantages of the TM5, people 
who don't own a Thermomix yet could buy a cheap used TM31 and basically 
turn it  into a TM5
- No dangerous messing around at all with the expensive original board; 
the original board is simply being replaced. In case the Thermomix must 
be sent in for repair, the original, unmodified board is installed 
again, and Vorwerk  cannot detect any modification. And as we are not 
hacking the original TM5 firmware by using some security holes, Vorwerk 
cannot simply close those security holes by shipping an updated firmware
- No legal issues whatsoever, as we are not hacking the original 
system's security

Even if at some point we should find a way to truly hack the TM5, I 
think it would be worth to go that path as an alternative & perfectly 
legal approach. The guy who started this thread:
Beitrag "Thermomix TM31 Modifikation"
already began working on that approach for the TM31...

von Moritz M. (mom)


Lesenswert?

Just for curiosity, does anybody already got the firmware 201706290000 
2.3 on their TM5. I'm stuck with 2016... 2.2 and pushing the update 
button does only say there is no update.

von Bimby T. (bimby)


Lesenswert?

Joachim S. schrieb:
> Either way, I actually wonder if it doesn't make sense to simply develop
> an alternative main board for the Thermomix, instead of trying to hack
> the original one.

The problem with that is that you would need to open up your Thermomix.
I was asking if someone know if it where possible to control the TM31 
over the diagnostic infrared port, so we did not need to open it up to 
change the original one.
On the TM5 there is no infrared port, so the easiest alternative would 
be hacking the cookie encryption, because they could not change that on 
new firmware, or the TM5 would loose access to the older cookie's 
shipped with the first batch of TM5.
They maybe could do like Sony did with the PS3, new revisions did not 
allowed "jailbreaking" like the older revisions.

von Joachim S. (oyo)


Lesenswert?

Bimby T. schrieb:
> Joachim S. schrieb:
>> Either way, I actually wonder if it doesn't make sense to simply develop
>> an alternative main board for the Thermomix, instead of trying to hack
>> the original one.
>
> The problem with that is that you would need to open up your Thermomix.

Sure. And I agree that this is a major disadvantage of course. But if 
the only alternative were to not be able to "free" the Thermomix at all, 
then this might ultimately still be the best approach.

> I was asking if someone know if it where possible to control the TM31
> over the diagnostic infrared port, so we did not need to open it up to
> change the original one.

I got that, it just wasn't 100% clear to me if your sentence was a 
question or a statement.

> On the TM5 there is no infrared port, so the easiest alternative would
> be hacking the cookie encryption, because they could not change that on
> new firmware, or the TM5 would loose access to the older cookie's
> shipped with the first batch of TM5.
> They maybe could do like Sony did with the PS3, new revisions did not
> allowed "jailbreaking" like the older revisions.

I agree. But let's face it, we will probably never actually be able to 
completely crack the TM5 encryption system.
There's a good chance we will at some point be able to...
- decrypt the recipe chips
- make the TM5 accept custom recipes, using security holes in the 
firmware
- maybe even add some useful features to the TM5

But I just don't see us ever being able to create the kind of proper, 
valid recipe chips that cannot be blocked by firmware updates that you 
are hoping for. We know the patent that describes the TM5 security 
system for recipe chips, and it looks pretty solid to me on first sight. 
Unless we were able to somehow get access the private key that Vorwerk 
uses to digitally sign the recipe chips, we won't be able to create 
custom recipe chips with a valid digital signature. And the developers 
at Vorwerk would have to be extremely stupid if they had placed the 
private key used for signing in the firmware...

von Sigma P. (sigmapic)


Lesenswert?

Joachim S. schrieb:
> But I just don't see us ever being able to create the kind of proper,
> valid recipe chips that cannot be blocked by firmware updates that you
> are hoping for. We know the patent that describes the TM5 security
> system for recipe chips, and it looks pretty solid to me on first sight.
> Unless we were able to somehow get access the private key that Vorwerk
> uses to digitally sign the recipe chips, we won't be able to create
> custom recipe chips with a valid digital signature. And the developers
> at Vorwerk would have to be extremely stupid if they had placed the
> private key used for signing in the firmware...

There are several possibilities regarding signatures.
A mistake in the signature scheme may allow to easily extract the 
private key (remeber PS3).
Another possibility is to change the public key, then you can use any 
key of your choice.

From my point of view, the most impotant thing is to understand how data 
are stored in the recipe key (cookie).

von Joachim S. (oyo)


Lesenswert?

Sigma P. schrieb:
> There are several possibilities regarding signatures.
> A mistake in the signature scheme may allow to easily extract the
> private key (remeber PS3).

True, if Vorwerk epically failed at properly implementing the 
encryption/signature algorithm, we might be able to extract the private 
key.
That would be jackpot! But while I hope I'm wrong, I currently expect 
the chances of this happening to be rather low... :-(

> Another possibility is to change the public key, then you can use any
> key of your choice.

You mean by changing the public key that is stored in the firmware, and 
that is used for verifying the digital signatures?
If so, I would consider this a rather pointless approach. Because that 
would require altering/hacking the firmware, by means of some security 
hole (which could be fixed with a firmware update), right? And wouldn't 
simply changing the public key mean that original recipe chips would 
then be rejected?
If the hack requires changing the firmware, shouldn't we be able to 
simply bypass the signature verification instead?

> From my point of view, the most impotant thing is to understand how data
> are stored in the recipe key (cookie).

Have you read the patent documents that describe the security system of 
the recipe chips in this posting: 
Beitrag "Re: Thermomix Rezeptchips" 
?
They should be very helpful for this. I don't know if there is an 
english version of those documents available somewhere - so if you need 
any help translating/understanding those documents, we should be able to 
help.

von Sigma P. (sigmapic)


Lesenswert?

Joachim S. schrieb:
> That would be jackpot! But while I hope I'm wrong, I currently expect
> the chances of this happening to be rather low... :-(

I agree, chance is low.


Joachim S. schrieb:
> You mean by changing the public key that is stored in the firmware, and
> that is used for verifying the digital signatures?
> If so, I would consider this a rather pointless approach. Because that
> would require altering/hacking the firmware, by means of some security
> hole (which could be fixed with a firmware update), right? And wouldn't
> simply changing the public key mean that original recipe chips would
> then be rejected?
> If the hack requires changing the firmware, shouldn't we be able to
> simply bypass the signature verification instead?

Your're right. I mean changing the public used for verifying the digital 
signatures.
It depends on the case.
Yes it can be fixed by Vorwerk, but then it becomes a game.
New update = New exploit to find!!!


Joachim S. schrieb:
> Have you read the patent documents that describe the security system of
> the recipe chips in this posting:
> 
Beitrag "Re: Thermomix Rezeptchips"
> ?
> They should be very helpful for this. I don't know if there is an
> english version of those documents available somewhere - so if you need
> any help translating/understanding those documents, we should be able to
> help.

Yep, I read it.


I don't know how to continue.

What about GPL license ?
If some interesting code is hidden in the kernel, they should publish it 
since it's a GPLv2 license.

von Sigma P. (sigmapic)


Lesenswert?

In the Kobold manual (Vorwerk), they say that a Linux is used can be 
downloaded here:
https://www.neatorobotics.com/lab/linux/

Neatorobotics seems to be the third party company that developped this 
product for Vorwerk.

I'm sure we shoudld get Thermomix Kernel.

von Sigma P. (sigmapic)


Lesenswert?

Does someone got a response from opensource@vorwerk.de for Kernel 
sources ?

von Joachim S. (oyo)


Lesenswert?

Sigma P. schrieb:
> What about GPL license ?
> If some interesting code is hidden in the kernel, they should publish it
> since it's a GPLv2 license.

Apparently, if you contact Vorwerk, they will send you a CD with the 
source code of the GPL software. Some guy from this forum did so back in 
2015:
Beitrag "Re: Thermomix Rezeptchips"
Unfortunately he did not publish the source code they sent him, but at 
least he posted a listing of the files on the CD, and it suggests that 
they indeed modified three packages:
- linux kernel v2.6.35.3
- kobs-ng v10.12.01
- logrotate v3.8.3

> I don't know how to continue.

You've got a TM5 and something like root access, allowing you to alter 
the TM5 filesystem, correct?
Here's an idea - perhaps it won't help much, but it shouldn't be too 
much work, so I want to at least mention it:

One could create a small proxy shell script that logs all calls to 
"interesting" commands. It would do about the following:
1. Capture the current timestamp + full command line it was called with 
(program name + all arguments)
2. Append that information to a special log file (for example 
/proxy/log.txt)
3. Call the actual command, passing all the arguments it was called with

Store that shell script on the TM5 (for example named /proxy/proxy.sh)

That shell script could then act as a kind of proxy to commands like 
mount, checksig etc.
For example, to log calls to the command "/usr/sbin/checksig":
1. Copy the program /usr/sbin/checksig to /proxy/commands/checksig
2. Replace /usr/sbin/checksig with a symbolic link that points to the 
proxy shell script, /proxy/proxy.sh

Then if some program on the TM5 calls "checksig", proxy.sh would first 
log timestamp + the command line that the program checksig was called 
with to /proxy/log.txt, then call /proxy/commands/checksig with just the 
arguments it was called with.
That way, one could create a log of all interesting commands that are 
being called in chronological order, for example when attaching a recipe 
chip.

What do you and the others think about this?

EDIT: This is what the script /proxy/proxy.sh might look like:
1
#!/bin/sh
2
3
# Path to the directory with all proxy-related files
4
proxy_directory="/proxy"
5
6
# Log timestamp + called command line to the log file
7
echo "$(date +%s):" "$0" $@ >> "${proxy_directory}/log.txt"
8
9
# Call the proxied command passing all arguments
10
"${proxy_directory}/commands/$(basename $0)" $@

: Bearbeitet durch User
von Sigma P. (sigmapic)


Lesenswert?

Joachim S. schrieb:
> Apparently, if you contact Vorwerk, they will send you a CD with the
> source code of the GPL software. Some guy from this forum did so back in
> 2015:
> Beitrag "Re: Thermomix Rezeptchips"
> Unfortunately he did not publish the source code they sent him, but at
> least he posted a listing of the files on the CD, and it suggests that
> they indeed modified three packages:
> - linux kernel v2.6.35.3
> - kobs-ng v10.12.01
> - logrotate v3.8.3

So, it would interesting to get linux kernel modification in order to 
check if they do something specific with USB.


Joachim S. schrieb:
> You've got a TM5 and something like root access, allowing you to alter
> the TM5 filesystem, correct?

Sorry but I don't have root access. I just have the root file system 
that have been posted.

von Sigma P. (sigmapic)


Lesenswert?

David N. schrieb:
> So... es ist soweit.. ich habe mal den USB Protocol Analyzer zwischen
> TM5 und Rezeptchip gehangen.
>
> Bisher habe ich noch nicht viel in den Daten herumgestöbert. Man sieht
> nur einen IN und einen OUT Endpoint "Mass Storage Device".
>
> In den grossen Datenpaketen konnte ich keinen Klartext erkennen. Aber
> wer weiss schon, in welchem Format die Daten vorliegen?
>
> Der Trace ist folgendermassen entstanden:
> 1. recording starten
> 2. chip anschliessen
> 3. nach Erkennung -> Menü -> Rezepte
> 4. "Das Kochbuch"
> 5. "Nach Kategorie"
> 6. "Vorspeisen und Salate"
> 7. "Brokkoli Salat mit Pinienkernen"
> 8. Starten (rechts oben)
> 9. ca. 4 mal "weiter"
>
> Den Trace gibt es hier (14.5Mb):
> https://mega.co.nz/#!2h0QTYZY!UAgvTRrAN7ne1SK7BF6wh8swa_cITtvP7KZvjrY7Qo4
>
> Und die Software gibt es Gratis bei LeCroy:
> 
http://teledynelecroy.com/support/softwaredownload/download.aspx?mseries=0&did=8337
>

Hello Knochi,

Do you have a dump of the cookie (a dump made with dd or somthinhg like 
that).
I would like to compare data exchanged through USB and data dumped with 
dd in order to check dumping like that is correct.

von Sigma P. (sigmapic)


Lesenswert?

Does somone already success to clone a cookie ?

It's possible to share a cookie between two thermomix, right?
So, it should be possible to clone a cookie.

If I well understand (from what I saw and what is written on this 
thread), it's only a matter of VID, PID and serial number that is 
included in USB descriptor.

I am right?

von Fab!an (fabiiian)


Lesenswert?

You are right. It is possible to clone a chip

von Sigma P. (sigmapic)


Lesenswert?

Fabian O. schrieb:
> You are right. It is possible to clone a chip

Please, can you share kernel patches from Vorwerk CD.

von Fab!an (fabiiian)


Lesenswert?

Sigma P. schrieb:
> Fabian O. schrieb:
>> You are right. It is possible to clone a chip
>
> Please, can you share kernel patches from Vorwerk CD.

Send me a PM

von Boe C. (boe_c)


Angehängte Dateien:

Lesenswert?

Hallo zusammen,

sehr interessante Diskussion hier, bei der ich mich jetzt auch 
beteiligen kann nachdem wir auch einen TM5 haben.

Scheinbar haben die Vorwerk-Ingenieure ihren Job ganz gut gemacht, so 
dass z.Z eigentlich nur ein bisschen Qemu-RootFS-Spielereien (von Ikaro 
Psi) übrig bleiben, um mal zu schauen was so geht.

Das habe ich mal versucht (*zum Nachahmen sollte man wissen was man 
tut*)
1. qemu installieren und Kernel/initrd, der oben erwähnt ist downloaden
2. squashfs unter linux mounten (auf /mnt/thermomix)
3. 128MB - Raw-Harddisk erstellt
1
dd if=/dev/zero of=thermomix.raw bs=1024 count=128k
4. mittels cfdisk thermomix.raw das Image partitioniert
   Ich hab da 2 Partitionen erstellt
   p1) 19MB für Squashfs (hab dann gemerkt das es sinnlos ist)
   p2) 50MB ext3  (hier ist dann das rootfs drin)
5. mit "kpartx -a thermomix.raw" das Image als loop-harddisk 
"registrieren"
   Danach kann p1 und p2 als
   /dev/mapper/loop0p1 und /dev/mapper/loop0p2  (oder loop1..)
   angesprochen werden
6. mkfs vom rootfs und mount
1
mkfs.ext3 /dev/mapper/loop0p2
2
mount /dev/mapper/loop0p2 /mnt/thermomixext3
7. rsync
1
rsync -av /mnt/thermomix/ /mnt/thermomixext3/
Da ist mir aufgefallen, dass das squashfs GENAU bei der /bin/busybox 
einen io-Fehler hat und rsync nur diese Datei nicht kopiert.
1
[ 2780.290452] SQUASHFS error: Unable to read data cache entry [135cd]
2
[ 2780.290456] SQUASHFS error: Unable to read page, block 135cd, size 14359
Die Datei ist für das Funktionieren des Images aber nötig.

8. Debian busybox-static nach /mnt/thermomixext3/bin/busybox kopieren
   und zwar die Version von 
https://packages.debian.org/wheezy/busybox-static
   die hat keine glibc-Abhängigkeiten, die sonst - bei falscher Version 
- das
   Booten verhindern
9. unmount/usw
1
   umount /mnt/thermomixext3 
2
   kpartx -d thermomix.raw
10. qemu starten
1
    qemu-system-arm -M versatilepb -kernel vmlinuz-2.6.32-5-versatile \
2
                        -initrd initrd.img-2.6.32-5-versatile \
3
                        -hda thermomix.qcow2 \
4
                        -append "root=/dev/sda2" \
5
                        -redir tcp:2200::22

Ergebnis siehe Bild.
Das System bootet, aber bricht natürlich ab, da ich noch keine 
Anpassungen (bis auf busybox) gemacht habe.

Es sollte aber kein Problem sein, einige Sachen zu simulieren (z.B. 
Data-Partition), in dem man die Skripte anpasst.

Vg

boecko

von Boe C. (boe_c)


Lesenswert?

Hallo,

einen Schritt am Schluss (vor 10) habe ich vergessen:

9b. Differenz-Image thermomix.qcow2
1
qemu-img create -b thermomix.raw -f qcow2 thermomix.qcow2

- Das erzeugt das Differenz-Image thermomix.qcow2, das nur die 
Änderungen im laufenden Betrieb beinhaltet.
-  thermomix.raw bleibt dabei unangetastet
- den Schritt muss man wahrscheinlich wiederholen, wenn man an 
thermomix.raw rumschraubt, da das FS sonst inkonsistent ist (evtl bei 
ro-mount nicht noetig)

vg

: Bearbeitet durch User
von Boe C. (boe_c)


Angehängte Dateien:

Lesenswert?

Hallo,

kleines Update: nachdem ich ein weitere Partition in thermomix.raw 
angelegt habe und
/etr/rc.d/rc.local auf
1
mount -t ext3 /dev/sda3 /mnt/rwfs/data
geändert habe, kommt man zumindest soweit wie im Bild

/mnt/rwfs/data/tech_box/session_0/gui_0.log zeigt auch einige Einträge 
der GUI

Einen guten Rutsch an alle

boecko

von Stephan M. (Firma: Herr) (assiy2k)


Lesenswert?

Moin Boecko,

Das sieht ja schon nicht schlecht aus. Auf den ersten Blick würde ich 
sagen, das er einen Bite Test an den Touchscreen macht, oder?

Frohes Neues Jahr!

von Ed U. (eduardito)


Lesenswert?

Hallo an alle,

This thread is starting to get too long with pieces of information 
scattered everywhere. Maybe we should start a subreddit with a proper 
wiki. Something like /r/ps3homebrew (and its wiki at 
https://www.reddit.com/r/ps3homebrew/wiki).

Maybe /r/ThermomixHomebrew?

von Schang S. (Firma: keine) (schang)


Lesenswert?

Hi,

Could someone share a dump of the data contained in the memory stick 
located on the wifi cook key board ?

Has anyone managed to mount the recipe.img using the password in 
cookey.txt ?

I've tried using losetup (with an older version that - like the one in 
the firmware - support "-e aes128"), with cryptsetup and aespipe... 
without luck.

Thanks

von Schang S. (Firma: keine) (schang)


Lesenswert?

I've played around with qemu, the TM5 rootfs that was provided here, and 
kernel/initrd from https://people.debian.org/~aurel32/qemu/armel/

I've also commented lines in /etc/rc.d/rc.local to enable telnet.

Telnet listens to the sole available interface (loopback) which is 
useless when using the -redir option to have the host forward to the 
guest's telnet. So, an ethernet interface needs to be created.

My understanding is that /boot must be on another partition (that we do 
not have access to) and there is no /lib/modules either.

So to load the default NIC from qemu (don't try the e1000 as it 
segfaults), I have added mii.ko and smc91x.ko that I have extracted from 
the rootfs at above URL and put them in the data disk (the one mounted 
as sda3 and where TM5 logs are written).

I have modified a boot script to load those modules with insmod and then 
run dhclient eth0).

At that point, it is possible to telnet the guest (root, no password).


The whole purpose of that was to have a proper shell and try 
understanding how the TM5 decrypts the recipe device/image before 
mounting it.

We already known/assume that the password to decrypt the image is in 
/opt/cookey.txt.

grep -ra cookey.txt on the whole rootfs returns only one file ( binary: 
/usr/sbin/netlink (as descrbed in previous posts) with this:
losetup -e aes128 -P /opt/cookey.txt

Someone here mentioned that these options do not really make any sense. 
Indeed, the image to decrypt is missing but also -e aes128 is no longer 
supported in recent versions of losetup.

Well, the losetup found in the rootfs does not effectively not support 
the "-e aes128" option so I don't really see how the decryption process 
is happening.


No really, related but I noticed the following kobs configuration file:
root@tm41 ~$ cat .kobs
#
# The sample configuration file for kobs
#
chip_0_device_path=/dev/mtd0

search_exponent = 3
data_setup_time = 40
data_hold_time = 40
address_setup_time = 40
data_sample_time = 6
row_address_size = 3
column_address_size = 2

ncb_version = 3

## not used anyway
##boot_stream_1_address = 0
##boot_stream_2_address = 0x1500000


where /dev/mtd0 is usually referred too as a flash drive.


Again, if the person who did open his wifi chip could share a copy of 
the content of the sd card connected to it, I'd be happy to see what can 
be done with it.

von Moritz M. (mom)


Lesenswert?

Schang S. schrieb:
>
> Again, if the person who did open his wifi chip could share a copy of
> the content of the sd card connected to it, I'd be happy to see what can
> be done with it.

There at least two facebook groups[0][1] where they claim they dumped 
the image. In the first one there is a dead dropbox link. But maybe it 
is worth asking there.

[0]: https://www.facebook.com/BIMBYTM5HACK/
[1]: https://www.facebook.com/tm5modding

von Schang S. (Firma: keine) (schang)


Lesenswert?

Thanks. I have seen those groups but - unless I missed something - the 
dump they offer is from a recipe key while I am seeking from the wifi 
dongle.

Have you seen them talking about that (because I've been through all 
published content several times and could not see anything like that) ?

von Thierry G. (thierry_g) Flattr this


Lesenswert?

You can see all specification of the cooki-key on fcc-id

https://fccid.io/2AGELCK1

For the moment i just want dump a cook-key , how can i do ?

von Schang S. (Firma: keine) (schang)


Lesenswert?

Thanks. The FCC assessment only cares about radio.
To dump, after opening the cook-ket (which is what I would rather avoid 
doing), I'am assuming the putting the sd card in your pc should do the 
trick

von Schang S. (Firma: keine) (schang)


Lesenswert?

Any idea how the recipe key is being encrypted ? Cryptsetup does not 
recognize the file:

# cryptsetup luksDump recipes.img
Device recipes.img is not a valid LUKS device.

von Thierry G. (thierry_g) Flattr this


Lesenswert?

Hallo,
I had opened my cook-key (normal and not wifi).
Impossible to read it on:
- Windows 10
- virtual box Windows XP
- virtual box Linux (Lubuntu)
How can i do ?

Have you tried this  product ?
FORNORM Magnetic Charging Cable USB 2.0 Male to 4 Pin Pogo Magnetic 
Charger Cable Cord For Smart Watch GT88 G3 KW18 Y3 KW88 GT68
 http://s.aliexpress.com/veAbmUVZ?fromSns=Nouveau message

von Schang S. (Firma: keine) (schang)


Lesenswert?

Hi,

No sure what you are trying to achieve but you should not expect being 
able to open the key like any regular usb memory stick.

Using e.g., Linux you should be able to create a copy using dd but then 
you'll end up (as discussed in previous posts) with an image of the key 
that is encrypted.

von Thierry G. (thierry_g) Flattr this


Lesenswert?

Hi guys,
Under windows 10 i have made an image.dd renamed image.img of my chip 
with a nice tool.

https://www.cgsecurity.org/wiki/TestDisk_DE

Read this before but i used default at each time...
https://korben.info/realiser-limage-dun-disque-dur-testdisk.html
(sorry it's in french but google translation is your friend)

Next step...
Write this image.img on a stick ;)

von Bimby T. (bimby)


Lesenswert?

Thierry G. schrieb:
> Hi guys,
> Under windows 10 i have made an image.dd renamed image.img of my chip
> with a nice tool.
>
> https://www.cgsecurity.org/wiki/TestDisk_DE
>
> Read this before but i used default at each time...
> https://korben.info/realiser-limage-dun-disque-dur-testdisk.html
> (sorry it's in french but google translation is your friend)
>
> Next step...
> Write this image.img on a stick ;)

Hi Thierry,

why don't you try with a simple tool called Win32 Disk Imager. It makes 
RAW images from the stick and can write it to another stick... ;)
https://sourceforge.net/projects/win32diskimager/

Can you test compressing the resulting image (ZIP, 7Z or RAR)? Can you 
share the resulting file? It would be nice to compare two extracted 
images from two identical (same book but two different serial numbers) 
chips to see if there is any change. Probably only the serial number 
from the chip. If not, then the serial number of the chip is probably 
used for the partition encryption.

: Bearbeitet durch User
von Jörg P. R. (jrgp_r)


Lesenswert?

Ich dachte das wäre ein deutsches Forum.

Beitrag #5303176 wurde von einem Moderator gelöscht.
von Bimby T. (bimby)


Lesenswert?

Jörg P. R. schrieb:
> Ich dachte das wäre ein deutsches Forum.

Ich denke dass jeder der mit der Recherche mithelfen möchte, deutscher 
oder nicht, ist hier im Forum herzlich wilkommen. Und Englisch ist 
heutzutage eine universelle Sprache. ;)

: Bearbeitet durch User
von F. K. (firstfacility)


Lesenswert?

Hallo Forum,
wäre es nicht möglich einen FTP Server zu starten ? Damit hätte man die 
Möglichkeit eigene Rezepte auf den TM zu schieben. Haltet ihr das für 
möglich ?
Gruß
firstfacility

von Jörg P. R. (jrgp_r)


Lesenswert?

Sicher, das sehe ich ein, aber als interessierter mit wenig Englisch 
Kenntnisse ist es halt schwer.

von Thierry G. (thierry_g) Flattr this


Lesenswert?

Bimby T. schrieb:
> why don't you try with a simple tool called Win32 Disk Imager. It makes
> RAW images from the stick and can write it to another stick... ;)

Hi Bimby T.
Win32DiskImager don't work it can't see the false CD drive.

> Can you test compressing the resulting image ? Can you
> share the resulting file? It would be nice to compare two extracted
> images from two identical

it's a great idea !

von Fab!an (fabiiian)


Lesenswert?

@last posts:

Please read the COMPLETE thread! I know, its long, but: imaging and 
cloneing already works. We found already the tools and settings, because 
the drive serialnumber is very importend.

von Bimby T. (bimby)


Lesenswert?

Fabian O. schrieb:
> @last posts:
>
> Please read the COMPLETE thread! I know, its long, but: imaging and
> cloneing already works. We found already the tools and settings, because
> the drive serialnumber is very importend.

Hi Fabian,

Sorry, I overlooked the post 
(Beitrag "Re: Thermomix Rezeptchips").
But we do not want to clone a chip, just make a chip with our own 
recipes...

: Bearbeitet durch User
von Markus H. (markusfooo)


Lesenswert?

Hey Bimby,

I have to agree with @Fabians response: please read the complete thread, 
this is especially true for "making own recipes".

That topic has already been covered and to be honest (in my opinion), 
the most recent posts in this thread clearly show lacking deeper 
understanding of the underlying technologies. Currently a bunch of 
fundamentals are still missing, which should be definitely solved before 
setting up any FTP servers, tools or whatever.

: Bearbeitet durch User
von Martin S. (sirnails)


Lesenswert?

Markus H. schrieb:
> Currently a bunch of
> fundamentals are still missing, which should be definitely solved before
> setting up any FTP servers, tools or whatever.

I'd guess: If anyone here is capable or able or whatever to gain access 
to the device and is able to break the encryption - what's the way he'd 
go? Sharing his knowledge within a minor forum or sell the knowledge and 
thus the security issue to Vorwerk?

Such a comprehensive hack would be worth a whole load of money! I'd 
offer it for at least 5 Million Euro. I bet Vorwerk will pay!

von Bimby T. (bimby)


Lesenswert?

Martin S. schrieb:
> Markus H. schrieb:
>> Currently a bunch of
>> fundamentals are still missing, which should be definitely solved before
>> setting up any FTP servers, tools or whatever.
>
> I'd guess: If anyone here is capable or able or whatever to gain access
> to the device and is able to break the encryption - what's the way he'd
> go? Sharing his knowledge within a minor forum or sell the knowledge and
> thus the security issue to Vorwerk?
>
> Such a comprehensive hack would be worth a whole load of money! I'd
> offer it for at least 5 Million Euro. I bet Vorwerk will pay!

I think one possible guy wo would crack it would be Ikaro Psi (ikaro_p). 
It was the only one that had root access to the TM5 system... :)

von Schang S. (Firma: keine) (schang)


Lesenswert?

Bimby T. schrieb:
> Martin S. schrieb:
>> Markus H. schrieb:
>>> Currently a bunch of
>>> fundamentals are still missing, which should be definitely solved before
>>> setting up any FTP servers, tools or whatever.
>>
>> I'd guess: If anyone here is capable or able or whatever to gain access
>> to the device and is able to break the encryption - what's the way he'd
>> go? Sharing his knowledge within a minor forum or sell the knowledge and
>> thus the security issue to Vorwerk?
>>
>> Such a comprehensive hack would be worth a whole load of money! I'd
>> offer it for at least 5 Million Euro. I bet Vorwerk will pay!
>
> I think one possible guy wo would crack it would be Ikaro Psi (ikaro_p).
> It was the only one that had root access to the TM5 system... :)

You don't know if he did. He was able to obtain the rootfs of the 
thermomix (excluding the /boot partition where the kernel and initrd, if 
any, is located) but that may also have been done through the update 
mechanism.

I have been provided with the content of the cook-key by a member of 
this forum - that he did not want to disclose publicly as it may contain 
identifiers such as a serial number that could link him to the leakage - 
and was able to play a bit with the content. So, this could alo be a way 
of figuring out how the upgrade process is happening and potentially to 
fet a firmware upgrade.

I haven't shared the output of what I was able to see so far so here it 
is in a quick dirty way:
fdisk -l thermomix-cookkey-drive-d
Disk thermomix-cookkey-drive-d: 7.5 GiB, 8053063680 bytes, 15728640 
sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x84d46198

Device                     Boot  Start     End Sectors  Size Id Type
thermomix-cookkey-drive-d1        2048  526335  524288  256M 83 Linux
thermomix-cookkey-drive-d2      526336 7854079 7327744  3.5G 83 Linux

#boot sector from 1 to 2048. d1 is from 2048 to

dd if=thermomix-cookkey-drive-d of=d1 skip=2048 bs=512 count=524288 
status=progress
524288+0 records in
524288+0 records out
268435456 bytes (268 MB, 256 MiB) copied, 0.853545 s, 314 MB/s

file d1
d1: Linux rev 1.0 ext4 filesystem data, 
UUID=4f0f6d2e-504f-41dd-8a06-8fc85eacdf66, volume name "usbdrive1" 
(extents) (large files) (huge files)

#dump second partition
dd if=thermomix-cookkey-drive-d of=d2 skip=526336 bs=512 count=7327744 
status=progress
3652907520 bytes (3.7 GB, 3.4 GiB) copied, 9 s, 406 MB/s
7327744+0 records in
7327744+0 records out
3751804928 bytes (3.8 GB, 3.5 GiB) copied, 12.6379 s, 297 MB/s

file d2
d2: Linux rev 1.0 ext4 filesystem data, 
UUID=37c9eec0-8e8f-4ea2-977e-e8d0c5b18b93, volume name "usbdrive2" 
(needs journal recovery) (extents) (large files) (huge files)

dd if=thermomix-cookkey-drive-d of=d3 skip=7854079 bs=512 
status=progress
3727178752 bytes (3.7 GB, 3.5 GiB) copied, 9 s, 414 MB/s
7874561+0 records in
7874561+0 records out
4031775232 bytes (4.0 GB, 3.8 GiB) copied, 9.71618 s, 415 MB/s

file d3
d3: data



mkdir /tmp/d1
mkdir /tmp/d2

sudo mount -t ext4 d1 /tmp/d1
ls /tmp/d1
cs.tar
sudo mount -t ext4 d2 /tmp/d2
ls /tmp/d2
15272373012203516.ell  ext.sdb  ext.sdb-wal  material 
settings_cloud.sdb  tm5.img

#make copy of the content from the mounted volumes to leave these 
volumes untouched
mkdir /tmp/extract
cd /tmp/extract
cp -r /tmp/d1 /tmp/d2 .

cd d1
tar xf cs.tar
ls
cs.tar  ext.sdb  material  settings_cloud.sdb  tm5.img

ls material/
binary  photo

cd material/binary/
ls
47857.bin  47874.bin  47891.bin  47907.bin  47923.bin[....]

ls |wc -l
206

ls -l |head
total 824
-rw------- 1 besnard besnard 1488 Jun  9  2016 47857.bin
-rw------- 1 besnard besnard 1712 Jun  9  2016 47858.bin
-rw------- 1 besnard besnard  736 Jun  9  2016 47859.bin
-rw------- 1 besnard besnard  976 Jun  9  2016 47860.bin
-rw------- 1 besnard besnard  896 Jun  9  2016 47861.bin
-rw------- 1 besnard besnard 1408 Jun  9  2016 47862.bin
-rw------- 1 besnard besnard 1536 Jun  9  2016 47863.bin
-rw------- 1 besnard besnard 1984 Jun  9  2016 47864.bin
-rw------- 1 besnard besnard 2224 Jun  9  2016 47865.bin

hexdump -C 47857.bin|head ; echo;hexdump -C 47858.bin|head
00000000  b7 31 5f 40 9c 57 42 89  c5 db 8e 5b 79 a2 f4 7f 
|.1_@.WB....[y...|
00000010  0f 97 ba 54 3b a3 18 39  2b eb a8 99 0e 5f 60 52 
|...T;..9+...._`R|
00000020  b8 80 1b 78 99 46 0d 2d  bf 1d 0a b5 a9 70 d0 95 
|...x.F.-.....p..|
00000030  7c 4e 37 9a b5 15 30 3c  4d 70 9a 87 cf 02 34 07 
||N7...0<Mp....4.|
00000040  aa 6c 73 11 52 b5 63 bb  2e 14 2b 0a eb 07 2a d0 
|.ls.R.c...+...*.|
00000050  f0 e5 e6 ce 42 b3 f0 58  e5 2a b8 5d 07 75 93 8a 
|....B..X.*.].u..|
00000060  76 da ce 51 a0 33 82 3a  c5 66 15 60 c1 02 02 61 
|v..Q.3.:.f.`...a|
00000070  d5 57 05 f6 73 b1 87 dd  48 1a bd 31 e1 68 dc 23 
|.W..s...H..1.h.#|
00000080  25 b6 36 bc af ed ff 9b  67 94 79 9d 0a ee 98 a1 
|%.6.....g.y.....|
00000090  b2 81 07 8f 6f 20 55 87  2d 6d 43 3c 10 75 28 6b  |....o 
U.-mC<.u(k|

00000000  27 8c d3 bc c3 2e 7e 95  f3 e2 d4 40 37 0f 91 82 
|'.....~....@7...|
00000010  59 ea de 65 26 e2 f7 df  ce b0 b7 1d db 23 0a cf 
|Y..e&........#..|
00000020  24 41 94 ef cb 59 72 50  3d 0d e4 38 cb 08 30 ed 
|$A...YrP=..8..0.|
00000030  09 bf 2a cc 44 91 09 b3  18 d0 58 fe 67 a8 16 ac 
|..*.D.....X.g...|
00000040  1d 09 ec d5 39 63 21 b3  30 c4 25 4c 33 60 56 fc 
|....9c!.0.%L3`V.|
00000050  f2 82 93 69 3b 0e 9e 76  ea 03 f3 a6 b5 b9 e9 da 
|...i;..v........|
00000060  46 55 a9 6d 32 84 3f d8  b9 3b f4 64 08 3f 1d 68 
|FU.m2.?..;.d.?.h|
00000070  c7 b8 24 14 b5 48 89 71  cf 5e 0d a7 4c d0 88 46 
|..$..H.q.^..L..F|
00000080  3a bb da 9a 67 09 39 1b  fb f2 fa 12 e8 bb bf 66 
|:...g.9........f|
00000090  1a b0 46 1b 58 4c f8 eb  41 4d 48 98 11 04 41 68 
|..F.XL..AMH...Ah|

---> I tried to bindiff the various files but there is nothing in common 
so no way of determining the structure (e.g., headers, etc.) of the 
file.


the image directory contains the pics of the recipes so it's rather 
useless.

cd /tmp/extract/d1
sqlite3 ext.sdb
SQLite version 3.11.0 2016-02-15 17:29:24
Enter ".help" for usage hints.
sqlite> .tables
categoryBin        collectionBin      material           recipeBin
categoryBinMap     collectionBinMap   materialSignature  recipeNote
categoryLang       dataExt            metadata           recipeSignature

sqlite> .dump categoryBin
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE categoryBin (
    categoryId UNSIGNED BIGINT NOT NULL PRIMARY KEY,
    typeId INTEGER NOT NULL,
    materialId UNSIGNED BIGINT DEFAULT 0 NOT NULL
);
INSERT INTO "categoryBin" VALUES(2,1,118);
INSERT INTO "categoryBin" VALUES(6,1,111);
INSERT INTO "categoryBin" VALUES(12,1,102);
INSERT INTO "categoryBin" VALUES(5,1,109);
INSERT INTO "categoryBin" VALUES(8,1,116);
INSERT INTO "categoryBin" VALUES(11,1,107);
INSERT INTO "categoryBin" VALUES(13,1,103);
INSERT INTO "categoryBin" VALUES(14,1,105);
INSERT INTO "categoryBin" VALUES(4,1,110);
INSERT INTO "categoryBin" VALUES(9,1,114);
INSERT INTO "categoryBin" VALUES(16,1,104);
INSERT INTO "categoryBin" VALUES(15,1,108);
INSERT INTO "categoryBin" VALUES(1,1,119);
INSERT INTO "categoryBin" VALUES(266,1,115);
INSERT INTO "categoryBin" VALUES(17,1,101);
COMMIT;
sqlite> .dump collectionBin
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE collectionBin (
    collectionId UNSIGNED BIGINT NOT NULL PRIMARY KEY,
    title VARCHAR NOT NULL,
    sortKey VARCHAR NOT NULL,
    materialId UNSIGNED BIGINT REFERENCES material ON DELETE NO ACTION 
ON UPDATE NO ACTION,
    nofRecipesPlanned INTEGER NOT NULL,
    localeId INTEGER NOT NULL,
    typeId INTEGER NOT NULL,
    hash VARCHAR NOT NULL);
INSERT INTO "collectionBin" VALUES(1,'Das Kochbuch','-''K;C+5)O+5▒▒▒
                                                                    ',888,206,2,5,'1a06cc2bbc54b3REDACTEDREDACVTED');

sqlite> .dump material
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE material (
    materialId UNSIGNED BIGINT NOT NULL PRIMARY KEY,
    fullName VARCHAR NOT NULL,
    hash VARCHAR NOT NULL);
INSERT INTO "material" 
VALUES(100510,'./material/photo/150x150/mdb-72456-47857-1.jpg','2dd3a107 
7dadc6274e2ade20828c5012F');
INSERT INTO "material" 
VALUES(100610,'./material/photo/150x150/mdb-72473-47858-0.jpg','d40a868a 
32999aac8ea9c4643a53a16dF');
INSERT INTO "material" 
VALUES(100710,'./material/photo/150x150/mdb-72889-47859-0.jpg','6cb97314 
0cf27883e63dddcaab6d9a2fF');
INSERT INTO "material" 
VALUES(100810,'./material/photo/150x150/mdb-72794-47860-0.jpg','51fad5f5 
216cc62444e90a1ab460246cF');
INSERT INTO "material" 
VALUES(100910,'./material/photo/150x150/mdb-72763-47861-0.jpg','8465c2d4 
9c899ef282ed21e4ab6d141cF');
INSERT INTO "material" 
VALUES(101010,'./material/photo/150x150/mdb-72569-47862-0.jpg','42aa494a 
08fc037fb046b66446d789a2F');
[...]

sqlite> .dump recipeBin
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE recipeBin (
    recipeId UNSIGNED BIGINT NOT NULL PRIMARY KEY REFERENCES recipeNote 
ON DELETE CASCADE ON UPDATE NO ACTION,
    title VARCHAR NOT NULL,
    sortKey VARCHAR NOT NULL,
    version DECIMAL(8.2) NOT NULL,
    localeId INTEGER NOT NULL,
    materialId UNSIGNED BIGINT REFERENCES material ON DELETE NO ACTION 
ON UPDATE NO ACTION,
    hash VARCHAR NOT NULL);
INSERT INTO "recipeBin" VALUES(47857,'Crêpes','+I/E/K▒▒▒
',1,2,100510,'230e331008ae48541608101a23197cffF|1');
INSERT INTO "recipeBin" VALUES(47858,'Nudelteig, 
frisch','AO-/=M/731I7K+5▒',1,2,100610,'230e331008ae48541608101a23197cffF 
|1');
',1,2,100710,'230e331008ae48541608101a23197cffF|1');'')''3=7CA/▒
INSERT INTO "recipeBin" 
VALUES(47860,'Tomatensauce','MC?''M/AK''O+/▒',1,2,100810,'230e331008ae48 
541608101a23197cffF|1');
INSERT INTO "recipeBin" 
VALUES(47861,'Basilikumpesto',')''K7=7;O?E/KMC▒',1,2,100910,'230e331008a 
e48541608101a23197cffF|1');
',1,2,101010,'230e331008ae48541608101a23197cffF|1');7A/KMICA/▒
▒NSERT INTO "recipeBin" VALUES(47863,'Reissalat','I/7KK''=''M
',1,2,101110,'230e331008ae48541608101a23197cffF|1');
INSERT INTO "recipeBin" VALUES(47864,'Nudelsalat mit Forelle und 
Gemüse','AO-/=K''=''M?7M1CI/==/OA-3/?OK/h▒▒x▒{▒
[...]

sqlite> .dump categoryBinMap
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE categoryBinMap (
    categoryId UNSIGNED BIGINT NOT NULL REFERENCES categoryBin ON DELETE 
CASCADE ON UPDATE CASCADE,
    recipeId UNSIGNED BIGINT NOT NULL REFERENCES recipeBin ON DELETE 
CASCADE ON UPDATE CASCADE,
    PRIMARY KEY (categoryId, recipeId)
);
INSERT INTO "categoryBinMap" VALUES(16,47857);
INSERT INTO "categoryBinMap" VALUES(16,47858);
INSERT INTO "categoryBinMap" VALUES(11,47859);
INSERT INTO "categoryBinMap" VALUES(9,47860);
INSERT INTO "categoryBinMap" VALUES(9,47861);
INSERT INTO "categoryBinMap" VALUES(2,47862);
[...]

.dump collectionBinMap
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE collectionBinMap (
    collectionId UNSIGNED BIGINT NOT NULL REFERENCES collectionBin ON 
DELETE CASCADE ON UPDATE CASCADE,
    recipeId UNSIGNED BIGINT NOT NULL,
    PRIMARY KEY (collectionId, recipeId)
);
INSERT INTO "collectionBinMap" VALUES(1,47857);
INSERT INTO "collectionBinMap" VALUES(1,47858);
INSERT INTO "collectionBinMap" VALUES(1,47859);
[...]

.dump materialSignature
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE materialSignature (
    materialId UNSIGNED BIGINT NOT NULL REFERENCES material ON DELETE 
CASCADE ON UPDATE NO ACTION,
    typeId INTEGER NOT NULL,
    signature VARCHAR NOT NULL,
    PRIMARY KEY (materialId, typeId)
);
INSERT INTO "materialSignature" 
VALUES(100510,101,'71a594493ea7f5ee383bbfbaa873d3331591f34cf3c95c7c77527 
ea7ed87220759a501e96837a0c34c52c2c45509135ce9a1bd71da8556daf391a715bb2cf 
e43bbc965a117d0220eec70ca37a1183963e58bf7dad2e3c088462ef4973ca2fefd542bc 
899d13ee5f64fc14a9c88642ece76a72068179e7bad8f0992cc234e380eaa87df3b6b509 
16dbe0286cf0a5e71249e0f4893b090701f8a796de54b2a16eef067613c6760d711404ca 
d49971eed6514bc3fc109f9dead035f7497c1ce4961843a3e2106ccefc6886567ea3e1b9 
06f5feb9497449249182d7e19855d595c83595ffba4f3719a7af9254be032930cd946e19 
bdc42c2c250f48d42223a87a547');
INSERT INTO "materialSignature" 
VALUES(100610,101,'3dbda21a11b7b5cac81014ad8fbf129ed90530ba1834d9ce6f17f 
fa79e7344ed8fb28343f411c55c223b053cdd1bc71415be8aa1fcc977ff1172c86d1aa90 
6af590f37ed04e131927b3aecc62ef54efee7cc22fc0ad9ec39f3e51dde6d7957dca85f8 
914d40cf1b1912cfdd6ed513e21472363371f6a08b31f9b6d03792f0a1817f3ea52df742 
3f6e26c6aa6647d37668eaaa2d59783a5a3d5c904ef60496338f68ac4ce7e63f1832737b 
3bb4499d2eb33247f8bd87f075b2ae37c2bb63b7c1fe289543f33dd8dfbfb0425a3238c3 
c5d563d8c4f0c4a92a08666f1891f7a198c3db6ea07624af41ea42e0fb9bee47c18f7e71 
e1d39eb2913d54ef650de7eb8b8');
[...]

.dump recipeNote
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE recipeNote (
    recipeId UNSIGNED BIGINT NOT NULL PRIMARY KEY,
    noteText VARCHAR NOT NULL,
    hash VARCHAR NOT NULL
);
COMMIT;

.dump categoryLang
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE categoryLang (
    categoryId UNSIGNED BIGINT NOT NULL REFERENCES categoryBin ON DELETE 
CASCADE ON UPDATE CASCADE,
    localeId INTEGER NOT NULL,
    title VARCHAR NOT NULL,
    sortKey VARCHAR NOT NULL,
    PRIMARY KEY (categoryId, localeId)
);
INSERT INTO "categoryLang" VALUES(2,1,'Soups','KCOEK    ');
INSERT INTO "categoryLang" VALUES(2,2,'Suppen','KOEE/A
▒       ');
INSERT INTO "categoryLang" VALUES(2,3,'Soupes','KCOE/K
▒       ');
INSERT INTO "categoryLang" VALUES(2,4,'Sopas','KCE''K   ');
INSERT INTO "categoryLang" VALUES(2,5,'Zuppe, passati e 
minestre','YOEE/E''KK''M7/?7A/KMI/▒');
INSERT INTO "categoryLang" VALUES(2,6,'Sopas','KCE''K   ');
INSERT INTO "categoryLang" VALUES(2,7,'Zupy','YOE▒');
[...]

.dump dataExt
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE dataExt (
    dataExtType_id INTEGER NOT NULL PRIMARY KEY,
    value VARCHAR NOT NULL
);
INSERT INTO "dataExt" VALUES(1,'2.0.2');
INSERT INTO "dataExt" VALUES(2,'2016-06-09 15:03:58');
INSERT INTO "dataExt" VALUES(3,'0');
COMMIT;

.dump metadata
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE metadata (
    typeId UNSIGNED BIGINT NOT NULL PRIMARY KEY,
    value VARCHAR);
INSERT INTO "metadata" VALUES(1,NULL);
INSERT INTO "metadata" VALUES(4,NULL);
INSERT INTO "metadata" VALUES(5,NULL);
INSERT INTO "metadata" VALUES(6,NULL);
INSERT INTO "metadata" VALUES(7,NULL);
INSERT INTO "metadata" VALUES(10,NULL);
INSERT INTO "metadata" VALUES(3,'6');
INSERT INTO "metadata" VALUES(2,'2');
INSERT INTO "metadata" VALUES(8,'3');
COMMIT;


.dump recipeSignature
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE recipeSignature (
    recipeId UNSIGNED BIGINT NOT NULL REFERENCES recipeBin ON DELETE 
CASCADE ON UPDATE CASCADE,
    typeId INTEGER NOT NULL,
    signature VARCHAR NOT NULL,
    PRIMARY KEY (recipeId, typeId)
);
INSERT INTO "recipeSignature" 
VALUES(47857,101,'6af76679f19201dbb287016da4ef78aff06218b7430f40bdbe8afb 
e794804ec119d2289f6285393ca57dff8d99327507fa6f17d47b403be6d68a5694f3f3f2 
944137b31d2f02132af03e3be18bb6ac45eebfb0afd17d36c9b28fde1d61b687d83576c0 
7e1e2d3581da553bd5f712f1ecc07ad81ea687d457b1640042122fc68ea58d5128d21045 
99b1a269b4019df14c2ab1db0adf403c639fe933a24b81f638b705bd202342be476abad6 
e6413698d2f064347b6b4b391e0a469e28e31c99da545efeac36dae1304644953eda2ce7 
3cfeb499f9f900b8bd99340dfc799c4b0fd54f1c3f67a3cd39e15aa925659c752b2804ce 
83c6a6a8f739b3579a5a53c573');
[...]



sqlite3 settings_cloud.sdb
SQLite version 3.11.0 2016-02-15 17:29:24
Enter ".help" for usage hints.
sqlite> .tables
dataCloud              settingsCloudApp       vendorMapping
dataCloudType          settingsCloudAppDebug

.dump dataCloud
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE dataCloud (
    dataCloudType_id INTEGER NOT NULL PRIMARY KEY REFERENCES 
dataCloudType ON DELETE CASCADE ON UPDATE RESTRICT,
    value VARCHAR NOT NULL
);
INSERT INTO "dataCloud" VALUES(1,'1.0.2');
INSERT INTO "dataCloud" VALUES(2,'2014-10-24 11:32:44');
COMMIT;

 .dump dataCloudType
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE dataCloudType (
    id INTEGER NOT NULL PRIMARY KEY,
    type VARCHAR NOT NULL
);
INSERT INTO "dataCloudType" VALUES(1,'cloudSettingsDbVersion');
INSERT INTO "dataCloudType" VALUES(2,'cloudSettingsDbDate');

sqlite> .dump settingsCloudApp
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE "settingsCloudApp" ("id" INTEGER PRIMARY KEY  NOT NULL 
,"remoteAddress" CLOB NOT NULL ,"TCPPort" INTEGER NOT NULL ,"remotePath" 
CLOB NOT NULL ,"pingAddress" CLOB NOT NULL );
INSERT INTO "settingsCloudApp" 
VALUES(1,'css.tmecosys.com',443,'/ws','l.root-servers.net');

sqlite> .dump settingsCloudAppDebug
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE "settingsCloudAppDebug" ("id" INTEGER PRIMARY KEY  NOT NULL 
,"mac" STRING NOT NULL ,"ssn" STRING NOT NULL );
INSERT INTO "settingsCloudAppDebug" 
VALUES(1,'AABBCCDDEEFF','0123456789ABCDEF');
COMMIT;

sqlite> .dump vendorMapping
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE "vendorMapping" ("id" INTEGER PRIMARY KEY  NOT NULL 
,"vendor_id" VARCHAR NOT NULL ,"vendor_char" VARCHAR NOT NULL );
INSERT INTO "vendorMapping" VALUES(1,'001343','A');
COMMIT;

The tm5.img can not be mounted (using e.g., losetup in aes128 mode with 
the password in the cookey.txt file). Cryptsetup does not recognize it 
as a LUKS volume:
cryptsetup luksDump tm5.img
Device tm5.img is not a valid LUKS device.

so that's it for partition 1. Moving to partition 2:
cd ../d2
ls
15272373012203516.ell  ext.sdb  ext.sdb-wal  material 
settings_cloud.sdb  tm5.img


the only new item is 15272373012203516.ell which seems purely random 
(according to strings/hexdump output and analysis with binwalk).


The one thing that bothers me is that we seem to know where updates are 
being downloaded from but Ican't figure a way to build the exact URL to 
attempt retrieving e.g., the latest firmware.

von Stephan K. (stylon)


Lesenswert?

I've inspected the main executable /opt/Thermomix/Thermomix a bit and 
found the class KeyStoreDevice which seems to handle loading encryption 
keys from /dev/ks via an ioctl. Do we have access to the kernel source 
code?

von Schang S. (Firma: keine) (schang)


Lesenswert?

Hi,

We don't have access to the kernel as we are missing the /boot volume in 
the dump that was provided.

Beitrag #5329902 wurde vom Autor gelöscht.
von Ikaro P. (ikaro_p)


Lesenswert?

Getting kernel out is going to be bit harder as it seems to be stored as 
a raw bootstream on the first flash chip. There are some hints on using 
OTP keys for security, but they seems to be set to 0s for now. My root 
access is still "tethered" but I might be getting closer to a perma-root 
soon.

# dmesg
[    0.000000] Linux version 2.6.35.14-571-gcca29a0 
(jenkins@tm5dev-VirtualBox) (gcc version 4.4.4 (4.4.4_09.06.2010) ) #1 
PREEMPT Mon May 23 11:22:20 CEST 2016
[    0.000000] CPU: ARM926EJ-S [41069265] revision 5 (ARMv5TEJ), 
cr=00053177
[    0.000000] CPU: VIVT data cache, VIVT instruction cache
[    0.000000] Machine: Freescale MX28EVK board
[    0.000000] Memory policy: ECC disabled, Data cache writeback
[    0.000000] On node 0 totalpages: 32768
[    0.000000] free_area_init_node: node 0, pgdat c0401f8c, node_mem_map 
c0432000
[    0.000000]   DMA zone: 32 pages used for memmap
[    0.000000]   DMA zone: 0 pages reserved
[    0.000000]   DMA zone: 4064 pages, LIFO batch:0
[    0.000000]   Normal zone: 224 pages used for memmap
[    0.000000]   Normal zone: 28448 pages, LIFO batch:7
[    0.000000] Built 1 zonelists in Zone order, mobility grouping on. 
Total pages: 32512
[    0.000000] Kernel command line: -e console= ro gpmi ubi.mtd=1 
rootfstype=squashfs root=254:0 lpj=1130496 vt.global_cursor_default=0 
quiet
[    0.000000] PID hash table entries: 512 (order: -1, 2048 bytes)
[    0.000000] Dentry cache hash table entries: 16384 (order: 4, 65536 
bytes)
[    0.000000] Inode-cache hash table entries: 8192 (order: 3, 32768 
bytes)
[    0.000000] Memory: 128MB = 128MB total
[    0.000000] Memory: 125652k/125652k available, 5420k reserved, 0K 
highmem
[    0.000000] Virtual kernel memory layout:
[    0.000000]     vector  : 0xffff0000 - 0xffff1000   (   4 kB)
[    0.000000]     fixmap  : 0xfff00000 - 0xfffe0000   ( 896 kB)
[    0.000000]     DMA     : 0xfde00000 - 0xffe00000   (  32 MB)
[    0.000000]     vmalloc : 0xc8800000 - 0xf0000000   ( 632 MB)
[    0.000000]     lowmem  : 0xc0000000 - 0xc8000000   ( 128 MB)
[    0.000000]     modules : 0xbf000000 - 0xc0000000   (  16 MB)
[    0.000000]       .init : 0xc0008000 - 0xc0040000   ( 224 kB)
[    0.000000]       .text : 0xc0040000 - 0xc03dd000   (3700 kB)
[    0.000000]       .data : 0xc03de000 - 0xc0402980   ( 147 kB)
[    0.000000] SLUB: Genslabs=11, HWalign=32, Order=0-3, MinObjects=0, 
CPUs=1, Nodes=1
[    0.000000] Hierarchical RCU implementation.
[    0.000000]  RCU-based detection of stalled CPUs is disabled.
[    0.000000]  Verbose stalled-CPUs detection is disabled.
[    0.000000] NR_IRQS:288
[    0.000000] Console: colour dummy device 80x30
[    0.000000] Calibrating delay loop (skipped) preset value.. 226.09 
BogoMIPS (lpj=1130496)
[    0.000000] pid_max: default: 4096 minimum: 301
[    0.000000] Mount-cache hash table entries: 512
[    0.000000] CPU: Testing write buffer coherency: ok
[    0.000000] regulator: core version 0.5
[    0.000000] NET: Registered protocol family 16
[    0.000000] regulator: vddd: 800 <--> 1575 mV at 1500 mV fast normal
[    0.000000] regulator: vdddbo: 800 <--> 1575 mV fast normal
[    0.000000] regulator: vdda: 1500 <--> 2275 mV at 1800 mV fast normal
[    0.000000] vddio = 3380000, val=10
[    0.010000] regulator: vddio: 2880 <--> 3680 mV at 3380 mV fast 
normal
[    0.010000] regulator: overall_current: fast normal
[    0.010000] regulator: vbus5v:
[    0.010000] regulator: mxs-duart-1: fast normal
[    0.010000] regulator: mxs-bl-1: fast normal
[    0.010000] regulator: mxs-i2c-1: fast normal
[    0.010000] regulator: mmc_ssp-1: fast normal
[    0.010000] regulator: mmc_ssp-2: fast normal
[    0.010000] regulator: charger-1: fast normal
[    0.010000] regulator: power-test-1: fast normal
[    0.010000] regulator: cpufreq-1: fast normal
[    0.010000] i.MX IRAM pool: 120 KB@0xc8820000
[    0.010000] Initializing GPMI pins
[    0.020000] bio: create slab <bio-0> at 0
[    0.020000] SCSI subsystem initialized
[    0.020000] usbcore: registered new interface driver usbfs
[    0.020000] usbcore: registered new interface driver hub
[    0.030000] usbcore: registered new device driver usb
[    0.030000] Advanced Linux Sound Architecture Driver Version 1.0.23.
[    0.030000] cfg80211: Calling CRDA to update world regulatory domain
[    0.030000] Switching to clocksource mxs clock source
[    0.040000] NET: Registered protocol family 2
[    0.040000] IP route cache hash table entries: 1024 (order: 0, 4096 
bytes)
[    0.040000] TCP established hash table entries: 4096 (order: 3, 32768 
bytes)
[    0.040000] TCP bind hash table entries: 4096 (order: 2, 16384 bytes)
[    0.040000] TCP: Hash tables configured (established 4096 bind 4096)
[    0.040000] TCP reno registered
[    0.040000] NET: Registered protocol family 1
[    0.040000] Bus freq driver module loaded
[    0.040000] IMX usb wakeup probe
[    0.050000] the wakeup pdata is 0xc03e5b34
[    0.050000] usb h1 wakeup device is registered
[    0.050000] squashfs: version 4.0 (2009/01/31) Phillip Lougher
[    0.050000] msgmni has been set to 245
[    0.050000] cryptodev: driver loaded.
[    0.050000] Block layer SCSI generic (bsg) driver version 0.4 loaded 
(major 254)
[    0.050000] io scheduler noop registered
[    0.050000] io scheduler deadline registered
[    0.050000] io scheduler cfq registered (default)
[    0.070000] Programming PFD=20,DIV=48 ref_pix=432MHz PIXCLK=9MHz 
cycle=222.222ns
[    0.080000] Console: switching to colour frame buffer device 60x34
[    0.090000] mxs-duart.0: ttyAM0 at MMIO 0x80074000 (irq = 47) is a 
DebugUART
[    0.090000] mxs-auart.0: ttySP0 at MMIO 0x8006a000 (irq = 112) is a 
mxs-auart.0
[    0.090000] Found APPUART 3.1.0
[    0.090000] mxs-auart.1: ttySP1 at MMIO 0x8006c000 (irq = 113) is a 
mxs-auart.1
[    0.090000] Found APPUART 3.1.0
[    0.100000] loop: module loaded
[    0.100000] i.MX GPMI NFC
[    0.100000] NFC: Version 1, 8-chip GPMI and BCH
[    0.100000] Boot ROM: Version 1, Single-chip boot area, block mark 
swapping supported
[    0.100000] Scanning for NAND Flash chips...
[    0.100000] NAND device: Manufacturer ID: 0xc2, Chip ID: 0xf1 
(Macronix NAND 128MiB 3,3V 8-bit)
[    0.140000] -----------------------------
[    0.140000] NAND Flash Device Information
[    0.140000] -----------------------------
[    0.140000] Manufacturer      : Macronix (0xc2)
[    0.140000] Device Code       : 0xf1
[    0.140000] Cell Technology   : SLC
[    0.140000] Chip Size         : 128 MiB
[    0.140000] Pages per Block   : 64
[    0.140000] Page Geometry     : 2048+64
[    0.140000] ECC Strength      : 1 bits
[    0.140000] ECC Size          : 512 B
[    0.140000] Data Setup Time   : 5 ns
[    0.140000] Data Hold Time    : 5 ns
[    0.140000] Address Setup Time: 15 ns
[    0.140000] GPMI Sample Delay : 6 ns
[    0.140000] tREA              : 20 ns
[    0.140000] tRLOH             : 4294967295 ns
[    0.140000] tRHOH             : 4294967295 ns
[    0.140000] Description       : MX30LF1G08AA
[    0.140000] -----------------
[    0.140000] Physical Geometry
[    0.140000] -----------------
[    0.140000] Chip Count             : 1
[    0.140000] Page Data Size in Bytes: 2048 (0x800)
[    0.140000] Page OOB Size in Bytes : 64
[    0.140000] Block Size in Bytes    : 131072 (0x20000)
[    0.140000] Block Size in Pages    : 64 (0x40)
[    0.140000] Chip Size in Bytes     : 134217728 (0x8000000)
[    0.140000] Chip Size in Pages     : 65536 (0x10000)
[    0.140000] Chip Size in Blocks    : 1024 (0x400)
[    0.140000] Medium Size in Bytes   : 134217728 (0x8000000)
[    0.140000] ------------
[    0.140000] NFC Geometry
[    0.140000] ------------
[    0.140000] ECC Algorithm          : BCH
[    0.140000] ECC Strength           : 8
[    0.140000] Page Size in Bytes     : 2112
[    0.140000] Metadata Size in Bytes : 10
[    0.140000] ECC Chunk Size in Bytes: 512
[    0.140000] ECC Chunk Count        : 4
[    0.140000] Payload Size in Bytes  : 2048
[    0.140000] Auxiliary Size in Bytes: 16
[    0.140000] Auxiliary Status Offset: 12
[    0.140000] Block Mark Byte Offset : 1999
[    0.140000] Block Mark Bit Offset  : 0
[    0.140000] -----------------
[    0.140000] Boot ROM Geometry
[    0.140000] -----------------
[    0.140000] Boot Area Count            : 1
[    0.140000] Boot Area Size in Bytes    : 13107200 (0xc80000)
[    0.140000] Stride Size in Pages       : 64
[    0.140000] Search Area Stride Exponent: 3
[    0.140000] Scanning device for bad blocks
[    0.140000] Bad eraseblock REDACTED at 0xREDACTED
[    0.170000] Bad eraseblock REDACTED at 0xREDACTED
[    0.180000] Bad eraseblock REDACTED at 0xREDACTED
[    0.200000] Bad eraseblock REDACTED at 0xREDACTED
[    0.220000] Bad eraseblock REDACTED at 0xREDACTED
[    0.230000] -----------------------------
[    0.230000] NAND Flash Device Information
[    0.230000] -----------------------------
[    0.230000] Manufacturer      : Macronix (0xc2)
[    0.230000] Device Code       : 0xf1
[    0.230000] Cell Technology   : SLC
[    0.230000] Chip Size         : 128 MiB
[    0.230000] Pages per Block   : 64
[    0.230000] Page Geometry     : 2048+64
[    0.230000] ECC Strength      : 1 bits
[    0.230000] ECC Size          : 512 B
[    0.230000] Data Setup Time   : 5 ns
[    0.230000] Data Hold Time    : 5 ns
[    0.230000] Address Setup Time: 15 ns
[    0.230000] GPMI Sample Delay : 6 ns
[    0.230000] tREA              : 20 ns
[    0.230000] tRLOH             : 4294967295 ns
[    0.230000] tRHOH             : 4294967295 ns
[    0.230000] Description       : MX30LF1G08AA
[    0.230000] ------------
[    0.230000] NFC Geometry
[    0.230000] ------------
[    0.230000] ECC Algorithm          : BCH
[    0.230000] ECC Strength           : 8
[    0.230000] Page Size in Bytes     : 2112
[    0.230000] Metadata Size in Bytes : 10
[    0.230000] ECC Chunk Size in Bytes: 512
[    0.230000] ECC Chunk Count        : 4
[    0.230000] Payload Size in Bytes  : 2048
[    0.230000] Auxiliary Size in Bytes: 16
[    0.230000] Auxiliary Status Offset: 12
[    0.230000] Block Mark Byte Offset : 1999
[    0.230000] Block Mark Bit Offset  : 0
[    0.230000] Boot area protection is enabled.
[    0.230000] Creating 2 MTD partitions on "gpmi-nfc-main":
[    0.230000] 0x000000000000-0x000000c80000 : "gpmi-nfc-0-boot"
[    0.230000] 0x000000c80000-0x000008000000 : "gpmi-nfc-general-use"
[    0.230000] UBI: attaching mtd1 to ubi0
[    0.230000] UBI: physical eraseblock size:   131072 bytes (128 KiB)
[    0.230000] UBI: logical eraseblock size:    126976 bytes
[    0.230000] UBI: smallest flash I/O unit:    2048
[    0.230000] UBI: VID header offset:          2048 (aligned 2048)
[    0.230000] UBI: data offset:                4096
[    0.790000] UBI: attached mtd1 to ubi0
[    0.790000] UBI: MTD device name:            "gpmi-nfc-general-use"
[    0.790000] UBI: MTD device size:            115 MiB
[    0.790000] UBI: number of good PEBs:        920
[    0.790000] UBI: number of bad PEBs:         4
[    0.790000] UBI: max. allowed volumes:       128
[    0.790000] UBI: wear-leveling threshold:    4096
[    0.790000] UBI: number of internal volumes: 1
[    0.790000] UBI: number of user volumes:     3
[    0.790000] UBI: available PEBs:             0
[    0.790000] UBI: total number of reserved PEBs: 920
[    0.790000] UBI: number of PEBs reserved for bad PEB handling: 27
[    0.790000] UBI: max/mean erase counter: 39/16
[    0.790000] UBI: image sequence number: 1768905211
[    0.790000] UBI: background thread "ubi_bgt1d" started, PID 18
[    0.790000]  ubiblka:
[    0.790000] UBI: background thread "ubi_bgt0d" started, PID 17
[    0.790000]  unknown partition table
[    0.790000]  ubiblkb: unknown partition table
[    0.800000]  ubiblkc: unknown partition table
[    0.800000] PPP generic driver version 2.4.2
[    0.800000] PPP Deflate Compression module registered
[    0.800000] usbcore: registered new interface driver usb8xxx
[    0.800000] usbcore: registered new interface driver cdc_acm
[    0.800000] cdc_acm: v0.26:USB Abstract Control Model driver for USB 
modems and ISDN adapters
[    0.800000] Probing ALPMXS driver
[    0.800000] input: alpmxs-rotary-encoder as 
/devices/platform/alpmxs-rotary-encoder.0/input/input0
[    0.800000] mxs watchdog: initialized, heartbeat 19 sec
[    0.800000] dcp dcp.0: DCP crypto enabled.!
[    0.800000] key_store: driver loaded
[    0.820000] sgtl5000-i2c 0-000a: SGTL5000 revision 17
[    0.820000] No device for DAI mxs-saif
[    0.820000] asoc: SGTL5000 <-> mxs-saif mapping ok
[    0.860000] Failed to add route LINE_OUT->Ext Spk
[    0.860000] ALSA device list:
[    0.860000]   #0: mxs-evk (SGTL5000)
[    0.860000] TCP cubic registered
[    0.860000] NET: Registered protocol family 17
[    0.860000] Touchscreen driver init called.
[    0.860000] Touchscreen driver probe called.
[    0.860000] nt1103-ts 0-0001: Install touch driver.
[    1.030000] nt1103-ts 0-0001: 
test_data[1]=187,test_data[2]=245,test_data[3]=190,test_data[4]=242,test 
_data[5]=0
[    1.030000] nt1103-ts 0-0001: Configuration read: 0C F3 12 0A 04 40 
02 40 0A 02 04 00 00 01 04
[    1.030000] nt1103-ts 0-0001: ts->x_num = 18
[    1.030000] nt1103-ts 0-0001: ts->y_num = 10
[    1.030000] nt1103-ts 0-0001: ts->abs_x_max = 1088
[    1.030000] nt1103-ts 0-0001: ts->abs_y_max = 576
[    1.030000] nt1103-ts 0-0001: ts->max_touch_num = 2
[    1.030000] nt1103-ts 0-0001: ts->max_button_num = 4
[    1.030000] nt1103-ts 0-0001: ts->int_trigger_type = 0
[    1.030000] nt1103-ts 0-0001: ts->fwVersion = V243
[    1.030000] nt1103-ts 0-0001: ts->chipID = 4
[    1.030000] nt1103-ts 0-0001: Touchscreen works in IIC wake-up green 
mode
[    1.070000] nt1103-ts 0-0001: Date code read: 32 32 32 32 32 30 30 30 
30 30 30 2D 30 30 30 30
[    1.070000] nt1103-ts 0-0001: Date code signature check failed! (2)
[    1.090000] input: Nt11003 Capacitive TouchScreen as 
/devices/virtual/input/input1
[    1.090000] nt1103-ts 0-0001: FW version = 243
[    1.110000] NT11004 IOCTL: successfully initialized
[    1.130000] nt1103-ts 0-0001: Reques EIRQ 264 succesd on GPIO:136
[    1.130000] nt1103-ts 0-0001: Start Nt11003 Capacitive TouchScreen in 
interrupt mode
[    1.130000] Warning: unable to open an initial console.
[    1.130000] VFS: Mounted root (squashfs filesystem) readonly on 
device 254:0.
[    1.970000] UBIFS: mounted UBI device 0, volume 2, name "data"
[    1.970000] UBIFS: file system size:   71868416 bytes (70184 KiB, 68 
MiB, 566 LEBs)
[    1.970000] UBIFS: journal size:       9023488 bytes (8812 KiB, 8 
MiB, 72 LEBs)
[    1.970000] UBIFS: media format:       w4/r0 (latest is w4/r0)
[    1.970000] UBIFS: default compressor: zlib
[    1.970000] UBIFS: reserved for root:  0 bytes (0 KiB)
[   11.350000] Running do_deferred_initcalls()
[   11.350000] usbcore: registered new interface driver asix
[   11.350000] usbcore: registered new interface driver ax88179_178a
[   11.350000] usbcore: registered new interface driver MOSCHIP 
usb-ethernet driver
[   11.350000] ehci_hcd: USB 2.0 'Enhanced' Host Controller (EHCI) 
Driver
[   11.360000] fsl-ehci fsl-ehci: Freescale On-Chip EHCI Host Controller
[   11.360000] fsl-ehci fsl-ehci: new USB bus registered, assigned bus 
number 1
[   11.390000] fsl-ehci fsl-ehci: irq 92, io base 0x80090000
[   11.410000] fsl-ehci fsl-ehci: USB 2.0 started, EHCI 1.00
[   11.410000] hub 1-0:1.0: USB hub found
[   11.410000] hub 1-0:1.0: 1 port detected
[   11.410000] Initializing USB Mass Storage driver...
[   11.410000] usbcore: registered new interface driver usb-storage
[   11.410000] USB Mass Storage support registered.
[   11.410000] Freeing init memory: 224K
... REDACTED


# cat /proc/devices
cat /proc/devices
Character devices:
  1 mem
  4 /dev/vc/0
  4 tty
  5 /dev/tty
  5 /dev/console
  5 /dev/ptmx
  7 vcs
 10 misc
 13 input
 14 sound
 29 fb
 90 mtd
100 nt1104-ioctl
108 ppp
116 alsa
128 ptm
136 pts
166 ttyACM
180 usb
189 usb_device
204 ttyAM
242 ttySP
253 ubi0
254 bsg

Block devices:
259 blkext
  7 loop
  8 sd
 11 sr
 65 sd
 66 sd
 67 sd
 68 sd
 69 sd
 70 sd
 71 sd
128 sd
129 sd
130 sd
131 sd
132 sd
133 sd
134 sd
135 sd
254 ubiblk
/usr/sbin # ls /dev/ubiblk
ls /dev/ubiblk
ls: /dev/ubiblk: No such file or directory
/usr/sbin # ls -l /dev/ubi*
ls -l /dev/ubi*
crw-rw-rw-    1 root     root     253,   1 May 23  2016 /dev/ubi0_0
crw-rw-rw-    1 root     root     253,   2 May 23  2016 /dev/ubi0_1
crw-rw-rw-    1 root     root     253,   3 May 23  2016 /dev/ubi0_2
/usr/sbin # mount
mount
rootfs on / type rootfs (rw)
/dev/root on / type squashfs (ro,relatime)
proc on /proc type proc (rw,relatime)
sys on /sys type sysfs (rw,relatime)
rwfs on /mnt/rwfs type tmpfs (rw,relatime,size=512k)
rwfs on /tmp type tmpfs (rw,relatime,size=512k)
rwfs on /var type tmpfs (rw,relatime,size=512k)
rwfs on /etc type tmpfs (rw,relatime,size=512k)
devpts on /dev/pts type devpts (rw,relatime,gid=5,mode=620)
ubi0:data on /mnt/rwfs/data type ubifs (rw,noexec,relatime,compr=zlib)
/tmp/dev/sda1 on /tmp/sda1 type ext2 
(ro,relatime,barrier=1,stripe=128,data=ordered)
/tmp/dev/sda2 on /tmp/sda2 type ext4 
(rw,noatime,commit=2,barrier=1,nodelalloc,data=journal)

# kobs-ng dump -v
kobs-ng dump -v
MTD CONFIG:
  chip_0_device_path = "/dev/mtd0"
  chip_1_device_path = "(null)"
  search_exponent = 3
  data_setup_time = 40
  data_hold_time = 40
  address_setup_time = 40
  data_sample_time = 6
  row_address_size = 3
  column_address_size = 2
  read_command_code1 = 0
  read_command_code2 = 48
  boot_stream_major_version = 1
  boot_stream_minor_version = 0
  boot_stream_sub_version = 0
  ncb_version = 3
  boot_stream_1_address = 0
  boot_stream_2_address = 0
mtd: opening: "/dev/mtd0"
mtd: '/dev/mtd0' bad block @ REDACTED (MTD)
NFC Geometry
  ECC Algorithm          : BCH
  ECC Strength           : 8
  Page Size in Bytes     : 2112
  Metadata Size in Bytes : 10
  ECC Chunk Size in Bytes: 512
  ECC Chunk Count        : 4
  Payload Size in Bytes  : 2048
  Auxiliary Size in Bytes: 16
  Auxiliary Status Offset: 12
  Block Mark Byte Offset : 1999
  Block Mark Bit Offset  : 0
mtd: opened '/dev/mtd0' - '(null)'
mtd: partition #0
  type = 4
  flags = 1024
  size = 13107200
  erasesize = 131072
  writesize = 2048
  oobsize = 64
  blocks = 100
  BAD: REDACTED
mtd: valid FCB found @0:0x0
mtd: valid DBBT found @0:0x100000
  m_u32Checksum = -3280
  m_u32FingerPrint = 541213510
  m_u32Version = 16777216
FCB
  m_NANDTiming.m_u8DataSetup = 40
  m_NANDTiming.m_u8DataHold = 40
  m_NANDTiming.m_u8AddressSetup = 40
  m_NANDTiming.m_u8DSAMPLE_TIME = 6
  m_u32DataPageSize = 2048
  m_u32TotalPageSize = 2112
  m_u32SectorsPerBlock = 64
  m_u32NumberOfNANDs = 0
  m_u32TotalInternalDie = 0
  m_u32CellType = 0
  m_u32EccBlockNEccType = 4
  m_u32EccBlock0Size = 512
  m_u32EccBlockNSize = 512
  m_u32EccBlock0EccType = 4
  m_u32MetadataBytes = 10
  m_u32NumEccBlocksPerPage = 3
  m_u32EccBlockNEccLevelSDK = 0
  m_u32EccBlock0SizeSDK = 0
  m_u32EccBlockNSizeSDK = 0
  m_u32EccBlock0EccLevelSDK = 0
  m_u32NumEccBlocksPerPageSDK = 0
  m_u32MetadataBytesSDK = 0
  m_u32EraseThreshold = 0
  m_u32BootPatch = 0
  m_u32PatchSectors = 0
  m_u32Firmware1_startingSector = 1024
  m_u32Firmware2_startingSector = 3712
  m_u32SectorsInFirmware1 = 1101
  m_u32SectorsInFirmware2 = 1101
  m_u32DBBTSearchAreaStartAddress = 512
  m_u32BadBlockMarkerByte = 1999
  m_u32BadBlockMarkerStartBit = 0
  m_u32BBMarkerPhysicalOffset = 2048
  m_u32NumberBB = 1
  m_u32Number2KPagesBB = 1
Firmware: image #0 @ 0x200000 size 0x226800 - available 0x540000
Firmware: image #1 @ 0x740000 size 0x226800 - available 0x540000
TM41
  m_u32UpdateStatus = 0
BBTN
  uNAND = 0
  uNumberBB = 1
  BADBLOCKS:
     REDACTED
/ # kobs-ng extract -v -z -0 /tmp/sda2/bootstream0
kobs-ng extract -v -z -0 /tmp/sda2/bootstream0
MTD CONFIG:
  chip_0_device_path = "/dev/mtd0"
  chip_1_device_path = "(null)"
  search_exponent = 3
  data_setup_time = 40
  data_hold_time = 40
  address_setup_time = 40
  data_sample_time = 6
  row_address_size = 3
  column_address_size = 2
  read_command_code1 = 0
  read_command_code2 = 48
  boot_stream_major_version = 1
  boot_stream_minor_version = 0
  boot_stream_sub_version = 0
  ncb_version = 3
  boot_stream_1_address = 0
  boot_stream_2_address = 0
mtd: opening: "/dev/mtd0"
mtd: '/dev/mtd0' bad block @ REDACTED (MTD)
NFC Geometry
  ECC Algorithm          : BCH
  ECC Strength           : 8
  Page Size in Bytes     : 2112
  Metadata Size in Bytes : 10
  ECC Chunk Size in Bytes: 512
  ECC Chunk Count        : 4
  Payload Size in Bytes  : 2048
  Auxiliary Size in Bytes: 16
  Auxiliary Status Offset: 12
  Block Mark Byte Offset : 1999
  Block Mark Bit Offset  : 0
mtd: opened '/dev/mtd0' - '(null)'
mtd: partition #0
  type = 4
  flags = 1024
  size = 13107200
  erasesize = 131072
  writesize = 2048
  oobsize = 64
  blocks = 100
  BAD: REDACTED
mtd: valid FCB found @0:0x0
mtd: valid DBBT found @0:0x100000
startpage=1024, size=1101
/tmp/sda2/bootstream0: verifying using key 
'00000000000000000000000000000000'
boot image header:
  m_digest = f7c2ca53f8334064b88a0b73ecbf6407ac831b16
  m_signature = STMP
  m_majorVersion = 1
  m_minorVersion = 1
  m_flags = ROM_DISPLAY_PROGRESS (1)
  m_imageBlocks = 140814
  m_firstBootTagBlock = 9
  m_firstBootableSectionID = 0
  m_keyCount = 1
  m_keyDictionaryBlock = 7
  m_headerBlocks = 6
  m_sectionCount = 1
  m_sectionHeaderSize = 1
  m_timestamp = REDACTED
  m_productVersion.m_major = 0x9909
  m_productVersion.m_minor = 0x9909
  m_productVersion.m_revision = 0x9909
  m_componentVersion.m_major = 0x9909
  m_componentVersion.m_minor = 0x9909
  m_componentVersion.m_revision = 0x9909
  m_driveTag = 0
* Using user supplied key='00000000000000000000000000000000'
section header #0:
  m_identifier = 0
  m_offset = 10
  m_length = 140802
  m_flags = ROM_SECTION_BOOTABLE (0x1)
* calculated-mac = 8004eef4307572cdb125ab3af9d3e7d3
dek dictionary entry #0:
  m_mac = ca8e70ddf85c07801206b40f3397459f
  m_dek = f9b7c852a484a430f7d5eba2855b231e
Unable to find a matching key dictionary
/tmp/sda2/bootstream0: is a valid bootstream for key 
'00000000000000000000000000000000'

/ # ls -l /tmp/sda2/bootstream0
-rw-r--r--    1 root     root       118124 Jan  1 00:49 bootstream0

This is obviously too small for a kernel, so the bootstream needs to be 
decoded first which would yield a pagelist to be loaded from the NAND.

von Ikaro P. (ikaro_p)


Lesenswert?

(and I just doxxed myself, oh... well...)

von Bimby T. (bimby)


Lesenswert?

Ikaro P. schrieb:
> Getting kernel out is going to be bit harder as it seems to be stored as
> a raw bootstream on the first flash chip. There are some hints on using
> OTP keys for security, but they seems to be set to 0s for now. My root
> access is still "tethered" but I might be getting closer to a perma-root
> soon.

Great work Ikaro! I knew and know you can hack this "little" beast so we 
can build our own chips with our own recipes! :D

Have you or could you test if it would be possible to used unencrypted 
chips with the variable RDV at /etc/rc.d/rc.local changed to 1 (the "no 
support" is a probably a typo, as it activates the "Recipe Development 
Version"):

# set global variable RDV, which is then read by netlink
# Possible values: 0 - not RDV version, no support for pirated cookie
(EXT4 formatted cookie).
#                  1 - RDV version, no support for pirated cookie.
export RDV=0
echo "Set Recipe Development Version to $RDV"

: Bearbeitet durch User
Beitrag #5332172 wurde vom Autor gelöscht.
von Ikaro P. (ikaro_p)


Lesenswert?

Update on cooksticks encryption:

I managed to get GUI running in an emulator with a debugging mode
enabled so I can actually see what is the netlink trying to do when
cookstick is inserted.

NETLINK-INFO: 0h8m13s348ms: virtual void
KernelListener::processEvent(size_t) adding event
NL_ADD_STORAGE_PARTITION
[FSM] NETLINK-DEBUG: 0h8m13s349ms: [EVT-R] NL_ADD_STORAGE_PARTITION :
[/devices/pci0000:00/0000:00:0c.0/usb1/1-2/1-2:1.0/host1/target1:0:0/1:0
:0:0/block/sr1,  sr1]
NETLINK-DEBUG: 0h8m13s349ms: MAIN LOOP: started processing event:
NL_ADD_STORAGE_PARTITION
[/devices/pci0000:00/0000:00:0c.0/usb1/1-2/1-2:1.0/host1/target1:0:0/1:0
:0:0/block/sr1,  sr1]
NETLINK-DEBUG: 0h8m13s349ms: virtual void
GenericDeviceHandlingState::handleAddDevice(KernelEvent::DeviceType,
std::string, std::string)
NETLINK-DEBUG: 0h8m13s350ms: int ExecuteSystemCommand(std::string&) : rm
-f /tmp/dev/sr1
NETLINK-DEBUG: 0h8m13s450ms: int ExecuteSystemCommand(std::string&) :
mkdir -p /tmp/dev/
NETLINK-DEBUG: 0h8m13s469ms: int ExecuteSystemCommand(std::string&) :
mknod -m 644 /tmp/dev/loop1 b 7 1
NETLINK-DEBUG: 0h8m13s481ms: int ExecuteSystemCommand(std::string&) :
mknod -m 644 /tmp/dev/sr1 b 11 1
NETLINK-DEBUG: 0h8m13s496ms: int ExecuteSystemCommand(std::string&) :
mkdir -p /tmp/sr1
NETLINK-DEBUG: 0h8m13s516ms: int ExecuteSystemCommand(std::string&) :
losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1
NETLINK-ERROR: 0h8m13s937ms: System command losetup -e aes128 -P
/opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1 returned 1
NETLINK-DEBUG: 0h8m13s938ms: int ExecuteSystemCommand(std::string&) :
mount -o ro /tmp/dev/loop1 /tmp/sr1
NETLINK-ERROR: 0h8m14s93ms: System command mount -o ro /tmp/dev/loop1
/tmp/sr1 returned 255
NETLINK-INFO: 0h8m14s126ms: Storage partition found at /tmp/sr1/ (S/N:
REDACTED
)
NETLINK-ERROR: 0h8m14s127ms: No valid cookstick recognized

But as you can see this fails:
$ losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1
ioctl: LOOP_SET_STATUS: Invalid argument, requested cipher or key length
(128 bits) not supported by kernel

Running losetup through strace shows us the culprit:
[pid 30043] ioctl(4, LOOP_GET_STATUS64, {lo_offset=0, lo_number=1,
lo_flags=LO_FLAGS_READ_ONLY, lo_file_name="", ...}) = 0
[pid 30043] ioctl(4, LOOP_SET_STATUS64, {lo_offset=0, lo_number=0,
lo_encrypt_type=0x10 /* LO_CRYPT_??? */, lo_encrypt_key_size=16,
lo_flags=0, lo_file_name="/dev/sr1", lo_crypt_name="",
lo_encrypt_key="#7\245\221f\271N,\373\360\317]S\273\276X", ...}) = -1
EINVAL (Invalid argument)
[pid 30043] ioctl(4, LOOP_SET_STATUS, {lo_number=0, lo_offset=0,
lo_encrypt_type=0x10 /* LO_CRYPT_??? */, lo_encrypt_key_size=16,
lo_flags=0, lo_name="/dev/sr1",
lo_encrypt_key="#7\245\221f\271N,\373\360\317]S\273\276X", ...}) = -1
EINVAL (Invalid argument)
[pid 30043] ioctl(4, LOOP_GET_STATUS64, {lo_offset=0, lo_number=1,
lo_flags=LO_FLAGS_READ_ONLY, lo_file_name="", ...}) = 0
[pid 30043] ioctl(4, LOOP_SET_STATUS64, {lo_offset=0, lo_number=0,
lo_encrypt_type=LO_CRYPT_CRYPTOAPI, lo_encrypt_key_size=16, lo_flags=0,
lo_file_name="/dev/sr1", lo_crypt_name="aes-cbc",
lo_encrypt_key="#7\245\221f\271N,\373\360\317]S\273\276X", ...}) = -1
EINVAL (Invalid argument)
[pid 30043] ioctl(4, LOOP_SET_STATUS, {lo_number=0, lo_offset=0,
lo_encrypt_type=LO_CRYPT_CRYPTOAPI, lo_encrypt_key_size=16, lo_flags=0,
lo_name="aes-cbc",
lo_encrypt_key="#7\245\221f\271N,\373\360\317]S\273\276X", ...}) = -1
EINVAL (Invalid argument)
[pid 30043] openat(AT_FDCWD,
"/usr/share/locale/en_US/LC_MESSAGES/util-linux.mo", O_RDONLY) = -1
ENOENT (No such file or directory)
[pid 30043] openat(AT_FDCWD,
"/usr/share/locale/en/LC_MESSAGES/util-linux.mo", O_RDONLY) = -1 ENOENT
(No such file or directory)
[pid 30043] openat(AT_FDCWD,
"/usr/share/locale/en_US/LC_MESSAGES/libc.mo", O_RDONLY) = -1 ENOENT (No
such file or directory)
[pid 30043] openat(AT_FDCWD, "/usr/share/locale/en/LC_MESSAGES/libc.mo",
O_RDONLY) = -1 ENOENT (No such file or directory)
[pid 30043] write(2, "ioctl: LOOP_SET_STATUS: Invalid "..., 108ioctl:
LOOP_SET_STATUS: Invalid argument, requested cipher or key length (128
bits) not supported by kernel

The losetup binary is IFAIK not a vanilla one as it is trying to use
lo_encrypt_type=0x10 which is nowhere to be found on the internet. This
means we won't be able to decrypt cooksticks anywhere besides the
machine until we (I mean... until I :D) manage to extract the kernel and
revers-engineer the handler. Or maybe someone else here might get lucky
with the passed
lo_encrypt_key="#7\245\221f\271N,\373\360\317]S\273\276X" now?

I must once more commend Vorwerk for their job, as I've said before I do
security for living and as of now have never seen anything remotely good
as this. Well played Vorwerk, well played.

P.S. Comming soon might be a guide on running the GUI in an emulator,
for now it's not usable as the emulated touchscreen driver is sending
coordinated in 0-32768 range but the GUI needs them in screen pixels.
Clicking blindly in the left upper corner is just pain in the ass...

von Bimby T. (bimby)


Lesenswert?

Ikaro P. schrieb:
> Update on cooksticks encryption:
>
> I managed to get GUI running in an emulator with a debugging mode
> enabled so I can actually see what is the netlink trying to do when
> cookstick is inserted.

Ikaro, you are doing a great work, you are the men! I would be happy if 
I would have a little percentage of your knowledge... :)
If you could publish a guide for setting up the GUI on a emulator where 
we can then attach an image from the cooksticks (or the real ones) to 
test them out would be awesome...
Regarding the "losetup" binary, if it was changed by Vorwerk with some 
custom encryption type, then there should be the source code for this, 
as it should be open source, right? Should be ask for it at 
opensource@vorwerk.de?

Thanks for all your current and future work on this! :)

: Bearbeitet durch User
von Stephan K. (stylon)


Lesenswert?

Good so see more activity here :-)

Ikaro P. schrieb:
> Getting kernel out is going to be bit harder as it seems to be stored as
> a raw bootstream on the first flash chip. There are some hints on using
> OTP keys for security, but they seems to be set to 0s for now. My root
> access is still "tethered" but I might be getting closer to a perma-root
> soon.

Indeed, I also suspect them to be stored in the OTP bits of the MX28. 
What I can see from the code is that the driver must support at least 2 
ioctls. Both take an index (0..9) and one returns the length of the key 
and the other copies the key into a buffer to which you pass a pointer.

I also inspected the 'checkimg' executable and although it contains a 
lot of crypto functions statically linked in, it neither contains a 
single ioctl nor does it reference any external library. I'm sure that 
the firmware update key is statically linked into that executable.

> [    0.800000] key_store: driver loaded

That's the driver that handles the OTP crypto keys. To my surprise your 
kernel doesn't list the device under /proc/devices lateron explicitly. 
But it has major ID 10 (see /dev folder of your root filesystem) which 
is misc officially anyway and that is listed.

von Stephan K. (stylon)


Lesenswert?

Ikaro P. schrieb:
> I managed to get GUI running in an emulator with a debugging mode
> enabled so I can actually see what is the netlink trying to do when
> cookstick is inserted.

Is it possible to share that emulator setup?

von Sigma P. (sigmapic)


Lesenswert?

Ikaro P, how can you help you.
I'm lost in such deep linux world.

I don't how to continue on my side.

von Rui B. (rbarreiros)


Lesenswert?

Ikaro, are you able to access the contents of the /mnt/rwfs ?
Any chance of sharing the uboot and kernel to boot the squashfs on qemu 
?

Best regards,

von Andreas J. (dolar)


Lesenswert?

moin mädels,
wie damals angekündigt habe ich an einem html/js editor gebastelt. 
wollte ja eigentlich auf die endgültige struktur der datenbank warten 
bevor ich da weiter mache, aber ich habe hier so viele von "meinen" 
rezepten auf zetteln rumfliegen...
Sobald wir alle nötigen Daten haben um einen Export auf den Chip 
realisieren zu können (und der Editor dafür in Betracht kommt) steht 
einem gitProjekt nix im Wege. Ist alles unter GPL also kann jeder damit 
machen was er will.
Ich denke es ist immer leichter etwas zu verändern als von 0 zu starten 
also ab mit dem Teil in den upload...

hi girls,
i have uploaded a basic html/js editor for recipes that is waiting for 
more details about "the chip" to be usefull.
its very easy to implement another language so i hope that it could be 
used some day as our default editor to fill "the chip".

https://uploadfiles.io/euabu

von Gennadij D. (gennadij_d)


Lesenswert?

Warum braucht Ihr den Chip zu hacken?
Man kann doch die URL Adresse von Cookidoe Server abhören und durch DNS 
auf eigenen Server umleiten. Der Server wird dann die ganze Rezepte 
bereitstellen.
So ähnlich wurden die Apple TV Boxen gehackt.

von Michael W. (mwulz)


Lesenswert?

Gennadij D. schrieb:
> Warum braucht Ihr den Chip zu hacken?
> Man kann doch die URL Adresse von Cookidoe Server abhören und durch DNS
> auf eigenen Server umleiten. Der Server wird dann die ganze Rezepte
> bereitstellen.
> So ähnlich wurden die Apple TV Boxen gehackt.

Eben nicht!
Das ist alles SSL Verschlüsselt, da kannst nix mithören ;(

von Alexander S. (esko) Benutzerseite


Lesenswert?

@Gennadij Degterjow: Interessante Idee.

Michael W. schrieb:
> Das ist alles SSL Verschlüsselt, da kannst nix mithören ;(

Auf welche Domain wird denn zugegriffen?
Wird das Zertifikat ausreichend auf Korrektheit geprüft?
Reicht ein selbstsigniertes Zertifikat?

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Big thanks for your work, Ikaro P, we would not have any chance with 
that if we did not have 
you.(https://media3.giphy.com/media/3oEdva9BUHPIs2SkGk/giphy.gif) It 
seems like everyone else except you is stuck and because nobody seems to 
read the whole thread here, I think we should move to a subreddit with 
wiki to display all information orderly, like someone mentioned before. 
I will do that if I find any old reddit account of mine, I can not start 
a new subreddit with a just created account.

Ikaro P. schrieb:
> Sadly this is not possible for two reasons now:
> - the process of registration of the TM to the online system is probably
> the way the per device client certificate is issued and I think that one
> is used most of the time.
> - TM strictly enforces the verification of the server certificate.
> Public CA system is not used and the only certificates accepted must
> stem from Vorwerk's internal CA.
Did you ever notice that the per device certificate is used ? I dont got 
a TM5 by now, but there is a private cert key in your fw dump in 
/tmp/certificates/. Did someone ever really tried to fake the cookidoo 
website the TM5 is communicating with, or sniff some of the 
communication ?
This will be the first thing I will try when I got the TM5, as we could 
load our own recipes this way without any hardware modification. If the 
per device cert is really such important, could you register your TM to 
the online system and dump the fw again so we could look for the per 
device cert ?

Can anyone who sniffed the encrypted traffic share the capture here so I 
could try to decrypt the parts where the cert is used for that we 
already got the private key?

One other interesting thing would be to try to encrypt the offline 
recipes chip with the AES key found by you. I do not have any chip or 
the hardware to connect to it, but as I read here, some people allready 
got a working clone of the offline chip, and the problem with changing 
data on the chip is the verification with chip serial + AES key. We got 
that key now thanks to you. We should be able to change data on the 
stick now and that could also be a way to get our own recipes on the 
TM5.


Ikaro P. schrieb:
> P.S. Comming soon might be a guide on running the GUI in an emulator,
How did you emulate the touch screen ? I did not get further than "C530. 
Touch device not working.".

Thanks again for your great work, if there is anything you cannot say 
here please contact me at haschhans@emailn.de.

: Bearbeitet durch User
von Thomas H. (thomashhh)


Lesenswert?

Hans H. schrieb:
> Did you ever notice that the per device certificate is used ? I dont got
> a TM5 by now, but there is a private cert key in your fw dump in
> /tmp/certificates/. Did someone ever really tried to fake the cookidoo
> website the TM5 is communicating with, or sniff some of the
> communication ?

I sniffed the communication some time ago when the Cookidoo chip entered 
the market, and yes, they use client cert authentication aggressively. I 
don't have the capture at hand, but AFAIR the key only communicates with 
a single HTTPS endpoint that expects the client cert. The only exception 
would be a first unencrypted request to synchronize the device's time 
(think NTP over HTTP).

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Thomas H. schrieb:
> Hans H. schrieb:
>> Did you ever notice that the per device certificate is used ? I dont got
>> a TM5 by now, but there is a private cert key in your fw dump in
>> /tmp/certificates/. Did someone ever really tried to fake the cookidoo
>> website the TM5 is communicating with, or sniff some of the
>> communication ?
>
> I sniffed the communication some time ago when the Cookidoo chip entered
> the market, and yes, they use client cert authentication aggressively. I
> don't have the capture at hand, but AFAIR the key only communicates with
> a single HTTPS endpoint that expects the client cert. The only exception
> would be a first unencrypted request to synchronize the device's time
> (think NTP over HTTP).

Can you maybe do the sniff again if you don't have the capture ? I don't 
have the Cookidoo by now.

von Bimby T. (bimby)


Lesenswert?

Ikaro P. schrieb:

> NETLINK-DEBUG: 0h8m13s516ms: int ExecuteSystemCommand(std::string&) :
> losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1
> NETLINK-ERROR: 0h8m13s937ms: System command losetup -e aes128 -P
> /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1 returned 1
>
> But as you can see this fails:
> $ losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1
> ioctl: LOOP_SET_STATUS: Invalid argument, requested cipher or key length
> (128 bits) not supported by kernel
>
> The losetup binary is IFAIK not a vanilla one as it is trying to use
> lo_encrypt_type=0x10 which is nowhere to be found on the internet.

Hi Ikaro P.! I have found the source code for losetup that uses this 
encryption type: https://sourceforge.net/projects/loop-aes/

If we look at the samples 
(http://loop-aes.sourceforge.net/ciphers.README) we can see the 
following command:

losetup -p 0 -e AES128 /dev/loop0 /dev/hda666

This command is similar to the command used by the Thermomix:

losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1

Is it right? :)

I am not a programmer, but I think this is the needed part that will 
help complete the decryption method of the cookstick.

> P.S. Comming soon might be a guide on running the GUI in an emulator,
> for now it's not usable as the emulated touchscreen driver is sending
> coordinated in 0-32768 range but the GUI needs them in screen pixels.
> Clicking blindly in the left upper corner is just pain in the ass...

Can you please release the guide for running the Thermomix GUI even if 
the touchscreen driver is not fixed? Please? :)
Thanks!

Would be nice to see some update from you soon... Let's keep this 
project alive guys! :)

: Bearbeitet durch User
von Schang S. (Firma: keine) (schang)


Lesenswert?

This losetup option (notably -e aes128) correspond to an old version of 
losetup. The losetup binary inside the Thermomix does not have those 
options (which you'll be able to appreciate if you run it in qemu. I've 
also tried putting the old version that had those options inside the 
qemu image and that did not help deciphering the data).

von Bimby T. (bimby)


Lesenswert?

Schang S. schrieb:
> This losetup option (notably -e aes128) correspond to an old version of
> losetup. The losetup binary inside the Thermomix does not have those
> options (which you'll be able to appreciate if you run it in qemu. I've
> also tried putting the old version that had those options inside the
> qemu image and that did not help deciphering the data).

Hi Schang S.,
you need to apply this package 
(https://sourceforge.net/projects/loop-aes/) and compile the losetup 
binary with it (on the project page we can see: "Works with 4.x, 3.x, 
2.6, 2.4, 2.2 and 2.0 kernels", so the old losetup binary you talked 
about does not use the same encryption methods).

The losetup you see on the QEMU is NOT the kernel of the Thermomix, but 
a generic linux kernel for the Freescale processor. Like Ikaro P. wrote, 
nobody until now got access to the real Thermomix kernel.

I can assure you that the "loop-aes" is used on the Thermomix kernel and 
anyone that already asked Vorwerk for the Thermomix kernel source code 
can confirm this... :)

I am not a programmer so I can not test it myself.
Did you managed to have a working GUI like Ikaro P.? Can you share how 
you set it up? Thanks!

: Bearbeitet durch User
von Schang S. (Firma: keine) (schang)


Lesenswert?

Indeed, what I'm saying is that the losetup stuff with -aes128 give a 
wrong direction. I did effectively try with the old versions of losetup 
that supported these option and that did not help.

von Bimby T. (bimby)


Lesenswert?

Schang S. schrieb:
> Indeed, what I'm saying is that the losetup stuff with -aes128 give a
> wrong direction. I did effectively try with the old versions of losetup
> that supported these option and that did not help.

Did the old losetup implement the "loop-aes" methods?
Having the same syntax does not mean that the methods are the same... ;)

As you can see on the work of Ikaro P., the closed source tool from 
Vorwerk NETLINK shows what it tries to do and fail on losetup because 
the encryption method is unknown (because the losetup on the generic 
kernel does not have it, and the old losetup does not implement the same 
encryption methods):

NETLINK-DEBUG: 0h8m13s516ms: int ExecuteSystemCommand(std::string&): 
losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1
NETLINK-ERROR: 0h8m13s937ms: System command losetup -e aes128 -P 
/opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1 returned 1

Like I have said, on the kernel source code from Vorwerk, they have two 
folders, one with unmodified source, and one with modified source. On 
the modified source is the losetup source code and on the readme file is 
written that it needs the loop-aes package... ;)

von Schang S. (Firma: keine) (schang)


Lesenswert?

I perfectly understood all that.
Did you request and obtain the source code ? (given your comment I would 
assume you did). If so, would you care sharing it ? and if we have the 
code of the kernel (that would contain any proprietary encryption 
routines they could have developed) then what are we missing to 
successfully decrypt ?

von Bimby T. (bimby)


Lesenswert?

Schang S. schrieb:
> I perfectly understood all that.
> Did you request and obtain the source code ? (given your comment I would
> assume you did). If so, would you care sharing it ?

Yes, I have requested the source code. I do not know if I can share it, 
because I had to give all my personal data and Thermomix serial number 
to receive a CD with the source code at home (so maybe the source code 
is signaled with my data). If you have a Thermomix you could ask for the 
source code too, you just need to write them an email at 
opensource@vorwerk.de, tell them your address and Thermomix serial 
number.
The source code should be about ~300MB...

> and if we have the
> code of the kernel (that would contain any proprietary encryption
> routines they could have developed) then what are we missing to
> successfully decrypt ?

The problem here is that I am not a programmer. I just asked the source 
code to look around and possibly help the community with the research. 
This part of the losetup is on the kernel utilities "modified" source 
code...

: Bearbeitet durch User
von Schang S. (Firma: keine) (schang)


Lesenswert?

I just sent an e-mail with my serial number. How long did it take to 
receive the CD ?

I'm not sure that they would go through the trouble of watermarking the 
code. Especially since according to GPL they are supposed to provide 
modified open source code to anyone (regardless of the fact that you own 
a TM5 or not).

von Julian W. (julian-w) Benutzerseite


Lesenswert?

Schang S. schrieb:
> I'm not sure that they would go through the trouble of watermarking the
> code.

We could simply test it: if two people have the sourcecode, just 
generate the SHA256 Hashsum and compare them. If the reults are equal, 
it is safe that there is no watermark ;)

von Moritz M. (mom)


Lesenswert?

Schang S. schrieb:
> I just sent an e-mail with my serial number. How long did it take to
> receive the CD ?

Nowadays they give you access to an fileserver to download the sources.
In my case it took 3 month to finally download the sources.

But maybe they are faster now ;)

von Schang S. (Firma: keine) (schang)


Lesenswert?

Would you have the details for downloading from that server ?

von Moritz M. (mom)


Lesenswert?

You get an personalized account from Vorwerk and somebody will put the 
sources there later.

von Moritz M. (mom)


Lesenswert?

Julian W. schrieb:

> We could simply test it: if two people have the sourcecode, just
> generate the SHA256 Hashsum and compare them. If the reults are equal,
> it is safe that there is no watermark ;)

I would be in.

I does anybody have the version 2.3 of the sources to compare?

von Bimby T. (bimby)


Lesenswert?

Schang S. schrieb:
> I just sent an e-mail with my serial number. How long did it take to
> receive the CD ?
>
> I'm not sure that they would go through the trouble of watermarking the
> code. Especially since according to GPL they are supposed to provide
> modified open source code to anyone (regardless of the fact that you own
> a TM5 or not).

I have got it some weeks later I think (do not know now, I have got it 
sometime ago).
I also asked for a download link, but Vorwerk told me back then that 
they do not provide download links of the source code. They only send it 
as a physical medium (CD-Rom). Maybe they use this method to have a 
record of personal data (address and serial number) from persons that 
asked for the source code...

von Bimby T. (bimby)


Lesenswert?

Moritz M. schrieb:
> Julian W. schrieb:
>
>> We could simply test it: if two people have the sourcecode, just
>> generate the SHA256 Hashsum and compare them. If the reults are equal,
>> it is safe that there is no watermark ;)
>
> I would be in.
>
> I does anybody have the version 2.3 of the sources to compare?

There you go:

  File: Thermomix_TM5_GPL_v2.3.tgz
CRC-32: b1e3209b
   MD4: aa57ab0c2913b5744941b0241a5fbfa2
   MD5: c42146a26bcd7f7f84327957a07a3c49
 SHA-1: 599a257f88e38801ede4e7e1ec37bcc66d43f573

Used HashCheck (https://github.com/gurnec/HashCheck) for that... ;)

: Bearbeitet durch User
von Moritz M. (mom)


Lesenswert?

Bimby T. schrieb:
> Moritz M. schrieb:
>> Julian W. schrieb:
>>
>>> We could simply test it: if two people have the sourcecode, just
>>> generate the SHA256 Hashsum and compare them. If the reults are equal,
>>> it is safe that there is no watermark ;)
>>
>> I would be in.
>>
>> I does anybody have the version 2.3 of the sources to compare?
>
> There you go:
>
>   File: Thermomix_TM5_GPL_v2.3.tgz
> CRC-32: b1e3209b
>    MD4: aa57ab0c2913b5744941b0241a5fbfa2
>    MD5: c42146a26bcd7f7f84327957a07a3c49
>  SHA-1: 599a257f88e38801ede4e7e1ec37bcc66d43f573
>
> ;)

Nope, seems to be different:
1
╰─$ sha1sum tm5_2.3.tgz 
2
797380a69303a49e0267f0ec453395fc55b4c849  tm5_2.3.tgz
3
╰─$ md5sum tm5_2.3.tgz 
4
5d15bf2ec5c23e839073e335f90d437d  tm5_2.3.tgz

So what about the files itself:
1
╰─$ find ./ -type f -exec md5sum {} \;
2
85a7b3eac41c85f2aa0922cf2aa48105  ./unmodified_packages/GPL_LGPL_licensed_packages/sourceware.org.git.glibc.git.tar.gz
3
586a39938330516b1089ce2eadaf4749  ./unmodified_packages/GPL_LGPL_licensed_packages/git.yoctoproject.org.opkg-utils.tar.gz
4
a51bcfeb3da7dd4c623e27207ed43467  ./unmodified_packages/GPL_LGPL_licensed_packages/gcc-5.2.0.tar.bz2
5
5682890cb0267f6671dd3de6eabd3e69  ./unmodified_packages/GPL_LGPL_licensed_packages/freetype-2.6.tar.bz2
6
275ca403fa8533cc57bc3c4f86e04505  ./unmodified_packages/GPL_LGPL_licensed_packages/github.com.philb.update-rc.d.git.tar.gz
7
8507960b09433c5ea568e43d84624153  ./modified_packages/GPL_LGPL_licensed_packages/mtd-utils-1.5.1/infradead.org.mtd-utils.tar.gz
8
a3a53320bf575147da958655866febf7  ./modified_packages/GPL_LGPL_licensed_packages/mtd-utils-1.5.1/mtd-utils_%.bbappend
9
9a647bdaeffd8b4c0b0f05e847e86dfb  ./modified_packages/GPL_LGPL_licensed_packages/libm2m-1.0/libm2m.tar.gz
10
19d2fce401d1dd67425eebdcf8e051f5  ./modified_packages/GPL_LGPL_licensed_packages/libm2m-1.0/libm2m_svn.bb
11
25f3dbf8019713d02b4b8461f0006509  ./modified_packages/GPL_LGPL_licensed_packages/libwebsockets-1.5/libwebsockets_1.5.bb
12
2b48aa76f35354fc65160ec116bdd36d  ./modified_packages/GPL_LGPL_licensed_packages/libwebsockets-1.5/libwebsockets-1.5-chrome47-firefox41.tar.gz
13
6317671467ce1b10ffbf7415b960bb14  ./modified_packages/GPL_LGPL_licensed_packages/libwebsockets-1.5/files/websockets.patch
14
bc5f5711eac66e8e65ec19828bec79c6  ./modified_packages/GPL_LGPL_licensed_packages/util-linux-2.26.2/util-linux_%.bbappend
15
9bdf368c395f1b70325d0eb22c7f48fb  ./modified_packages/GPL_LGPL_licensed_packages/util-linux-2.26.2/util-linux-2.26.2.tar.xz
16
9ece1f2589a037f84610e197a72323bf  ./modified_packages/GPL_LGPL_licensed_packages/util-linux-2.26.2/files/util-linux-2.26-20150310.diff
17
d9a665645ccdefa1455203cd37548ff1  ./modified_packages/GPL_LGPL_licensed_packages/util-linux-2.26.2/files/readme.md
18
df67c8bda9139131d919931da443794d  ./modified_packages/GPL_LGPL_licensed_packages/logrotate-3.8.3/logrotate-3.8.3.tar.gz
19
e84b47335ea240f98f9acf972238671f  ./modified_packages/GPL_LGPL_licensed_packages/logrotate-3.8.3/logrotate_3.8.3.bb
20
d04640731915ada48dc77fdca6077f9c  ./modified_packages/GPL_LGPL_licensed_packages/logrotate-3.8.3/files/act-as-mv-when-rotate.patch
21
2659dd5e88e2f01fb13a748efca60494  ./modified_packages/GPL_LGPL_licensed_packages/logrotate-3.8.3/files/s-flag.patch
22
e526950acfca08b16489ec549bf8bcb4  ./modified_packages/GPL_LGPL_licensed_packages/logrotate-3.8.3/files/disable-check-different-filesystems.patch
23
7925683d7dd105aabe9b6b618d48cc73  ./modified_packages/GPL_LGPL_licensed_packages/busybox_1.23.2/busybox-1.23.2.tar.bz2
24
4932d5f889fcf5ea0efb115d58f3945b  ./modified_packages/GPL_LGPL_licensed_packages/busybox_1.23.2/busybox_%.bbappend
25
eeeb3725cd7a599246113f102ecc8c96  ./modified_packages/GPL_LGPL_licensed_packages/busybox_1.23.2/files/nslookup_timeout.patch
26
d4ec40ae5c20a5dd6954bd8c0e27ca3a  ./modified_packages/GPL_LGPL_licensed_packages/busybox_1.23.2/files/defconfig
27
a9c592a93e6500f6b7219957b52b2dbb  ./modified_packages/GPL_LGPL_licensed_packages/busybox_1.23.2/files/udhcpc-script
28
bfdc6b8805ffbdc383b424e669c24608  ./modified_packages/GPL_LGPL_licensed_packages/busybox_1.23.2/files/rename_dhcp.patch
29
6211b045eda898ba5be6bee3f8c68b2e  ./modified_packages/GPL_LGPL_licensed_packages/busybox_1.23.2/files/defconfig-debug
30
b32b9fac3d29e3216706cfabec9540dd  ./modified_packages/GPL_LGPL_licensed_packages/busybox_1.23.2/files/dhclient
31
127132c24e9ebfc6d579250f56d0afc7  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/linux_vorwerk.tar.gz
32
3a50affe643811614bfeadeeff0e5d17  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/linux-vorwerk_2.6.35.bb
33
d2c3bdf62571f54d5e66eb5dea841ed5  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/exec_tid_core_pattern_linux2.6.35.patch
34
2950a66c8283f29491229bb4f898b68a  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/defconfig_netfilter
35
b0f29654b309d7422f07ceaf7efea91d  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/fix_inotify_gcc5.patch
36
82cf88cc9d06ed082fae739d51d742cd  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/ubi_upd_flash_after_prep_for_update.patch
37
75974192ebc65ccd2c28b1e418918089  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/defconfig
38
9a51bedd04525147f58199c8f0de0a0f  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/freebox.patch
39
279ce6049324bd466123a27b3e466dd4  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/add_gcc5_header.patch
40
075a555047d06a39c709a830a770281b  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/fix_uninitialized_macro_req.patch
41
c35c49916b027beb409a56344e1524b6  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/dcp.c
42
2faadc1b6d1700268ab0aa2432669cc9  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/defconfig-rdv
43
cba19c44122d9e4f25e8459583d9e80a  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/ptrace_coredump_linux2.6.35.patch
44
19f84f7c3e36ff653abeaa04d37fafb5  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/perl_deprecated_defined.patch
45
75974192ebc65ccd2c28b1e418918089  ./modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/defconfig-std
46
1e8ab2cf8392d2303ac151e7b870446d  ./modified_packages/GPL_LGPL_licensed_packages/e2fsprogs-1.42.9/e2fsprogs_%.bbappend
47
3f8e41e63b432ba114b33f58674563f7  ./modified_packages/GPL_LGPL_licensed_packages/e2fsprogs-1.42.9/e2fsprogs-1.42.9.tar.gz
48
4eb6fe21874e841e809d5e552f6b93d8  ./modified_packages/GPL_LGPL_licensed_packages/e2fsprogs-1.42.9/files/symlinks.patch
49
b740702d4bc38a70ce1d3f9b87ea5e80  ./modified_packages/GPL_LGPL_licensed_packages/wireless_tools.30.pre9/wireless-tools_%.bbappend
50
ca91ba7c7eff9bfff6926b1a34a4697d  ./modified_packages/GPL_LGPL_licensed_packages/wireless_tools.30.pre9/wireless_tools.30.pre9.tar.gz
51
88d5447da306e56ff6e627ad9c6c6d63  ./modified_packages/GPL_LGPL_licensed_packages/imx-bootlets_10.12.01/imx-bootlets-vorwerk_10.12.01.bb
52
f112ea757cbaeb32c96adf7924103daa  ./modified_packages/GPL_LGPL_licensed_packages/imx-bootlets_10.12.01/cst_tools.tar.gz
53
d2aa76e57da2a2cdb79b829703cd09a4  ./modified_packages/GPL_LGPL_licensed_packages/imx-bootlets_10.12.01/otp_tools.tar.gz
54
a59f177e95453ea7e6d49267eb5b6904  ./modified_packages/GPL_LGPL_licensed_packages/imx-bootlets_10.12.01/imx-bootlets-src-10.12.01.tar.gz
55
a3229f9645f400a22e214d7e76218f48  ./modified_packages/GPL_LGPL_licensed_packages/imx-bootlets_10.12.01/files/makefile.patch
56
2e3d6bf0e34fb2d0714f2da9ed19eb91  ./modified_packages/GPL_LGPL_licensed_packages/kobsng-10.12.01/kobsng_10.12.01.bb
57
2c0f4fd363e587eb965317e59f552cb8  ./modified_packages/GPL_LGPL_licensed_packages/kobsng-10.12.01/kobsng.tar.gz
58
536d048c8e8eeebcd9757d0863ebb0c0  ./modified_packages/GPL_LGPL_licensed_packages/iptables-1.4.21/iptables-1.4.21.tar.bz2
59
ee07b484eb407486b6bb7d9b7810e872  ./modified_packages/GPL_LGPL_licensed_packages/iptables-1.4.21/iptables_%.bbappend

von Schang S. (Firma: keine) (schang)


Lesenswert?

Bimby has provided me with his source code and I am getting the exact 
same checksums when running on each individual files. So, definitely no 
watermark there :)

von Bimby T. (bimby)


Lesenswert?

Moritz M. schrieb:

>
> So what about the files itself:
>

Well, I have checked and the MD5 checksum from the files that I have got 
from Vorwerk are all equal, BUT, on my tar file it is missing the 
following folder:

<code>
./modified_packages/GPL_LGPL_licensed_packages/imx-bootlets_10.12.01/
</code>

So it seems that the source code is not "signed" with any personal data.
Can you share the source code (because yours is more complete) on a 
online sharing host like mega.co.nz or similar (where it does no expire 
and do not have download limits)...

@Schang S.: Can you share how you setup the QEMU with a working GUI?

Thanks!

von Matthias L. (malo)


Lesenswert?

Since Vorkwerk is ignoring my request... would be really great if 
someone could share the code.

Thanks!

von Bimby T. (bimby)


Lesenswert?

Schang S. schrieb:
> Bimby has provided me with his source code and I am getting the exact
> same checksums when running on each individual files. So, definitely no
> watermark there :)

With Bimby you mean me or Vorwerk? I did not share any source code to 
you...

von Schang S. (Firma: keine) (schang)


Lesenswert?

true, I mixed up names :) sorry

von Schang S. (Firma: keine) (schang)


Lesenswert?

And as for running qemu. My folder with all my files is a big mess and 
I'm not sure of all the history of changes I made so let me know if that 
works for you:

Grab kernel image and initrd here:
https://people.debian.org/~aurel32/qemu/armel/

If you wish to mount the disk image in order to make changes
sudo kpartx -a thermomix.raw && sudo mount /dev/mapper/loop0p2 
thermomixext3/

And then to unmount it
sudo umount thermomixext3 && sudo kpartx -d thermomix.raw

You then need to convert the image to qcow2 format (to be done each time 
you modify the raw image that can be mounted as described just before)

qemu-img create -b thermomix.raw -f qcow2 thermomix.qcow2

And then run qemu

qemu-system-arm -M versatilepb -kernel vmlinuz-2.6.32-5-versatile 
-initrd initrd.img-2.6.32-5-versatile -hda thermomix.qcow2 -append 
"root=/dev/sda2"

You'll get the GUI screen at some point (with the error message). To get 
your shell just hit enter which will mke the GUI image disappear.

I believe that this setup did not fully work in the first place and I 
had to make a few modifications to the disk image but I have not 
documented anything at that time ...


Good luck !

von Bimby T. (bimby)


Lesenswert?

Schang S. schrieb:
> true, I mixed up names :) sorry

No problem... :)

: Bearbeitet durch User
von Bimby T. (bimby)


Lesenswert?

Schang S. schrieb:
> And as for running qemu. My folder with all my files is a big mess and
> I'm not sure of all the history of changes I made so let me know if that
> works for you:
>

Thanks, so you did not have the GUI working without errors like Ikaro 
P., or am I wrong?

Regarding the source code you got from Vorwerk, did you got a public 
link or you need to authenticate with username and password?

von Schang S. (Firma: keine) (schang)


Lesenswert?

No I did not get it to work but I am not too concerned by that as I 
would prefer being able to decrypt the cook stick and then determine if 
recipes can be changed.

As for the source code, Moritz kindly sent me a link earlier today :)

von Bimby T. (bimby)


Lesenswert?

Schang S. schrieb:
> No I did not get it to work but I am not too concerned by that as I
> would prefer being able to decrypt the cook stick and then determine if
> recipes can be changed.
>
> As for the source code, Moritz kindly sent me a link earlier today :)

Ok, so if you find something now with the kernel source code, please 
share... :)

von Schang S. (Firma: keine) (schang)


Lesenswert?

The source code helped figure out what is being done with losetup (they 
applied a patch that is publicly available).
So I've been able to use it with the key provided in cookey.txt but the 
loop device can not be mounted and does not look like a file system that 
can be mounted so I'm a bit stuck right now.

von Schang S. (Firma: keine) (schang)


Lesenswert?

So, the TM5 is using a modified version of losetup which is basically 
util-linux-2.26.2 with patch util-linux-2.26-20150310.diff

I've downloaded that version on computer, applied the patch and 
compiled.

From there, I had to to modprobe cryptoloop otherwise you'll get the 
following error:
ioctl: LOOP_SET_STATUS: Invalid argument, requested cipher or key length 
(128 bits) not supported by kernel

So, I'm assuming that Ikario's initrd image did not contain that module. 
Again, I've been doing these tests from my computer (not the VM in qemu) 
so this was easy to fix.

Then, I could run
losetup -e aes128 -P /tmp/cookey.txt /dev/loop0 recipes.img

which brings a loopback device at /dev/loop0 that is waiting to be 
mounted.
sudo ./losetup -a
/dev/loop0: [fc00]:177473618 (recipes.img) encryption=CryptoAPI/aes-cbc

Interesting to see here that when running the original losetup of my 
computer (so not the patched version), it says type=18, which is not 
0x10 or 16).
sudo losetup  -a
/dev/loop0: [64512]:177473618 (/home/[REDACTED]/thermomix/recipes.img), 
encryption aes-cbc (type 18)

The problem here is that the loopback device does not look like a file 
system. The mount command does not want to mount it. And in fact, when 
you check with binwalk, it does not identify anything but random data:
sudo binwalk /dev/loop0

DECIMAL       HEXADECIMAL     DESCRIPTION
------------------------------------------------------------------------ 
--------
<nothing>


As I also have access to a dump of the cook key, I've also tried to run 
losetup on it and had the same behavior.



What is sort of annoying here is that losetup will not tell you that 
your password is right or wrong, it will just use it as a key. Anf if 
the key is wrong, then the deciphered data are just junk.

I was thinking that maybe the cook stick content has not been extracted 
correctly but I doubt it because at least for the cook key (wifi) I have 
2 partitions that were just fine so no reason for the third partition 
(encrypted on) to not have been extracted correctly.

As for the encryption key/password found in cookey.txt, I trust Ikario 
did not make that one up :)

So, for short, I'm stuck again. I've had a quick look at modified open 
source code but there does not seem to by anything related to encryption 
(aside from the linux utils patch that was already publicly known).

von Matthias L. (malo)


Lesenswert?

Again, could anybody please share the source code? (PM also welcome). 
Would really like to take part in this ;)

von Bimby T. (bimby)


Lesenswert?

Matthias L. schrieb:
> Again, could anybody please share the source code? (PM also welcome).
> Would really like to take part in this ;)

Now that we know that the source code is not "signed" with personal 
data, I could share the source code, but my source code is missing a 
folder, so I would suggest that Schang S. oder Moritz M. share the 
complete source code...

von Schang S. (Firma: keine) (schang)


Lesenswert?

As Moritz provided me with the source I can not decide on his behalf to 
share it, even though it is GPL and I don't even understood why Vorwerk 
is not simply releasing it to the public without requiring people to ask 
for it (BTW I did request the code 2 or 3 days ago and never got a 
reply).

After making no progress using the patched version of losetup, I started 
looking at the modified/added source code corresponding to the linux 
kernel.

From what I understand, Vorwerk is using a module called DCP to handle 
encryption (not sure encryption of what exactly). This does not seem to 
be something they developed as traces of it can be found on the Internet 
but this module seems to have been discarded from official kernel at 
some point (or was never included in it). There is another module called 
Vorwerk key-store that has a submodule referred to as cloud key or 
something.

There is bitbake (.bb) file that provides all changes made to vanilla 
2.6.35 linux source code. After applying all those changes, I was able 
to run the kernel compilation which failed because some Vorwerk header 
files (.h) are missing from the source code. The .bb file also explains 
that when compiled with gcc5, the kernel won't boot for unknown reasons 
so they recommend compiling with gcc4.4.
After excluding the Vorwerk key-store module (the one that is missing 
headers and made the compilation fail) I was able to have the linux 
image compiled (including the DCP part which could be the one handling 
decryption of AES loop). Using that kernel image in qemu failed (no 
surprise because Vorwerk documented that it would not work when compiled 
with gcc5 and I did not have a gcc4.4 at hand).

Another interesting point - but maybe concerning too - I found in the 
.bb file is that they have a series of sed commands to inject (that's 
what comments say in the .bb) hard-coded AES128 keys inside the code of 
the DPC driver. If that's the case, then things will get more 
complicated because the keys have not been released in the 300MB archive 
of course.

I'll try to install and old debian with kernel 2.6 and old gcc to 
compile the kernel in the same conditions as Vorwerk.

The one thing that I find strange is why would they have hard-coded keys 
and still be sing the cookey.txt file with losetup.
Also, I am wondering if the recipes.img that was share here has been 
extracted properly. I can't recall who extracted the image but I'd like 
to know what tools have been used and how they were used (dd ?).

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

@ikaro hope you read this:
As I checked the certs of your dump today, I noticed that there are some 
certs and two root certs listed in /tmp/certificates, but there is only 
one valid private key for one cert that expired in 2017. If this private 
key got any use, there must be a new valid cert & private key in the 
last Firmware Updates. We could decrypt the traffic if we got the new 
cert.

: Bearbeitet durch User
von Therm0m1x X. (therm0m1x)


Lesenswert?

Hi all,

finally there is a GitLab repository which hosts all the v2.3 GPL/LGPL 
source code:

https://gitlab.com/therm0m1x/tm5-sources

I somebody wants to contribute just fork the project and afterwards 
create a merge request.

As there is also a wiki included I plan to sum up all the knowledge 
collected so far. Any help doing this is highly appreciated.

Cheers.

von Therm0m1x X. (therm0m1x)


Lesenswert?

I forgot to mention somebody already published the sources already on 
github:

https://github.com/scharri/vorwerk-tm5-oss-sources

If somebody could ask Vorwerk (opensource@vorwerk.de) for the recent 
sources (should be 2.4 now) and contribute these sources. That would be 
nice.

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

If you are interested in breaking the cookido comnunication you can 
contact me. We wont publish anything until everything works perfect.

von Bimby T. (bimby)


Lesenswert?

Hans H. schrieb:
> If you are interested in breaking the cookido comnunication you can
> contact me. We wont publish anything until everything works perfect.

Hi Hans, can you please share some info about this privately? Thanks! :)

von Matt C. (thermomatt)


Angehängte Dateien:

Lesenswert?

[Auf Deutsch unten]

I've read all your posts with great interest.  I've repaired a lot of 
devices before, but this device is a fortress!  Everything is secured 
and protected with cryptography and 2048-bit signatures.

1. CN601 may be a serial port, however nothing is output to it (checked 
with oscilloscope).  Probably it was used during board bring-up only. 
The footprint fits 4-pin JST connector BM04B-SRSS-TB.  The pinout is 
1:GND 2:OUT 3:IN 4:3.3V.

2. Attaching a USB keyboard/mouse does nothing (no drivers?).

3. If you attach a USB Ethernet dongle with AX88772/72A/72B chipset, the 
device enters service mode and you can connect to it at 192.168.76.1. 
Unfortunately, the service protocol requires authentication with 2048 
bit RSA before executing any commands.  So it is very hard to get in 
this way.

4. I did get into the device in the end.  As Ikaro_P says, the 
developers are only human.

5. Here is a copy of the Linux kernel from the device.  I believe I am 
entitled to share this under GPL (section 3c). 
https://mega.nz/#!PqhyTIiY!70HDBcwl6Lb-DhgPQ6xk0LIvXCcl4vxZY5F_C6egb-E

6. As others have found, the encryption key for the recipe chip is not 
the one posted earlier, they have done something devious.  (I will not 
share the real key on the Internet to avoid wrath from Vorwerk.)

7. Having the encryption key is not enough to create your own recipe 
chip.  All files on the recipe chip are signed with 2048 bit RSA 
signatures.

8. Fortunately, despite all the layers of paranoia, there is a 
bug/feature in the implementation of recipe chip verification that makes 
DIY recipe chips possible without having to break the RSA key.  I will 
not say any more for now.

Happy hacking :)

---

[Entschuldigung für Fehler in meinem Deutsch.]

Ich habe alles Ihrer Posts mit großem Interesse gelesen.  Ich habe viele 
andere Geräte repariert, aber dieses Maschine is eine Festung!  Alles 
ist gesichert und geschützt mit Kryptographie und 2048-Bit-Signaturen.

1. CN601 ist möglicherweise eine serielle Schnittstelle, aber es wird 
nichts ausgegeben.  Wahrscheinlich wurde es nur während des Entwicklung 
verwendet.  Der Fußabdruck passt für 4-poligen JST-Stecker 
BM04B-SRSS-TB.  Die Pinbelegung ist 1:GND 2:OUT 3:IN 4:3,3V.

2. Das Anschließen einer USB-Tastatur/Maus führt zu nichts (keine 
Treiber?).

3. Wenn Sie einen USB-Ethernet-Dongle mit AX88772/72A/72B-Chipsatz 
anschließen, das Gerät wechselt in den Service-Modus und Sie können eine 
Verbindung zu 192.168.76.1 herstellen. Bedauerlicherweise, das 
Serviceprotokoll erfordert das Authentifizierung mit 2048 Bit RSA. Es 
ist also sehr schwer, auf diese Weise zu kommen.

4. Letztendlich bin ich in das Gerät eingebrochen.  Wie Ikaro_P sagt, 
sind die Entwickler nur menschlich.

5. Hier ist eine Kopie des Linux-Kernels vom Gerät.  Ich glaube, ich bin 
berechtigt, dies unter der GPL zu teilen (Abschnitt 3c). 
https://mega.nz/#!PqhyTIiY!70HDBcwl6Lb-DhgPQ6xk0LIvXCcl4vxZY5F_C6egb-E

6. Wie andere gefunden haben, ist der Schlüssel für die Rezeptsticks 
nicht der, der zuvor hier veröffentlicht wurde.  (Ich werde den echten 
Schlüssel nicht im Internet teilen.)

7. Der Schlüssel reicht nicht aus, um eigene Rezeptchips zu erstellen. 
Alle Dateien auf den Rezeptchips sind mit 2048 Bit RSA-Signaturen 
gesichert.

8. Zum Glück, trotz all den Schichten der Paranoia, gibt es ein Fehler 
in der Implementierung der Rezeptstick-prüfung.  Deswegen ist es 
möglich, die eigene Rezeptsticks erstellen.  Ich werde vorerst nichts 
mehr sagen.

Happy hacking :)

von Schang S. (Firma: keine) (schang)


Lesenswert?

Hi,

Great work !

The kernel image that you have posted does not seem to load in qemu.
Running 'file' on the image returns "data".

Were you able to successfully run it in qemu ?

von Matt C. (thermomatt)


Lesenswert?

Hi Schang,

I have not tried it in qemu.  The file I shared before is the 
uncompressed kernel (loaded in memory at address 0xc0008000).  Here is 
the zImage format version which might work better: 
https://mega.nz/#!z7xRUQgB!DYFHi3t1uAPBvGyTe-jZ4dp9gM7zakHOx76q631dNtw

Matt

von Johannes B. (johannesbehr)


Lesenswert?

Hi Matt C,

sehr sehr gute Arbeit!

Kannst du uns verraten wie du es geschafft hast, einen eigenen 
Rezeptchip zu generieren? Ich denke die ganze Community wartet schon 
voller Spannung auf diese Infos :)

----------------------------------------------------------------

very very great work!

Could you please share some more information on how to generate custom 
cooking book sticks? I guess the entire community is waiting full of 
expectation on this Information :)


Viele Grüße
Johannes

von Alexander H. (alexander_h390)


Lesenswert?

Holy sh*t, Matt C. you are a genious!

von Matthias L. (malo)


Lesenswert?

Unfortunately, it won't do us any good if he doesn't tell us how.

von Víctor O. (vctor_o)


Lesenswert?

Share your achivements with us Matt C, please.
I have been testing your kernel file, but it's too complex for me.
Thank you very much for your time and dedication.

von Sigma P. (sigmapic)


Lesenswert?

Hello everybody,

Winter is comming, I will have time to look at TM5 again.
Great job everybody!

This is my understanding.
Can you tell me if I taking the good way?

1. We have access to the last source code: 
https://gitlab.com/therm0m1x/tm5-sources

2. When a cook stick is inserted, we know that netlink call the 
following command:
losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1

4. Schang S tried to compile losetup with Vorkerk patch 
(util-linux-2.26-20150310.diff that is a public patch) but the resulting 
loopback device is not mountable:

Schang S. schrieb:
> The problem here is that the loopback device does not look like a file
> system. The mount command does not want to mount it. And in fact, when
> you check with binwalk, it does not identify anything but random data:
> sudo binwalk /dev/loop0

According to Matt C., encryption key is not correct (they have done 
something devious):

Matt C. schrieb:
> 6. As others have found, the encryption key for the recipe chip is not
> the one posted earlier, they have done something devious.  (I will not
> share the real key on the Internet to avoid wrath from Vorwerk.)


So, according to my understanding, there are 3 possibilities:
1. losetup command is not correct:
losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1

2. cookey.txt doesn't contain the good key:
The given key is not correct 
(EiOJeNLiooqwWobaVDVrbJWLCifvQC5oDqNqHfuSYBt3y4vwN3YKq2EsvFK3U4M9)
Or the file is preprocessed first and key is deviated from this one

3. The real kernel make something with the key that is not present in 
the patch util-linux-2.26-20150310.diff

Can you tell me if my understanding is good ?

von Matt C. (thermomatt)


Lesenswert?


von Xeno 2. (xeno22)


Lesenswert?

So the actual key is in the driver itself and set if the compare key is 
used...?!

von Hans H. (Firma: kobs-ng) (haschhans)



Lesenswert?

Matt C. schrieb:
> See the dcp_aes_setkey_blk function in
> 
https://github.com/scharri/vorwerk-tm5-oss-sources/blob/master/modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/dcp.c
> for a clue.
Thanks for the clue matt. I will look into this.

Sigma P. schrieb:
> According to Matt C., encryption key is not correct (they have done
> something devious):
>
> Matt C. schrieb:
>> 6. As others have found, the encryption key for the recipe chip is not
>> the one posted earlier, they have done something devious.  (I will not
>> share the real key on the Internet to avoid wrath from Vorwerk.)
>
>
> So, according to my understanding, there are 3 possibilities:
> 1. losetup command is not correct:
> losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1
>
> 2. cookey.txt doesn't contain the good key:
> The given key is not correct
> (EiOJeNLiooqwWobaVDVrbJWLCifvQC5oDqNqHfuSYBt3y4vwN3YKq2EsvFK3U4M9)
> Or the file is preprocessed first and key is deviated from this one
>
> 3. The real kernel make something with the key that is not present in
> the patch util-linux-2.26-20150310.diff
>
> Can you tell me if my understanding is good ?

Even if the dcp_aes_setkey_blk function does something devious with the 
key, it is important that everyone looks in the patents again! As seen 
in my screenshot(search for "patent" in this page for the full patent), 
the key to decrypt the data partition of the recipe chip depends on the 
hardware serial of the recipe stick and some key of a keyring that is 
referred in the first partition of the recipe stick. Because Vorwerk 
registered a patent for this actions, they will use it for the recipe 
stick, maybe for the wifi stick too.
So keep in mind that no matter what the kernel does with ikaros AES key 
before something is decrypted with it, you can only decrypt a recipe 
chip with it, that has the same serial number as ikaros AND the same key 
is referred on the recipe chip. Since ikaro talked a lot about the wifi 
stick verification, I think the last thing his tm decrypted before he 
dumped the fw was the wifi stick he used. So things to find out:

1. What was the last thing ikaros tm decrypted with the given AES key? 
Its unlikely that we can decrypt anything else with it.

2. Is the encryption/decryption action mentioned in the patents used for 
the wifi stick too?

3. Since we know that every recipe chip with the same recipes on it has 
the same serial(we know that, right?), the question is if the referred 
key is also the same. We should collect hashsums/content of the first 
partition of some recipe chips with the same recipes on it and check 
that. I ordered one "Das Kochbuch" chip today and will share this if it 
arrived. Does someone else got the "Das Kochbuch" chip and could do this 
too?

4. As the content on all wifi sticks is the same, does a wifi stick has 
any serial or referred key that is unique, other than the vendor_id 
stored in the db? We need hashsums of the files to find that out.If all 
wifi sticks are the same, we find out what devious the kernel does to 
the key and ikaros key was really used for his wifi stick, we should be 
able to decrypt our wifi sticks content. Unfortunately I got no wifi 
stick to dump at the time.

5. We did not talked a lot about the recipe signature thing. As you can 
see in some post of Schang S.(search for "cs.tar"), there is a signature 
stored for every recipe in the db. Even if we could decrypt every stick 
and the whole tm fw, if the RSA private key is not stored on the 
tm(which would be really dumb), we can not change or add any recipe. We 
have to know what matt knows about the recipe verification. I will start 
to look into the /opt/Thermomix/Thermomix executable again because I 
think the verification is done in there, but I really dont know how to 
start. We have to work structured on this so we dont do the same work.

: Bearbeitet durch User
von Matt C. (thermomatt)


Lesenswert?

The key does not depend on the serial number.  (The signatures do 
however.)

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Matt C. schrieb:
> The key does not depend on the serial number.  (The signatures do
> however.)
Does it only depends on the referred key of the keyring stored in the 
tm?
The patent is not clear about it. Or is the keyring never used? For what 
did they made a patent then?

von Matt C. (thermomatt)


Lesenswert?

> For what did they made a patent then?

I don't know, the patent scheme might have been used in a prototype 
machine?  Or be intended to misdirect people? :)

> As the content on all wifi sticks is the same, does a wifi stick has
> any serial or referred key that is unique, other than the vendor_id
> stored in the db?

The WiFi stick has a unique ID that is printed on the bottom, and this 
can be queried from the microcontroller on the stick.  I think the files 
are the same on each stick though.  The security scheme for these is 
quite different from read-only recipe sticks (and I think harder to 
attack).

Matt

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Matt C. schrieb:
>> For what did they made a patent then?
>
> I don't know, the patent scheme might have been used in a prototype
> machine?  Or be intended to misdirect people? :)
Do you know that for sure? Did you decrypt a recipe stick without 
anything from the maybe non-existent key-ring?

von Matt C. (thermomatt)


Lesenswert?

Yes I know that for sure.

von Bimby T. (bimby)


Lesenswert?

Hi everyone, so if the files on recipe chip are signed with 2048 bit RSA 
signatures we could not change the recipe chip, right?
What about the development recipe chips I mentioned earlier?
Can it be that this kind of chip uses an ID that the TM5 recognizes an 
read it without encryption?
Have anyone tried to check if non development TM5 do can read 
development recipe chips?
Thanks Matt C. for your findings and tips. Do you also have a database 
scheme used in the recipe chip and a list of files found inside one?

: Bearbeitet durch User
von Sigma P. (sigmapic)


Lesenswert?

Matt C. schrieb:
> See the dcp_aes_setkey_blk function in
> 
https://github.com/scharri/vorwerk-tm5-oss-sources/blob/master/modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/dcp.c
> for a clue.

Wow, I just look quickly on my phone because I was away all the day.
I really will check what this function do because it seems to replace 
the key by a static one.
I'll check that.
Thanks

Hans H. schrieb:
> 5. We did not talked a lot about the recipe signature thing. As you can
> see in some post of Schang S.(search for "cs.tar"), there is a signature
> stored for every recipe in the db. Even if we could decrypt every stick
> and the whole tm fw, if the RSA private key is not stored on the
> tm(which would be really dumb), we can not change or add any recipe

As Matt C. said, code is written by human (not anymore for a long time, 
thanks AI) but here it's the case. If you have an exploit in the check 
function, no need have the private key. And in some cases you even 
deduce it.


Bimby T. schrieb:
> Hi everyone, so if the files on recipe chip are signed with 2048 bit RSA
> signatures we could not change the recipe chip, right?

Extacly the same than my previous answer.

Hans H. schrieb:
> Even if the dcp_aes_setkey_blk function does something devious with the
> key, it is important that everyone looks in the patents again

Matt C. schrieb:
>> For what did they made a patent then?
>
> I don't know, the patent scheme might have been used in a prototype
> machine?  Or be intended to misdirect people? :)

+1, totally agree with you

von Jaro J. (jarotrn)


Lesenswert?

Guten Abend alle,

sorry but I will write in English.

My wife had problem with TM5 weight, is shows wrong, random values, 
everything other was fine. We send TM5 to authorized service and they 
said that they replaced mainboard and send thermomix back to us. The 
question is if they really replaced whole mainboard or not. We put our 
cook-key (which we didn't send them) and it didn't ask us to provide 
wlan ssid and password to our wifi network. Don't you know that ssid and 
password is stored in the TM5 or cook-key?

Thanks for reply!

Jaro

von Sven L. (sven_rvbg)


Lesenswert?

Jaro J. schrieb:
> My wife had problem with TM5 weight, is shows wrong, random values,
> everything other was fine. We send TM5 to authorized service and they
> said that they replaced mainboard and send thermomix back to us. The
> question is if they really replaced whole mainboard or not. We put our
> cook-key (which we didn't send them) and it didn't ask us to provide
> wlan ssid and password to our wifi network. Don't you know that ssid and
> password is stored in the TM5 or cook-key?

I think this is not the right place for TM5-support. Pls. open your own 
thread, because this is offtopic.

But if you thing there is an securityproblem simply change SSID and key 
in your router!

von Matt C. (thermomatt)


Lesenswert?

Hi Jaro,

The WiFi details are stored in the TM5, however not on the mainboard - 
the processor is on a separate board behind the LCD screen.  So it's 
possible that they could have replaced the mainboard, I'm not sure how 
you would tell for sure.

I had a similar problem with the TM5 scales which was my original reason 
for needing to get into the Thermomix, in my case they were fluctuating 
between 0 and MAX (seems like a common problem).  The problem went away 
after:

* unplugging and replugging the three connectors from the mainboard to 
the scale (labelled WAAGE), and
* unscrewing and re-tightening the three screws that go down through the 
mainboard into the feet.

I'm not sure which of these made the difference.  It's possible that in 
your case a mainboard replacement was actually required.  The ADC for 
the scale is on the mainboard.

Matt

: Bearbeitet durch User
von Jaro J. (jarotrn)


Lesenswert?

Sven L. schrieb:
> Jaro J. schrieb:
>> My wife had problem with TM5 weight, is shows wrong, random values,
>> everything other was fine. We send TM5 to authorized service and they
>> said that they replaced mainboard and send thermomix back to us. The
>> question is if they really replaced whole mainboard or not. We put our
>> cook-key (which we didn't send them) and it didn't ask us to provide
>> wlan ssid and password to our wifi network. Don't you know that ssid and
>> password is stored in the TM5 or cook-key?
>
> I think this is not the right place for TM5-support. Pls. open your own
> thread, because this is offtopic.
>
> But if you thing there is an securityproblem simply change SSID and key
> in your router!
Thank you for answer,
Maybe it wasn't needed to write the whole story - I'm sorry. Since you 
guys are getting into electronic and reverse engineering of TM5 I just 
asked because you probably already know where are ssid and password 
stored? In TM5 or cook-key?

von Jaro J. (jarotrn)


Lesenswert?

Matt C. schrieb:
> Hi Jaro,
>
> The WiFi details are stored in the TM5, however not on the mainboard -
> the processor is on a separate board behind the LCD screen.  So it's
> possible that they could have replaced the mainboard, I'm not sure how
> you would tell for sure.
>
> Matt
Matt, thank you very much for reply and for the comprehensive answer! It 
is what I needed.

von Sigma P. (sigmapic)


Lesenswert?

Schang S. schrieb:
> So, the TM5 is using a modified version of losetup which is basically
> util-linux-2.26.2 with patch util-linux-2.26-20150310.diff
>
> I've downloaded that version on computer, applied the patch and
> compiled.

Hello Schang ,

May you tell me on what distribution of linux did you do that ?
If you have the repro steps, they are welcome.

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Sigma P. schrieb:
> Schang S. schrieb:
>> So, the TM5 is using a modified version of losetup which is basically
>> util-linux-2.26.2 with patch util-linux-2.26-20150310.diff
>>
>> I've downloaded that version on computer, applied the patch and
>> compiled.
>
> Hello Schang ,
>
> May you tell me on what distribution of linux did you do that ?
> If you have the repro steps, they are welcome.

After a quick search I saw that ubuntu 15.10 uses util-linux-2.62.2, but 
I had no time to test applying the patch.

von Schang S. (Firma: keine) (schang)


Lesenswert?

Sigma P. schrieb:
> Schang S. schrieb:
>> So, the TM5 is using a modified version of losetup which is basically
>> util-linux-2.26.2 with patch util-linux-2.26-20150310.diff
>>
>> I've downloaded that version on computer, applied the patch and
>> compiled.
>
> Hello Schang ,
>
> May you tell me on what distribution of linux did you do that ?
> If you have the repro steps, they are welcome.

I did that on a fresh Ubuntu

von Matt C. (thermomatt)


Angehängte Dateien:

Lesenswert?

Hi all,

The attached program might come in handy - it is a simplified version of 
losetup designed specifically for use with the cryptoloop module.  Make 
sure you modprobe cryptoloop first otherwise strange things may happen 
(kernel bug in some Linux versions).

Detaching, etc., can be done with normal losetup.

Matt

: Bearbeitet durch User
von Sigma P. (sigmapic)


Lesenswert?

Matt C. schrieb:
> Hi all,
>
> The attached program might come in handy - it is a simplified version of
> losetup designed specifically for use with the cryptoloop module.  Make
> sure you modprobe cryptoloop first otherwise strange things may happen
> (kernel bug in some Linux versions).
>
> Detaching, etc., can be done with normal losetup.
>
> Matt

Thank you very much.
Very easy too build :)
I just had to add the following defines because recipes.img is 4GB:
#define _LARGEFILE_SOURCE
#define _FILE_OFFSET_BITS 64

I used aes-cbc for the cipher.

Unfortunetely I get:
mount: wrong fs type, bad option, bad superblock on /dev/loop0

I'm a looser...

Matt C. schrieb:
> See the dcp_aes_setkey_blk function in
> 
https://github.com/scharri/vorwerk-tm5-oss-sources/blob/master/modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/dcp.c
> for a clue.

I looked a bit more to your hint. It's quite strange, this function 
replaces the input key by another one if the input is equal to a 
reference key, otherwise it keep the input key.

I tried to used these keys, but mount fails.

Do you know why the key in cookey.txt is so long (48 bytes) ?

von Matt C. (thermomatt)


Lesenswert?

> I tried to used these keys, but mount fails.

Naturally the keys in the open source code are not the real keys, the 
build script replaces them with secret keys from ${KEYS_PATH} 
(https://github.com/scharri/vorwerk-tm5-oss-sources/blob/master/modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/linux-vorwerk_2.6.35.bb).

> Do you know why the key in cookey.txt is so long (48 bytes) ?

The length of the file doesn't matter, the loop-AES version of losetup 
hashes it to create the key (SHA256(password)[0:15])
- 
https://aur.archlinux.org/cgit/aur.git/tree/util-linux-2.29.2.diff?h=util-linux-aes#n1817 
. You can also search for strace in this thread to see what is passed to 
the kernel.

Matt

von Stephan Z. (thunder242)


Lesenswert?

Matt C. are you able to build a little Programm to implement own recipes 
to the TM5?
I see your picture and you already send an recipe to the TM5.

von Sigma P. (sigmapic)


Lesenswert?

Matt C. schrieb:
>> I tried to used these keys, but mount fails.
>
> Naturally the keys in the open source code are not the real keys, the
> build script replaces them with secret keys from ${KEYS_PATH}
> 
(https://github.com/scharri/vorwerk-tm5-oss-sources/blob/master/modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/linux-vorwerk_2.6.35.bb).

I missed this part in the script. I'm too bad....
But now it's ok, decryption done!!!!
Thanks for your very usefull help.

Next step, find the recipe chip verification bug.

Matt C. schrieb:
> 8. Fortunately, despite all the layers of paranoia, there is a
> bug/feature in the implementation of recipe chip verification that makes
> DIY recipe chips possible without having to break the RSA key.  I will
> not say any more for now.

von Johannes B. (johannesbehr)


Lesenswert?

Hi Sigma,

it is great that you where able reproduce the decryption of the chip! I 
would like to do this too, in order to see how the receipts are 
structured and to prepeare for creating DIYs.
Could you please write a short summary which steps are necessary?

Greetings
Johannes

von Sigma P. (sigmapic)


Lesenswert?

Johannes B. schrieb:
> Hi Sigma,
>
> it is great that you where able reproduce the decryption of the chip! I
> would like to do this too, in order to see how the receipts are
> structured and to prepeare for creating DIYs.
> Could you please write a short summary which steps are necessary?
>
> Greetings
> Johannes

I'm sorry, for the same reasons than Matt, we can discuss about open 
source code but not give the decryption steps.

In fact everything is written on the forum. Start looking from Matt 
first post to my last post.

I hope you can understand...

von Bimby T. (bimby)


Lesenswert?

Sigma P. schrieb:
> Johannes B. schrieb:
>> Hi Sigma,
>>
>> it is great that you where able reproduce the decryption of the chip! I
>> would like to do this too, in order to see how the receipts are
>> structured and to prepeare for creating DIYs.
>> Could you please write a short summary which steps are necessary?
>>
>> Greetings
>> Johannes
>
> I'm sorry, for the same reasons than Matt, we can discuss about open
> source code but not give the decryption steps.
>
> In fact everything is written on the forum. Start looking from Matt
> first post to my last post.
>
> I hope you can understand...

There is something I still do not understand in this thread: why can't 
we discuss about the decryption steps if it is all based on open source 
code released by Vorwerk? I am not talking about decryption keys, that 
is another story.
I see this like the emulation scene: some hardware is emulated based on 
research and info public available, but to run it, you need a 
copyrighted ROM you legally own.
So, discussing the decryption steps should be no problem. Every one 
should get his own decryption keys if they are not published on open 
source code.
Sharing knowledge would lead to a quicker solution for creating own 
guided recipes for the Thermomix.

von Martin S. (sirnails)


Lesenswert?

The reasons are:

- giving the exploit will cause Vorwerk to close the fraud because they 
can simply see the bugs location
- open source is only linux. Code written by Vorwerk is closed source
- There are some fair use rules for hackers to report security issues 
first to the developer instead of publishing them
- it against german laws to negotiate encryption (see hacking paragraph) 
and publishing it is a statutory offence creating a legal basis for 
Vorkwerk to become active and close this thread and moreover to 
complaint against µC.net.

You should not publish any code that is breaking german laws, patents 
and any other that may be covered by copyright.

: Bearbeitet durch User
von Bimby T. (bimby)


Lesenswert?

Martin S. schrieb:
> The reasons are:
>
> - giving the exploit will cause Vorwerk to close the fraud because they
> can simply see the bugs location

Yes, they could close the exploit, but we also can deny updates on our 
Thermomix (updates are only available if you have the Wifi Adapter. Who 
only uses recipe chips will never got an update, or will only have one 
if the Thermomix is repaired). An I was not talking about the exploit to 
create new recipes for a recipe chip, I was just talking about the 
decryption steps of the recipe chips.

> - open source is only linux. Code written by Vorwerk is closed source

Source code that Vorwerk sends to users who asks for it are not closed 
source but open source code. I think the decryption steps to decrypt the 
recipe chips are based on open source code, or did I miss something?

> - There are some fair use rules for hackers to report security issues
> first to the developer instead of publishing them

I would not call it a security issue (it will not compromise the 
security of the machine itself). I would call it a bug... But like I 
already wrote above, I am not talking about the exploit or decryption 
keys, but only from the decryption steps based on open source code 
public available.

> - it against german laws to negotiate encryption (see hacking paragraph)
> and publishing it is a statutory offence creating a legal basis for
> Vorkwerk to become active and close this thread and moreover to
> complaint against µC.net.

Like you told, it is a german law that applies to people living in 
Germany (it is also very difficult to get to someone outside Germany. 
Read at the bottom of the following page what lawyers say about this: 
https://www.internetrecht-rostock.de/hackerparagraf.htm). If we look at 
the complete thread, there are already posts explaining how to clone a 
recipe chip, that could be considered information to do piracy.

>
> You should not publish any code that is breaking german laws, patents
> and any other that may be covered by copyright.

Like already told, if the decryption steps are based only on open source 
code, this is not covered by copyrights and also german laws, because we 
are not distributing hacking tools or proprietary decryption keys, just 
discussing decryption methods like we could discuss the decryption 
methods of SSL/TLS...

I think all this information can be considered as research.

So, if the decryption steps are only based on open source code, then I 
do not see any problems on explaining it here. To explain it we do not 
need to publish real decryption keys (everyone that want to test it 
should get the decryption keys by their own). We also can find online 
the SSL/TLS decryption steps explained with examples without using real 
keys...

: Bearbeitet durch User
von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Martin S. schrieb:
> - giving the exploit will cause Vorwerk to close the fraud because they
> can simply see the bugs location
The recipe sticks are all encrypted with the same key. Even if we write 
a letter to Vorwerk that we know how to decrypt their sticks, they can 
not fix this with an update. The only thing they could do is create a 
new way of encrypting their sticks and block all sticks with the current 
encryption method. Every stick they selled until that day would not work 
anymore if you install the update (We could also just deny the 
installation). They will never do that because some guys that know how 
the decryption works. So I see no reason why we can not talk about the 
encryption(ask me about my github repo).

We could get problems if we talk about how to bypass the recipe 
verification and the bug/feature that makes it possible is fixable 
without the need to block all current recipe sticks(We could still deny 
updates). But since no one except Matt knows how to bypass the 
verification, I think we can talk freely here ;)

von Sigma P. (sigmapic)


Lesenswert?

Hello,

Does someone has a solution to debug a linux binary (ARM) from a x86 
platform.
I'm looking from a graphic debugger. Something like Ollydbg.

I tried to emulate an ARM CPU and running a gdbserver, then  on the host 
I tried to used ddd without success.

I also tried to execute the arm binary directly from my host in user 
mode emulation with qemu (qemu-arm). It works fine.
qemu-arm has an option -g allowing to wait a GDB connection.
But than what frontend can I use ?

If someone has an idea ?

von Peter T. (Firma: 420 blaze it) (peterteter420)


Angehängte Dateien:

Lesenswert?

Share your funny recipes :D
PS: Thank you Matt and thank you Ikaro.

von Sigma P. (sigmapic)


Lesenswert?

Peter T. schrieb:
> Share your funny recipes :D
> PS: Thank you Matt and thank you Ikaro.

Now the challenge is database analysis.
Replacing a picture and a piece of text is not so fun.

von Bimby T. (bimby)


Lesenswert?

Sigma P. schrieb:
> Peter T. schrieb:
>> Share your funny recipes :D
>> PS: Thank you Matt and thank you Ikaro.
>
> Now the challenge is database analysis.
> Replacing a picture and a piece of text is not so fun.

I already analyzed the databases from the iOS apps (SQL lite), does 
anyone can share in private a database from a cook sticks to see if it 
uses the same structure? On the iOS database there are fields with URLs 
for the pictures, I assume in the cook sticks they use relative paths.
How can we make tests with the database, is the missing method now 
shared privately?
Thanks to everyone who makes all this possible!

Happy New Year for everyone and let 2019 be the year where we can use 
our own recipes on our Thermomix machines! :)

von Peter T. (Firma: 420 blaze it) (peterteter420)


Lesenswert?

Sigma P. schrieb:
> Peter T. schrieb:
>> Share your funny recipes :D
>> PS: Thank you Matt and thank you Ikaro.
>
> Now the challenge is database analysis.
> Replacing a picture and a piece of text is not so fun.

I created this recipe from scratch. If you need I can share my library.
Happy New Year for everyone :)

von Bimby T. (bimby)


Lesenswert?

Peter T. schrieb:
> Sigma P. schrieb:
>> Peter T. schrieb:
>>> Share your funny recipes :D
>>> PS: Thank you Matt and thank you Ikaro.
>>
>> Now the challenge is database analysis.
>> Replacing a picture and a piece of text is not so fun.
>
> I created this recipe from scratch. If you need I can share my library.
> Happy New Year for everyone :)

Hi Peter,

Happy new year!
Could you please send me a PM with your library?
Thanks and great work!

von Sebastian K. (5phinxx)


Lesenswert?

Peter T. schrieb:
> Sigma P. schrieb:
>> Peter T. schrieb:
>>> Share your funny recipes :D
>>> PS: Thank you Matt and thank you Ikaro.
>>
>> Now the challenge is database analysis.
>> Replacing a picture and a piece of text is not so fun.
>
> I created this recipe from scratch. If you need I can share my library.
> Happy New Year for everyone :)

I also would appreciate to get this library! Happy new year

von Stephan M. (Firma: Herr) (assiy2k)


Lesenswert?

Hi Peter,
The same for me. Can you please share your libaries?

Thanks in advance

von Johannes B. (johannesbehr)


Lesenswert?

Hi Peter,

Happy New Year!

I also would like to use your libraries :) !

About the receipts it might be helpfull checking the Format that is used 
on the Vorwerk Website. You can create a free account for 30 days. And 
with the free webanalyser software Fiddler you can see the 
Jason-communication in clear text…

von Matthias L. (malo)


Lesenswert?

I'm trying to mount it, but still failing. This replacement file... 
where does it come from? It's not included in the sources, but where 
else..?

von Sigma P. (sigmapic)


Lesenswert?

Johannes B. schrieb:
> Hi Peter,
>
> Happy New Year!
>
> I also would like to use your libraries :) !
>
> About the receipts it might be helpfull checking the Format that is used
> on the Vorwerk Website. You can create a free account for 30 days. And
> with the free webanalyser software Fiddler you can see the
> Jason-communication in clear text…

On the recipe chip, it's a sqlite databse.
What about cookidoo json format ?

von Johannes B. (johannesbehr)


Lesenswert?

Hi Sigma,

it is just an idea. As I do not have the knowledege nor the equipment to 
decode/read my tm5 chips yet, I do not know how the data in the 
SQLite-db looks like. But maybe comparing it with the structure Vorwerk 
uses to transmit the receipts to the cookidoo webclient (in json) might 
give clues how the receipt are structured and which elements are 
supported. Anyway it is nice to see the clear text of the receipts :-) 
...

von Bimby T. (bimby)


Lesenswert?

Peter T. schrieb:
> Sigma P. schrieb:
>> Peter T. schrieb:
>>> Share your funny recipes :D
>>> PS: Thank you Matt and thank you Ikaro.
>>
>> Now the challenge is database analysis.
>> Replacing a picture and a piece of text is not so fun.
>
> I created this recipe from scratch. If you need I can share my library.
> Happy New Year for everyone :)

Hi everyone,

did anybody here got the library from Peter T. that can share it in 
private?
I would like to make some tests with the SQL Lite database... :)

von Sebastian K. (5phinxx)


Lesenswert?

Bimby T. schrieb:
> Hi everyone,
>
> did anybody here got the library from Peter T. that can share it in
> private?
> I would like to make some tests with the SQL Lite database... :)

No, I did not get the lib either... Maybe Peter is a bit busy this days 
?

von Sigma P. (sigmapic)


Lesenswert?

What I can say for the moment about database:

Database contains the same data than the book or cookidoo website as : 
ingredients, recipe steps, price, difficulty...

In addition there are some data  regarding guided steps:
temperature, scale, speed...

All these data are scattered over almost 200 tables.
Some data are dupplicated in several tables.
There are a lot of indirections as well.

It's a database...

So, it takes time to understand the whole structure.
I finished to reverse the database structure.
Now I'm writting a library with user firendly API that allow to add new 
recipe to the DB.

Please, be patient.

von Bimby T. (bimby)


Lesenswert?

Sigma P. schrieb:
> What I can say for the moment about database:
>
> Database contains the same data than the book or cookidoo website as :
> ingredients, recipe steps, price, difficulty...
>
> In addition there are some data  regarding guided steps:
> temperature, scale, speed...
>
> All these data are scattered over almost 200 tables.
> Some data are dupplicated in several tables.

Hi Sigma, it seems that the database is the same used on the iOS app. 
Did you already succeed on using your own recipes on the Thermomix 
again?

von Sigma P. (sigmapic)


Lesenswert?

Bimby T. schrieb:
> Sigma P. schrieb:
>> What I can say for the moment about database:
>>
>> Database contains the same data than the book or cookidoo website as :
>> ingredients, recipe steps, price, difficulty...
>>
>> In addition there are some data  regarding guided steps:
>> temperature, scale, speed...
>>
>> All these data are scattered over almost 200 tables.
>> Some data are dupplicated in several tables.
>
> Hi Sigma, it seems that the database is the same used on the iOS app.
> Did you already succeed on using your own recipes on the Thermomix
> again?

No yet tried.
Work in progress.

I don't have an iPhone, but I can borrow one to check the db format.
Is is easy to extract the db for the app ?
No jailbreak needed ?

von Bimby T. (bimby)


Lesenswert?

Sigma P. schrieb:
> No yet tried.
> Work in progress.
>
> I don't have an iPhone, but I can borrow one to check the db format.
> Is is easy to extract the db for the app ?
> No jailbreak needed ?

Yes, you need a jailbroken iPhone to get the database from the app, this 
is why Vorwerk never released an android app... :P

von Sigma P. (sigmapic)


Lesenswert?

Bimby T. schrieb:
> Yes, you need a jailbroken iPhone to get the database from the app, this
> is why Vorwerk never released an android app... :P

How does it work ?
All recipes are integarted in the app ? because app is ~250MB
All recipes are in the same db or db is created with recipes you select 
?

von Sigma P. (sigmapic)


Lesenswert?

Bimby T. schrieb:
> Yes, you need a jailbroken iPhone to get the database from the app, this
> is why Vorwerk never released an android app... :P

Is it possible to download the ipa file and extract the db from the ipa 
?

von Sigma P. (sigmapic)


Lesenswert?

Sigma P. schrieb:
> Bimby T. schrieb:
>> Yes, you need a jailbroken iPhone to get the database from the app, this
>> is why Vorwerk never released an android app... :P
>
> Is it possible to download the ipa file and extract the db from the ipa
> ?

Yes it is.
I just did it.

Bimby T. schrieb:
> I already analyzed the databases from the iOS apps (SQL lite), does
> anyone can share in private a database from a cook sticks to see if it
> uses the same structure? On the iOS database there are fields with URLs
> for the pictures, I assume in the cook sticks they use relative paths.

The db from ios app contains at set of tables that start with Z, for 
example ZRECIPEMODEL...

Is it right?
You analysed this db ?

This db is quite different than the one from recipe chip.

von Matthias L. (malo)


Lesenswert?

Hey,

it's great for you that you can now discuss about data formats etc... I 
would really appreciate participating here, but do not have any 
chance... I'm still struggling with decrypting the chip.. some more 
hints please?

Best regards
Matthias

von Eric E. (eric_e665)


Lesenswert?

I have a jailbroken iPad.
Just let me know if I can help providing files :-)

BR

von Bimby T. (bimby)


Lesenswert?

Sigma P. schrieb:
> The db from ios app contains at set of tables that start with Z, for
> example ZRECIPEMODEL...
>
> Is it right?
> You analysed this db ?
>
> This db is quite different than the one from recipe chip.

For each country you select in the app you will reset and fill the 
database with recipes from this country (you need to select to download 
all recipes on the app settings. It will take some time until all 
recipes are downloaded.). Yes, almost all fields start with Z but the 
structure seems to be almost the same that you mentioned for the cook 
stick. I have studied the database some time ago and also the XML from 
the recipes provided by the server, but have to look if I still have my 
notes about it.

von Xeno 2. (xeno22)


Lesenswert?

Sigma P. schrieb:
> Bimby T. schrieb:
>> Yes, you need a jailbroken iPhone to get the database from the app, this
>> is why Vorwerk never released an android app... :P
>
> How does it work ?
> All recipes are integarted in the app ? because app is ~250MB

App documents data with all (german) recipes is ~662MiB.

von Tobias C. (toco)


Lesenswert?

Xeno 2. schrieb:
> Sigma P. schrieb:
>> Bimby T. schrieb:
>>> Yes, you need a jailbroken iPhone to get the database from the app, this
>>> is why Vorwerk never released an android app... :P
>>
>> How does it work ?
>> All recipes are integarted in the app ? because app is ~250MB
>
> App documents data with all (german) recipes is ~662MiB.

The Z table prefix is a strong indicator that the SQLite is the backing 
store for CoreData. https://developer.apple.com/documentation/coredata
In that case the iOS app and and TM 5 are definitely not sharing any 
database code, though they might still use a similar layout.

I don’t think reverse engineering the SQLite format of the iOS app will 
help.
I’d focus on the actual recipe chip DB layout and not waste time on the 
iOS app.

von Bimby T. (bimby)


Lesenswert?

Tobias C. schrieb:

> I’d focus on the actual recipe chip DB layout and not waste time on the
> iOS app.

The problem is that from what I have seen here, only 2 people figured 
out how to test the changed database on the Thermomix. If we have the 
luck that the iOS app database is the same from the recipe chips, then 
we could test changes on the iOS app.

I have found this today on another site https://pastebin.com/9F4hFy3n 
but do not know if this is the correct database layout. Can anyone here, 
that already decrypted a recipe chip, confirm if this is the correct 
database layout?

: Bearbeitet durch User
von Sigma P. (sigmapic)


Lesenswert?

Bimby T. schrieb:
> Tobias C. schrieb:
>
>> I’d focus on the actual recipe chip DB layout and not waste time on the
>> iOS app.
>
> The problem is that from what I have seen here, only 2 people figured
> out how to test the changed database on the Thermomix. If we have the
> luck that the iOS app database is the same from the recipe chips, then
> we could test changes on the iOS app.
>
> I have found this today on another site https://pastebin.com/9F4hFy3n
> but do not know if this is the correct database layout. Can anyone here,
> that already decrypted a recipe chip, confirm if this is the correct
> database layout?

Yes it is. :)
On what website did you find it ?

von Bimby T. (bimby)


Lesenswert?

Sigma P. schrieb:

> Yes it is. :)

Cool, so anyone that wants to contribute with the database analysis can 
now use this layout... :)

> On what website did you find it ?

It was posted on git, but I have now seen that the account is not 
available anymore... But the shared Pastebin link is still working... :)

von Xeno 2. (xeno22)


Lesenswert?

So, does anybody still need the iOS DB?

von Bimby T. (bimby)


Lesenswert?

Xeno 2. schrieb:
> So, does anybody still need the iOS DB?

I think it will not harm if you post the database layout from iOS... I 
think Vorwerk would not change too much the layout of both databases so 
maybe it will help the analysis of the recipe chip database...

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Bimby T. schrieb:
> Xeno 2. schrieb:
>> So, does anybody still need the iOS DB?
>
> I think it will not harm if you post the database layout from iOS... I
> think Vorwerk would not change too much the layout of both databases so
> maybe it will help the analysis of the recipe chip database...

Posting dbs shouldnt be a problem, old db layout will always work 
because of compability. What I worry about is the way we baypass the 
signature verification. They can easily fix that via ota. I will look 
for a way to check what they want to update via the ota.

von Xeno 2. (xeno22)


Lesenswert?

This is the layout of the initial DB file (v16  de  28.11.2018) - if 
anybody needs the contents, just throw a PM:
https://pastebin.com/H2tC9gJ9

von Karibrusa B. (karibrusa)


Lesenswert?

Is the last post the layout from the receipe chip?
How is the DB stored on the chip?
USB is clear - But how can I access the dabase , which filesystem, 
encryption or hidden partion is used? I did see that some people were 
able to access, but I did not see how they did .

Beitrag #5688330 wurde vom Autor gelöscht.
von Xeno 2. (xeno22)


Lesenswert?

No, this DB layout is from the iOS App.

von Ikaro P. (ikaro_p)


Lesenswert?

(I know I'm late... more comming soon, I promiss)

2faf 32c6 f26b 5cc0 21c1 8988 019a f3a5

von Bimby T. (bimby)


Lesenswert?

Ikaro P. schrieb:
> (I know I'm late... more comming soon, I promiss)
>
> 2faf 32c6 f26b 5cc0 21c1 8988 019a f3a5

Hi Ikaro P.,

it is never late for sharing your findings. :)
Is this the encryption key for the cook key or the piece of code where 
the signature of the key is checked?

Thanks and keep the great work! :)

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Bimby T. schrieb:
> Ikaro P. schrieb:
>> (I know I'm late... more comming soon, I promiss)
>>
>> 2faf 32c6 f26b 5cc0 21c1 8988 019a f3a5
>
> Hi Ikaro P.,
>
> it is never late for sharing your findings. :)
> Is this the encryption key for the cook key or the piece of code where
> the signature of the key is checked?
>
> Thanks and keep the great work! :)

Its the actual encryption key for the cookey. You can extract it from 
matts kernel dump.

: Bearbeitet durch User
von Bimby T. (bimby)


Lesenswert?

Hans H. schrieb:
> Bimby T. schrieb:
>> Ikaro P. schrieb:
>>> (I know I'm late... more comming soon, I promiss)
>>>
>>> 2faf 32c6 f26b 5cc0 21c1 8988 019a f3a5
>>
>> Hi Ikaro P.,
>>
>> it is never late for sharing your findings. :)
>> Is this the encryption key for the cook key or the piece of code where
>> the signature of the key is checked?
>>
>> Thanks and keep the great work! :)
>
> Its the actual encryption key for the cookey. You can extract it from
> matts kernel dump.

Hi Hans H.,

you mean the decryption key and not encryption key, or am I wrong? From 
what I know, nobody found out how to encrypt a cook key, right?

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

> Hi Hans H.,
>
> you mean the decryption key and not encryption key, or am I wrong? From
> what I know, nobody found out how to encrypt a cook key, right?

Encryption and decryption key is the same for the cookey.
Everyone that got a custom recipe on his TM had to encrypt his cookey.

von Bimby T. (bimby)


Lesenswert?

Hans H. schrieb:
>> Hi Hans H.,
>>
>> you mean the decryption key and not encryption key, or am I wrong? From
>> what I know, nobody found out how to encrypt a cook key, right?
>
> Encryption and decryption key is the same for the cookey.
> Everyone that got a custom recipe on his TM had to encrypt his cookey.

Sorry, I was thinking about the recipe chip verification method and not 
encryption/decryption of the chip... The recipe chip verification uses 
an RSA Key and this is what nobody found out how to compute, just Matt 
knows how to bypass this verification using a bug found on the 
verification method of the recipe chip.

: Bearbeitet durch User
von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?


von Martin S. (sirnails)


Lesenswert?

Hans H. schrieb:
> TM6 is coming:
> https://thermomix.vorwerk.de/thermomix/tm6/

Seems like Vorwerk is pissed....

von Bimby T. (bimby)


Lesenswert?

Martin S. schrieb:
> Hans H. schrieb:
> TM6 is coming:
> https://thermomix.vorwerk.de/thermomix/tm6/
>
> Seems like Vorwerk is pissed....

Well it seems that they tried to copy the Monsieur Cuisine Connect from 
Lidl...
Allmost all new features could be added to the TM5 with a software 
update...

Here the first test and differences to the TM5: 
https://youtu.be/5fjKtTg441g

Maybe it is time to find out a way how to upgrade the TM5 with the 
software from the TM6... :P

von Ivo B. (ivoburkart)


Lesenswert?

Sieht aus als hätte der TM6 eine Web-basierte Oberfläche :-)

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Ivo B. schrieb:
> Sieht aus als hätte der TM6 eine Web-basierte Oberfläche :-)

Was genau verleitet dich zu dieser Aussage?

von Marco H. (marco_h883)


Lesenswert?

Hans H. schrieb:
> Ivo B. schrieb:
> Sieht aus als hätte der TM6 eine Web-basierte Oberfläche :-)
>
> Was genau verleitet dich zu dieser Aussage?

Wir haben den TM6 zu Hause stehen. Ich würde auch sagen, dass der 
Zugriff auf die Rezeptarchive webbasiert ist. Aber andere Funktionen 
sind wie bisher keine weboberfläche.

von Erlantz L. (erlantz_l)


Angehängte Dateien:

Lesenswert?

Hello from Spain ;)
Boot GUI Sistem (actually working on it):


/opt/Thermomix.sh : script that launches log processes and calls the GUI
/usr/sbin/supervisor : "supervises" tm5 hardware and if all is ok runs
 the thermomix GUI (binary is /opt/Thermomix/Thermomix )
/usr/sbin/supervisor_config.xml : here are the parameters thar reads 
supervisor

We can launch supervisor from shell as root:

supervisor -m SERVICE  :a mode that lifts with preset IP (192.168.76.1), 
mouse and keyboard, uses some port but does not start the GUI

supervisor - m GUI : It runs the GUI, and yo can see a screen but but 
you still can not move forward, I need a mouse

Other servies:

supervisor -m OTA : search upgrade

....

To launch linux  I use the tm5.sh script  that is in this forum 
(Beitrag "Re: Thermomix Rezeptchips") 
but not necessary chroot, and I have changet it to launch witch screnn 
and 256M of ram (max ran to qemu) :

qemu-system-arm -M versatilepb -kernel vmlinuz -initrd initrd.img -m 
256M -hda disk.qcow2 -append "root=/dev/sda1" -redir tcp:8022::22


thins to do:

It,s not necesarry to mount partition, you can make it in same 
partition:
mkdir -p /mnt/rwfs/data/system_config

Copy binaries fron thermomix rootfs

cp -r /tm5/usr/* /usr
cp -r /tm5/opt/* /opt

rc.local form thermomix rootfs is not necessary, only the binaries that 
I mention are necessary

Note: I'm trying to stabilize GUI, from time it falls

: Bearbeitet durch User
von Erlantz L. (erlantz_l)


Lesenswert?

Ikaro P. schrieb:


> P.S. Comming soon might be a guide on running the GUI in an emulator,
> for now it's not usable as the emulated touchscreen driver is sending
> coordinated in 0-32768 range but the GUI needs them in screen pixels.
> Clicking blindly in the left upper corner is just pain in the ass...

Ikaro, in order to run GUI  can you tell what emulated touchscreen 
driver have you use?
Thans

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Anyone still working on a root shell?

von Erlantz L. (erlantz_l)


Lesenswert?

I use a raspberry pi 2b witch chroot, supervisor service works but I 
still have no luck witch  touch screen I can't use screen. If anyone can 
use screen (ikaro) please tell us how can

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Erlantz L. schrieb:
> I use a raspberry pi 2b witch chroot, supervisor service works but I
> still have no luck witch  touch screen I can't use screen. If anyone can
> use screen (ikaro) please tell us how can

I do not know how to apply that with qemu, but I am sure the tm5 uses 
the NOVATEK NT11004 display, this should be the touchscreen driver :)

https://github.com/wondermedia/wm8850/tree/master/ANDROID_3.0.8/drivers/input/touchscreen/novatek

von Erlantz L. (erlantz_l)


Lesenswert?

Maybe the information I am going to provide is useful:
Through the logs of the supervisory service I have discovered that the 
GUI has been developed by the following company: 
https://www.guiliani.de, the version of the Thermomix GUI shared here is 
the Guiliani 1.6, it seems old and on the web there are no references to 
it, however in the binary certain sources are seen, many of them shared 
in the guiliani version 2.1: 
http://guiliani.de/mediawiki/downloads/Guiliani_doc_2.1/files.html

von Bimby T. (bimby)


Lesenswert?

Hi everyone,
Starting 2020 the new TM6 will be build in China, maybe then there 
should be more Chinese Hackers trying to hack it. :P

Just out of curiosity, did anyone here knew of a TM31 clone from South 
Korea? It is called Cooking Master ALLDA (AD-1000):
http://www.allda.co.kr/en/cooking-master-allda/product-specification/
http://www.wordin.com/sub/sub02_05_1.php
https://www.youtube.com/watch?v=xHzhNIyrs6U
https://www.youtube.com/watch?v=y3y5LQniGlc

Happy hacking! :)

: Bearbeitet durch User
von Gunter G. (guntergunter)


Lesenswert?

This video seems to sum it all up (getting a remote root shell, recover 
the key and bypass the digital signature check). Unfortunately it is all 
in French.

https://static.sstic.org/rumps2019/1080p/SSTIC_2019-06-06_P09_RUMPS_06.mp4

von Moritz M. (mom)


Lesenswert?

Gunter G. schrieb:
> This video seems to sum it all up (getting a remote root shell, recover
> the key and bypass the digital signature check). Unfortunately it is all
> in French.
>
> https://static.sstic.org/rumps2019/1080p/SSTIC_2019-06-06_P09_RUMPS_06.mp4

Orrr. Nice picture of the STM32 he has there. Sadly it is mine and CC 
BY-NC-SA 4.0 licensed. Which he obviously forgot to mention in the talk.

von Moritz M. (mom)


Lesenswert?

On Twitter he wrotes:

»Hi, fixed around April (v2.6 or v2.7). There is no English version of 
the slides (I probably should have made those in English for the 
presentation). I'm thinking of doing version of the vid with English 
subtitles.«

https://twitter.com/jmbesnard_maz/status/1140977515252658179

So seems to be fixed already.

von Sigma P. (sigmapic)


Lesenswert?

Gunter G. schrieb:
> This video seems to sum it all up (getting a remote root shell, recover
> the key and bypass the digital signature check). Unfortunately it is all
> in French.
>
> https://static.sstic.org/rumps2019/1080p/SSTIC_2019-06-06_P09_RUMPS_06.mp4

Very interesting but not so happy to see that.

I'm french. So I understand everything.

Guys, everything you need now in order to decrypt recipe chips is 
written on this thread.

He say that he alerted Thermomix about this exploit in January 2019.

At this time if I remember well, we were already able to decrypt the 
receipe chip.

I wonder if this buy is a member of this forum?
Did he post on this thread?

What he didn't explain is how he success to extract the kernel from the 
flash.

von Sigma P. (sigmapic)


Lesenswert?

I don't know if I already posted this link here but it could be usefull 
for you:
https://github.com/SigmaPic/cryptoloop

von Sigma P. (sigmapic)


Lesenswert?

Sigma P. schrieb:
> What he didn't explain is how he success to extract the kernel from the
> flash.

In fact he did it => nanddump

von Mortimer N. (Firma: privat) (ranseyer)


Lesenswert?

Moritz M. schrieb:
> On Twitter he wrotes:
>
> »Hi, fixed around April (v2.6 or v2.7). There is no English version of
> the slides (I probably should have made those in English for the
> presentation). I'm thinking of doing version of the vid with English
> subtitles.«
>
> https://twitter.com/jmbesnard_maz/status/1140977515252658179
>
> So seems to be fixed already.



Hmm, has somebody seen the version with en-subtitles ?

von Sigma P. (sigmapic)


Lesenswert?

Mortimer N. schrieb:
> Hmm, has somebody seen the version with en-subtitles ?


A quick summary:
1. Target: getting a root shell, decrypt receipe chip, bypass signature 
check
2. Exploit communicated to Thermomix in Januay 2019 and patch published 
in March 2019 (he don't say whether Thermomix patched new firmware)
3. He looked to the GUI, find in a menu that TM5 runs linux and request 
source code CD from Thermomix
4. While waiting for CD, he open the receipe chip, find a USB flash in 
UDP format, connect it to a computer, look the entropy and deduce that 
the memory is encrypted => Difficult to do something
5. He got the source code CD. Look at it and find that encryption is 
managed by a modified version of DCP instead of usual crypto API
6. He bought the wifi key, find that communication is SSL encrypted => 
Impossible to do MITM
7. He open the key, find a USB memory, find two partitions on it, find 
that one is writable with a tarball on it
8. He remove the tarball and put the key again in the Thermomix, then 
check again this partition and find that tarball is restored by TM5
9. So he deduce that he can execute tar on a archive he can control and 
he now that some tar version from Busybox are vunerable to directory 
transversal exploit (exploit used to root dji drone)
10. TM5 use tar in 1.23 whereas exploit has been found in 1.22 based on 
CVE report
11. He check the source of code 1.23 and find that exploit has not been 
fixed. Exploit is fixed in 1.28
12. Some constraints: almost everything is read only except /tmp, /etc 
and /var that are mounted in a tmpfs of 512kB. This memory is erase 
after reboot. Tools distributed on the TM5 are very limited but there is 
tcpsvd
13. He decided to use the "script" directive from dhclient and bind a 
shell with tcpvsd. He create the tarball with evreything and his script 
is run when key is attached to TM5
14. He got a shell
15. Look inside TM5
16. Find that AES is usued (grep -r losetup)
17. Find the pass phrase in opt/cookey.txt, try to decrypt and mount it 
but fails
18. He looked in DCP source code and find that the key that is pass via 
losetup is not directly used to decrypt. This key is compared to a key 
harcoded in the kernel and if they match another hardocded key is used 
to decrypt the recipe chip. (This trick allows to store the real key in 
the kernel)
19. He dump kernel with nandflash and extract the key
20. He decrypt the receipe chip, it works!
21. He modify the recipe data base
22. He find that all files are signed and signature is check with 
checksig called by netlink
23. He find a way (explained in the video) to bypass signature check by 
changing USB memory serial
23. To modify the USB serial, either use an MP Tool or emulate a USB 
flash with a raspberry (what he did)
24. Finished

von Moritz M. (mom)


Lesenswert?

Thanks a lot for the summary, would have taken ages for me to figure it 
out with my poor french.

Sigma P. schrieb:
> 2. Exploit communicated to Thermomix in Januay 2019 and patch published
> in March 2019 (he don't say whether Thermomix patched new firmware)


That he wrote in the Tweet above. It was fixed in 2.6 or 2.7 in April 
2019.

As I'm afraid updating my TM5: what is the current version available?

Does anybody know if updating requires updates from minor version to 
minor version (e.g. 2.3->2.4->2.5) incrementally?
Or will it be like the latest version will be installed regardless which 
one is currently running (e.g. 2.3->2.5)?

von Moritz M. (mom)


Lesenswert?

At least getting the root shell should be feasible. Hopefully will find 
some time during the next months.

von Bimby T. (bimby)


Lesenswert?

Sigma P. schrieb:
> 7. He open the key, find a USB memory, find two partitions on it, find
> that one is writable with a tarball on it
> 8. He remove the tarball and put the key again in the Thermomix, then
> check again this partition and find that tarball is restored by TM5

Hi Sigma, ist this correct? What I understood from the video is that the 
two partitions from the WIFI Key are not encrypted and if you delete one 
SQLite database on partition 2, the TM5 will restore it from the cs.tar 
from partition 1.

Anyone that has an updated TM5 can confirm the Busybox version shown on 
the "About" screen of the TM5?

I think I have seen somewhere in the TM5 scripts/source code that there 
is a "switch" that will allow the TM5 to downgrade its firmware, maybe 
we can use it somehow.

Do you think that the guy in the video is Ikaro? He is an Information 
Security Audit & Advisory Senior Manager 
(https://www.linkedin.com/in/jmbesnard), an we wrote here this:

> --Ikaro Psi

> P.S. The security on this machine is very very impressive, I have pretty
> much never seen done anything this right and I do security for living,
> those engineers were thinking of every little detail. Sadly even them
> are only humans :)

I think the best way to explore the TM5 ist to successfully run the TM5 
System/GUI on QEMU or RPI. Ikaro has somehow emulated the touchscreen 
but never gave information how to do that. I think this is one of the 
last pieces that we need to successfully emulate the TM5.

Happy hacking everyone! :)

: Bearbeitet durch User
von Bimby T. (bimby)


Lesenswert?

Bimby T. schrieb:
> I think I have seen somewhere in the TM5 scripts/source code that there
> is a "switch" that will allow the TM5 to downgrade its firmware, maybe
> we can use it somehow.

From /opt/common.sh:

is_downgrade_enabled() {
    spare2=$(cat /sys/devices/platform/mxs-persistent.0/SPARE_2)
    if [ $(($spare2 & $TM41_BM_DOWNGRADE_ENABLED)) -ne 0 ] ; then
        g_status=1
    else
        g_status=0
    fi
}

enable_downgrade() {
    spare2=$(cat /sys/devices/platform/mxs-persistent.0/SPARE_2)
    spare2=$(($spare2 | $TM41_BM_DOWNGRADE_ENABLED))
    echo $spare2 > /sys/devices/platform/mxs-persistent.0/SPARE_2
}

disable_downgrade() {
    spare2=$(cat /sys/devices/platform/mxs-persistent.0/SPARE_2)
    spare2=$(($spare2 & ~$TM41_BM_DOWNGRADE_ENABLED))
    echo $spare2 > /sys/devices/platform/mxs-persistent.0/SPARE_2
}

From /opt/update.sh:

# Only allow downgrade if the special bit in RTC memory is set
# Otherwise only allow version >= current ones
is_downgrade_enabled
get_current_version
if [ $g_status -eq 1 ]; then
    new_version_allowed=1
elif [ $sw_date -ge $g_current_version ]; then
    new_version_allowed=1
fi

# If the new version didn't pass a check and it is not a forced update, 
bail out
if [ $new_version_allowed -eq 0 ] && [ $forced -eq 0 ]; then
    echo "Downgrade is not allowed"
    exit 2
fi

Here are some Novatek Touchscreen (used by TM5 is the NT11004) drivers:
https://github.com/wondermedia/wm8850/blob/master/ANDROID_3.0.8/drivers/input/touchscreen/novatek/novatek.c
https://github.com/crewrktablets/rk30_kernel/blob/master/drivers/input/touchscreen/Novatek_nt11003.c
https://git.congatec.com/android/qmx6_kernel/commit/01539e3aa09e7203a451d567de7cedc4794453ff#b9dd3bb551ac2d88c29329285264a4cdccc79989
https://github.com/endlessm/linux-meson/blob/master/drivers/amlogic/input/touchscreen/novatek.c

Maybe someone knows how to emulate the I2C on QEMU using the serial 
converter from QEMU: 
https://unix.stackexchange.com/questions/119335/how-can-i-simulate-usb-storage-device-connection-with-qemu

von Sigma P. (sigmapic)


Lesenswert?

Bimby T. schrieb:
> Hi Sigma, ist this correct? What I understood from the video is that the
> two partitions from the WIFI Key are not encrypted and if you delete one
> SQLite database on partition 2, the TM5 will restore it from the cs.tar
> from partition 1.

You're right.
There are two partition that are not encrypted.
One contains some database file.
The second a tarball that may be a backup of the first one.
If you delete some file of the first partition, it is restored.
It seems that restoration is done from the tarball.
So, the TM5 open the tarball.
So, with a magic tarball you can get the root shell.

Great job by the way.

von Tom T. (tomtest)


Lesenswert?

I might found something that cloud help sorting out the sql tables:
https://pastebin.com/kpfviZZq

AllRecipes or getGuidedMap seems to be a good starting point to 
understand the structure.

von Bimby T. (bimby)


Lesenswert?

Hi,

does anyone already has asked Vorwerk (opensource@vorwerk.de) for the 
open source code of the new Thermomix TM6?
Would be nice to know if it is possible to convert a TM5 to a TM6... It 
seems that the models are almost identical... :)

von David F. (david_f)


Lesenswert?

Guten Abend,

Bei diesem super langen Thread have ich leicht den Überblick verloren.
Kann mir einer kurz zusammenfassen was der aktuelle Stand ist?
Was ist zurzeit möglich?

Gruß
kolch

von Ralf X. (ralf0815)


Lesenswert?

David F. schrieb:
> Guten Abend,
>
> Bei diesem super langen Thread have ich leicht den Überblick verloren.
> Kann mir einer kurz zusammenfassen was der aktuelle Stand ist?
> Was ist zurzeit möglich?
>
> Gruß
> kolch

Zur Zeit ist so gut wie alles möglich, nicht nur beim Kochen.

von Julian W. (julian-w) Benutzerseite


Lesenswert?

Ein Forenuser konnte den Thermomix überlisten, allerdings ist keine 
Anleitung frei verfügbar. Man muss also selbst den Bug im Quellcode 
suchen, der dies ermöglicht. Allerdings gibt es ein paar Tipps dazu im 
Thread.

von Sebastian K. (5phinxx)


Lesenswert?

Ralf X. schrieb:
> David F. schrieb:
>> Guten Abend,
>>
>> Bei diesem super langen Thread have ich leicht den Überblick verloren.
>> Kann mir einer kurz zusammenfassen was der aktuelle Stand ist?
>> Was ist zurzeit möglich?
>>
>> Gruß
>> kolch
>
> Zur Zeit ist so gut wie alles möglich, nicht nur beim Kochen.

Wow, vielen Dank für deinen Beitrag! Du bist eine richtige Bereicherung 
für dieses Forum 👍

von David F. (david_f)


Lesenswert?

@Sebastian
Danke für dein Kommentar. Ich habe mir das gleiche Gedacht.

@Julian
Schade das es kein wirkliches HowTo gibt. Die Informationen sind ja sehr 
verstreut im Thread.

von Michael W. (mwulz)


Lesenswert?

David F. schrieb:
> @Sebastian
> Danke für dein Kommentar. Ich habe mir das gleiche Gedacht.
>
> @Julian
> Schade das es kein wirkliches HowTo gibt. Die Informationen sind ja sehr
> verstreut im Thread.

@all: es gibt leider auch genau diese Foren User die nur darauf warten 
sinnlose Kommentare abzugeben.

Ich schlage vor die Hacks die hier angeboten werden auf Github zu 
stellen und damit die Thematik einfacher zu gestalten.

Auch ein Switch auf Englisch wie schon vorgeschlagen würde die Thematik 
mehr international machen und den Kreis der Leute die wirklich was 
beitragen können auch vergrößern.

Lg

von Schang S. (Firma: keine) (schang)


Lesenswert?

This security talk wraps it up:
https://static.sstic.org/rumps2019/1080p/SSTIC_2019-06-06_P09_RUMPS_06.mp4

1 - how to get a root shell
2 - how to recover encryption key and decrypt stick
3 - how to bypass digital signature

von Bimby T. (bimby)


Lesenswert?

Michael W. schrieb:
> David F. schrieb:
>> @Sebastian
>> Danke für dein Kommentar. Ich habe mir das gleiche Gedacht.
>>
>> @Julian
>> Schade das es kein wirkliches HowTo gibt. Die Informationen sind ja sehr
>> verstreut im Thread.
>
> @all: es gibt leider auch genau diese Foren User die nur darauf warten
> sinnlose Kommentare abzugeben.
>
> Ich schlage vor die Hacks die hier angeboten werden auf Github zu
> stellen und damit die Thematik einfacher zu gestalten.
>
> Auch ein Switch auf Englisch wie schon vorgeschlagen würde die Thematik
> mehr international machen und den Kreis der Leute die wirklich was
> beitragen können auch vergrößern.
>
> Lg

@To all that do not want to read the complete thread:

- You can find all the steps to change the Cook Key files here (I think 
this procedure was already patched on new firmware releases): 
https://pastebin.com/uSRCEpts

- You can watch a video how to gain root access on an older firmware of 
the Thermomix: https://www.youtube.com/watch?v=iCOBc6JLSGc

If someone successfully managed to run the Thermomix GUI with QEMU, just 
let us know (Ikaro have managed to run it with an emulated Touchscreen 
driver. Sadly he never shared this emulated driver): 
Beitrag "Re: Thermomix Rezeptchips")

von Schang S. (Firma: keine) (schang)


Lesenswert?

The YouTube video seems to be private. If it is yours could you switch 
it to public? Thanks

von Bimby T. (bimby)


Lesenswert?

Schang S. schrieb:
> The YouTube video seems to be private. If it is yours could you switch
> it to public? Thanks

Hi Schang,

I have changed the permissions.
The Youtube video is the same that you have already posted, just on 
youtube so you can turn subtitles on and choose an auto generated 
translation...

Beitrag #6454341 wurde vom Autor gelöscht.
Beitrag #6454350 wurde vom Autor gelöscht.
von David F. (david_f)


Lesenswert?

Bimby T. schrieb:
> - You can find all the steps to change the Cook Key files here (I think
> this procedure was already patched on new firmware releases):
> https://pastebin.com/uSRCEpts

Sorry to hear that is already fix with the new firmware. You are 100% 
sure?

von Bimby T. (bimby)


Lesenswert?

David F. schrieb:
> Bimby T. schrieb:
>> - You can find all the steps to change the Cook Key files here (I think
>> this procedure was already patched on new firmware releases):
>> https://pastebin.com/uSRCEpts
>
> Sorry to hear that is already fix with the new firmware. You are 100%
> sure?

If you watch the youtube video I've posted, you can see the steps to 
gain access to the Thermomix and change a recipe on the cook key.
The security engineer told that he have got the Ok from Vorwerk to show 
this vulnerability because it was already patched on the new firmware 
version...

von Alexander H. (alexander_h390)


Lesenswert?

Does anybody know which is the last firmware with the vulnerability?
2.8?
Mine is still running on 2.4.

von Schang S. (Firma: keine) (schang)


Lesenswert?

I can't remember exactly version numbers but basically it was patched 
around March 2019 so if you can see a timestamp  next to the version 
then you can determine whether you device is still vulnerable.
If your TM5 has never been patched through the Wifi cookkey installation 
then your device is definitely vulnerable.

Finally, check the about menu to find what version of busybox is 
advertised. If it is 1.23xx then it is vulnerable.

von Moritz M. (mom)


Lesenswert?

It was fixed in 2.6 or 2.7.

Did anybody request the firmware from opensource@vorwerk.de for the 
versions > 2.4?

If somebody has it, we can put it to Github/Gitlab for reference. Just 
DM me for details.

2.3 is already available.

von Bimby T. (bimby)


Lesenswert?

Anyone here knows what is the URL to check for a firmware update and if 
it is possible to download the update without the Thermomix? I think I 
have read here that the update is encrypted, is it possible do decrypt 
and access the update files?

von Ben H. (ben_h)


Lesenswert?

Bimby T. schrieb:
> - You can find all the steps to change the Cook Key files here (I think
> this procedure was already patched on new firmware releases):
> https://pastebin.com/uSRCEpts

I confused Cook Key with Recipe Chips and tried the steps above for a 
Recipe Chip USB - but the image doesn't compress much. Is there a method 
to modify the recipes on the Recipe Chips, or just the Cook Key (wifi 
dongle)?

(Have a Thermomix that I didn't think we've allowed the update - its 
Software
202007050000 2.10 - which look new (assuming that's a date) - but 
Busybox says 1.23.2)

von Bimby T. (bimby)


Lesenswert?

Ben H. schrieb:
> Bimby T. schrieb:
>> - You can find all the steps to change the Cook Key files here (I think
>> this procedure was already patched on new firmware releases):
>> https://pastebin.com/uSRCEpts
>
> I confused Cook Key with Recipe Chips and tried the steps above for a
> Recipe Chip USB - but the image doesn't compress much. Is there a method
> to modify the recipes on the Recipe Chips, or just the Cook Key (wifi
> dongle)?
>
> (Have a Thermomix that I didn't think we've allowed the update - its
> Software
> 202007050000 2.10 - which look new (assuming that's a date) - but
> Busybox says 1.23.2)

Wenn I say Cook Key I mean the Recipe Chips (I think the Wifi dongle 
doesn't work)... This method should allow you to edit the Recipes on the 
chip (you need to check the data structure of the recipes)... I also 
recommend using an USB Pendrive that has a tool to change the serial 
number...

von Schang S. (Firma: keine) (schang)


Lesenswert?

Although the attack features the Cook-key (as a way to get a remote 
shell and to then recover the encryption key and eventually to 
understand the digital signature bypass through command injection with 
the USB serial number), the final target is the recipe chip (e.g., the 
small green device you get when you purchase a TM5).

Changing recipes is just a matter of understanding the database 
structure (which can be quite a mess). For example, if you wish to 
change the weight of a particular ingredient for a recipe, you'll have 
to update that information in 2 different tables.
As for actually creating a recipe from scratch, it is slightly more 
difficult.

Changing the serial number requires that you get a memory flash drive 
that will allow serial number update. From what I have experienced, you 
often need to write content (the modified disk image of the recipe 
stick) and to update the serial number at the same time. This operation 
takes a lot of time and will sometimes eventually brick the flash drive. 
Because of that, it is more convenient to simulate a flash drive with an 
OTG-enabled raspberry Pi (Raspberry zero does that, other raspberry 
versions don't). With that setup you can not only change the serial 
number at ease but you can also update data on the fly (which is way 
more convenient when you need to make frequent changes in an attempt to 
modify/create a recipe). It is also more convenient to do that with the 
cook-key (as shown in the video) by putting a USB (male/female) 
extension inside and then plugging the rpi zero (more convenient from a 
connection standpoint).

This looks like this:
[TM5]--[Cook-key]--<USB-extension>[RPI-zero]

Finally, I believe that you also need to power the RPI-zero with USB (so 
both USB OTG and normal USB ports will be used) as the TM5 does not 
provide enough power to boot the RPI.

von Bimby T. (bimby)


Lesenswert?

Schang S. schrieb:
> Because of that, it is more convenient to simulate a flash drive with an
> OTG-enabled raspberry Pi (Raspberry zero does that, other raspberry
> versions don't). With that setup you can not only change the serial
> number at ease but you can also update data on the fly (which is way
> more convenient when you need to make frequent changes in an attempt to
> modify/create a recipe).

Hi Schang, it would be nice if you could post a little "how to" on using 
the RPi Zero as an USB Stick for the TM5... :)

von Schang S. (Firma: keine) (schang)


Lesenswert?

5'23 of the video provides a screenshot of the command line to do that

von Truggy M. (truggy)


Lesenswert?

Hi all,

I've been reading all the thread, and frankly, that's awesome, good job 
guys for all your discoveries. I'll add my share here.

I've been investigating the updates version 2.8 and 2.10, and both of 
them are patched, the exploits in the video of the SSTIC 2019 are no 
longer possible.
Even if busybox version is vulnerable, they have set up a test in the 
update process to refuse the update package if it contains symbolic 
links, hard links, "../" or "/"
This is verified in binary file "/usr/sbin/netlink".

About the step 7 of the procedure https://pastebin.com/uSRCEpts :
"Write image.img back to the Cook Key or USB Pendrive that can be read 
by the machine" : as stated in the video, you also have to change the 
serial number of the USB drive, this is possible on lots of USB devices 
thanks to flashboot.ru files.
BUT, something not really underlined, you ALSO have to make the 
partition of your USB drive be seen like a CDROM filesystem (in the 
video, at position 5:23 you'll see his using the gadget mass_storage 
with option cdrom=y).
Even with flashboot.ru files, I tried on 3 different USB keys I own, and 
I could not write the raw crypted image on the USB drives (image not 
written or not the size of the partition is different from image).
I really think we'd need to find the good usb drive model to do so !

Technical info of one of my USB Cookey shows :
Controller: Silicon Motion SM3257 ENLTAA
Possible Memory Chip(s): Samsung K9ABGD8U0D
Maybe we can find somewhere to buy it ?
I wonder how Matt C. did the hack in his post "04.11.2018 10:28", maybe 
already with raspberry ?

I don't think the file structure or the sqlite tables might be a problem 
to create your own cookey, it's logical. The main problem is the 
signature checking that is not possible anymore to bypass in newer 
versions (at least starting from 2.8, they have added a check to see if 
the serial number only contains numbers)...

The gadget mass_storage might be used to get root shell differently on 
the device, but that would need more investigation and may end to 
nothing ! :)

About the updates, Vorweck has really done a big job to protect this 
input, congrats !
If you're interested, here are the links of :
- version 2.8 root squashfs filesystem :
https://mega.nz/file/0vIU3JoC#MljPXOhZHL82u9_xpFXXC2TKPo3KzxQEElKte0wsar4
- version 2.10 root squashfs filesystem :
https://mega.nz/file/hrAQhTpB#ezcbOKG9ALETVWTPADY-K5YuFfM3WBotgrXEs5bR9sw
- kobs-ng update file containing the kernel of version 2.10:
https://mega.nz/file/0jYkwT5S#z6R6x69xPtsUZjzML7UXybTWYxa6-_-g40cqSU-LPQ0

I'd really love to have my TM5 freed, so that I can share my recipes 
with anyone and without the cookidoo platform !

Cheers !

: Bearbeitet durch User
von Ralf G. (dougie)


Lesenswert?

...in fact it would be fantastic having an image for a RPi zero, which 
emulates a CookKey WiFi Dongle (or at least a CookKey) towards the TM5, 
and offers WiFi capabilities to the other side.... enabling the use and 
storage of own recipies....

von Truggy M. (truggy)


Lesenswert?

I think the communications between TM5 and cookidoo servers are 
encrypted by TLS (of course) and moreover may use TM5 internal 
certificates to connect to this platform.
Therefore, you'd need to extract these certificates from your TM5 to be 
able to create a MITM proxy and decrypt the data : so you need root on 
the device or be able to read the NAND chipset of your TM5...

With reverse engineering you'd might be able to understand the protocol 
communication and emulate the cookidoo servers : well that's an idea if 
the TM5 doesn't wait for authentic certificates from cookidoo...

There should still have possibilities with this wifi, we just have to be 
creative and imagine scenarios :)

: Bearbeitet durch User
von Matt C. (thermomatt)


Lesenswert?

Truggy M. schrieb:
> I wonder how Matt C. did the hack in his post "04.11.2018 10:28", maybe
> already with raspberry ?

I used a normal USB stick - I just went through my collection of USB 
sticks and tried to find the MPTool software for each one, until one 
finally worked.   The USB stick I ended up using was a cheap one that I 
got free from a conference, using Ameco MW6208 chipset, but any should 
be fine if you can find the right software to set the serial number and 
CD-ROM mode.  It is quite a painful process so using RPi is a good idea.

Cheers,
Matt

von Truggy M. (truggy)


Lesenswert?

Thanks Matt for that clarification, I wasn't that lucky with my 3 USB 
drives !

As the busybox version is still vulnerable, it might be possible to 
create a raspberry with mass storage gadget acting like the 2 internal 
partitions of the cookkey wifi.
As shown in the SSTIC video, at 1:11, if the "ext.sdb" file is not 
present in the second partition, the thermomix will recreate the second 
partition (mkfs.ext4) and restore the contents of the file "cs.tar" from 
partition 1 to partition 2.
The new protection in > 2.7 versions is checking for malformed "cs.tar" 
to allow the restoring of the file to partition.
With that mass gadget, I think it would be possible to intercept (on the 
raspberry) the first opening of "cs.tar" and show a valid file, and then 
for the next open of "cs.tar" give a crafted tar file, and boom :)

I haven't worked yet on the linux possibilities to hook those system 
calls, but there's a good chance it's possible to do it in combination 
with mass storage gadget.

Once root on the device, you could simply mount a modified filesystem 
and disable signature checking of the recipes, that is easy.

: Bearbeitet durch User
von Bimby T. (bimby)


Lesenswert?

Matt C. schrieb:
> Truggy M. schrieb:
>> I wonder how Matt C. did the hack in his post "04.11.2018 10:28", maybe
>> already with raspberry ?
>
> I used a normal USB stick - I just went through my collection of USB
> sticks and tried to find the MPTool software for each one, until one
> finally worked.   The USB stick I ended up using was a cheap one that I
> got free from a conference, using Ameco MW6208 chipset, but any should
> be fine if you can find the right software to set the serial number and
> CD-ROM mode.  It is quite a painful process so using RPi is a good idea.
>
> Cheers,
> Matt

I know that the Windows 10 Installation USB Sticks can be written with 
an ISO as CD-ROM using MPALL_F1_7F00_DL07_v503_0A:
https://www.elektroda.com/rtvforum/topic3313834.html

The one I have tested has this FCC-ID and should be a DataTraveler 3.0 
from Kingston (Model: DTM30): https://fccid.io/MSIP-REM-K98-1734

Here a picture of the internals: 
https://mdex-nn.ru/uploads/win10_flash02.jpg

Maybe they still can be found on ebay or amazon...

von Ralf G. (dougie)


Lesenswert?

Truggy M. schrieb:
>
>
> There should still have possibilities with this wifi, we just have to be
> creative and imagine scenarios :)

...I meant an Image which behaves like a Cookey towards the TM5, and 
offers a simple WebPage to the user for adding recipies.... maybe also 
with an option to import dumps from other Cookeys....

Would be cool.... and I guess in the range of available options 
(unfortunately a bit outside my area of expertise at this point in time)

von Ralf G. (dougie)


Lesenswert?

...in addition:

It seems the manufacturer wants to make you move to a new firmware as 
quick as possible. Over the weekend I spent some minutes with our TM5 
and a WiFi CooKey I grabbed on ebay...

Because the TM5 was on its original Firmware from 2016, it was not abel 
to use the Wifi Key and an update with the firmware stored on the Wifi 
Key was neccessary.

Done that I was able to connect to the local Wifi and registered the 
Vorwerk Server, delivering the next message, that a newer Firmware would 
be available.
I refused to do that and found out, that with the current firmware the 
server does not perform any sync betweeen your Cookidoo web account and 
the TM5. ...
It says no sync possible until newer firmware installed....

Hmmmm....

: Bearbeitet durch User
von Bimby T. (bimby)


Lesenswert?

Ralf G. schrieb:

> Done that I was able to connect to the local Wifi and registered the
> Vorwerk Server, delivering the next message, that a newer Firmware would
> be available.
> I refused to do that and found out, that with the current firmware the
> server does not perform any sync betweeen your Cookidoo web account and
> the TM5. ...
> It says no sync possible until newer firmware installed....
>
> Hmmmm....

I think that the old firmware hast an expired certificate and this is 
why it needs a new firmware to connect to the vorwerk servers...

von Ralf G. (dougie)


Angehängte Dateien:

Lesenswert?

Well, I'm afraid it's intentionally.... on the TM5 I can browse recipies 
online from the VW Server, but when adding Recpies with my computer to 
my personal lists on Cookidoo and trying to synchronize with the TM5, it 
mandates a software update...

For obvious reasons I don't want that at this point in time...

Need to read, how to set up a RPi zero in OTG mode and behaving as an 
USB Stick with "our" serial...

von Bimby T. (bimby)


Lesenswert?

Ralf G. schrieb:

> Need to read, how to set up a RPi zero in OTG mode and behaving as an
> USB Stick with "our" serial...

Just check the youtube video @5:22: https://youtu.be/iCOBc6JLSGc?t=322
Here you can see how to configure the RPi Zero W as an Mass Storage 
device: 
https://magpi.raspberrypi.org/articles/pi-zero-w-smart-usb-flash-drive

: Bearbeitet durch User
von Truggy M. (truggy)


Lesenswert?

about mandatory update, it's written in their update change log :
https://support.vorwerk.com/hc/en-us/articles/360008472119-Which-new-functions-do-I-get-for-my-Thermomix-TM5-with-the-latest-update-

They may have strengthened also the server communication or added new 
features that previous firmwares didn't support

About RPi, search for the linux mass storage gadget, instructions are 
quite clear and the video pointed by Bimby gives you the command line.

Has anyone already worked with system hooks ?

von Bimby T. (bimby)


Lesenswert?

Truggy M. schrieb:

> About the updates, Vorweck has really done a big job to protect this
> input, congrats !
> If you're interested, here are the links of :
> - version 2.8 root squashfs filesystem :
> https://mega.nz/file/0vIU3JoC#MljPXOhZHL82u9_xpFXXC2TKPo3KzxQEElKte0wsar4
> - version 2.10 root squashfs filesystem :
> https://mega.nz/file/hrAQhTpB#ezcbOKG9ALETVWTPADY-K5YuFfM3WBotgrXEs5bR9sw
> - kobs-ng update file containing the kernel of version 2.10:
> https://mega.nz/file/0jYkwT5S#z6R6x69xPtsUZjzML7UXybTWYxa6-_-g40cqSU-LPQ0

Hi Truggy,

how did you got access to the new firmware 2.10? Are you able to 
download the updates directly from vorwerk servers? If so, can you tell 
how? :)

von Truggy M. (truggy)


Lesenswert?

Well, I didn't spent time on looking after the url in vorwerk's servers 
: I just connected the wifi cookkey, the thermomix downloaded the 
update, and I took the file "tm5.img" from the second partition of the 
drive in the cookkey.

The extraction of the internal data was a little harder because their 
tool (/usr/sbin/checkimg) needed some little "adjustments" to be able to 
extract the data without complaining...

von Bimby T. (bimby)


Lesenswert?

Truggy M. schrieb:
> Well, I didn't spent time on looking after the url in vorwerk's servers
> : I just connected the wifi cookkey, the thermomix downloaded the
> update, and I took the file "tm5.img" from the second partition of the
> drive in the cookkey.
>
> The extraction of the internal data was a little harder because their
> tool (/usr/sbin/checkimg) needed some little "adjustments" to be able to
> extract the data without complaining...

It would be nice to find out how to get the URL to check if we could 
inject a custom firmware. I suppose that the firmware has a checksum, so 
I was thinking to change part of the firmware swapping bytes from an 
image. Per example: if we have a binary file we would like to patch, we 
seek the needed bytes for the patch on an image and swap them. In 
theory, the image would have bad pixels, but the checksum should be the 
same, because we only swapped the bytes on the firmware.
It would be hard work, but, first thing: is something like this even 
possible? :)

: Bearbeitet durch User
von Truggy M. (truggy)


Lesenswert?

That could be a good idea, but seeing the level of security they have 
put in the product, it's really more than a checksum, I guess they have 
encrypted / verified the update package with RSA certificates :
without the private key, you won't be able to generate a valid update 
package...

If you're interested, here are the complete update files, you'll see the 
format is not understandable and very probably encrypted :
- full update version 2.8 : 
https://mega.nz/file/s2QWgR4A#F6ju-XtenmQ1Unn-l2htUp6eG0CbZnRzsLXqlnjEN0I
- full update version 2.10 : 
https://mega.nz/file/wrYiULAC#9z-R0G23mqF2WAXdR4o4fjdTSy_W5SGfEsptb2IJRgo

von Ralf G. (dougie)


Angehängte Dateien:

Lesenswert?

....today I purchased an used Chip for our TM5, but for an unknown 
reason, the TM5 complaints that he cannot read the chip and I should 
clean the contacts.

Well I did (several times) ... I also opened the chip and bent the 
contacts to the memory stick inside. No luck.

Then I soldered some cables directly between memory stick and the 
contacts... same result....

So I assume the memory stick is simply defect... In case you don't have 
a smart idea what to do with it, I guess I will transform it to an USB 
OTG Interface

: Bearbeitet durch User
von Xeno 2. (xeno22)


Angehängte Dateien:

Lesenswert?

Ralf G. schrieb:
> ....today I purchased an used Chip for our TM5, but for an unknown
> reason, the TM5 complaints that he cannot read the chip and I should
> clean the contacts.
>
> Well I did (several times) ... I also opened the chip and bent the
> contacts to the memory stick inside. No luck.
>
> Then I soldered some cables directly between memory stick and the
> contacts... same result....
>
> So I assume the memory stick is simply defect... In case you don't have
> a smart idea what to do with it, I guess I will transform it to an USB
> OTG Interface

Had the same issues with the cookkey.
I soldered it now directly to the TM5 and still get errors when the sync 
takes too much time/data.
But it seems to be much more stable.
I‘m thinking of directly integrating it into the TM5 and not use the 
external USB port at all...

Were you able to read the USB flash drive directly on a PC/Mac?

: Bearbeitet durch User
von Ralf G. (dougie)


Angehängte Dateien:

Lesenswert?

Xeno 2. schrieb:
> Were you able to read the USB flash drive directly on a PC/Mac?

Not yet tried... will try today.

I slowly start to understand the business case of VW ... They stopped 
production of the keys and want all to use the CookiDoo Portal, as this 
gives constant revenues.... which the CokKeys do not. And to apply some 
pressure, you can't use the portal unless you have a new firmware on 
your TM5

However, the web is full of reports of CookKeys not working.... how can 
that be? I never came across of a standard USB Stick failing in 
years....
Is this intentionally or only lousy design/quality?

Edit: in Windows it comes up as CD Device with Partition and 
Drive-Letter, however no contents can be shown.

Linux says:

[  633.779020] usb 1-1.2: new high-speed USB device number 5 using 
dwc_otg
[  634.631705] usb 1-1.2: New USB device found, idVendor=090c, 
idProduct=1000, bcdDevice=11.00
[  634.631737] usb 1-1.2: New USB device strings: Mfr=1, Product=2, 
SerialNumber=3
[  634.631752] usb 1-1.2: Product: USB Flash Disk
[  634.631762] usb 1-1.2: Manufacturer: General
[  634.631775] usb 1-1.2: SerialNumber: 5080000495520002
[  634.650843] usb-storage 1-1.2:1.0: USB Mass Storage device detected
[  634.652421] usb-storage 1-1.2:1.0: Quirks match for vid 090c pid 
1000: 400
[  634.652711] scsi host0: usb-storage 1-1.2:1.0
[  634.662315] usb 1-1.2: USB disconnect, device number 5
[  634.899285] usbcore: registered new interface driver uas
[  635.689058] usb 1-1.2: new high-speed USB device number 6 using 
dwc_otg
[  635.821919] usb 1-1.2: New USB device found, idVendor=090c, 
idProduct=1000, bcdDevice=11.00
[  635.821950] usb 1-1.2: New USB device strings: Mfr=1, Product=2, 
SerialNumber=3
[  635.821965] usb 1-1.2: Product: USB Flash Disk
[  635.821976] usb 1-1.2: Manufacturer: General
[  635.821990] usb 1-1.2: SerialNumber: 5080000495520002
[  635.840126] usb-storage 1-1.2:1.0: USB Mass Storage device detected
[  635.845590] usb-storage 1-1.2:1.0: Quirks match for vid 090c pid 
1000: 400
[  635.846693] scsi host0: usb-storage 1-1.2:1.0
[  637.210207] scsi 0:0:0:0: CD-ROM            General  USB Flash Disk 
1100 PQ: 0 ANSI: 2
[  637.283414] scsi 0:0:0:0: Attached scsi generic sg0 type 5
[  637.351012] sr 0:0:0:0: [sr0] scsi3-mmc drive: 0x/0x caddy
[  637.351041] cdrom: Uniform CD-ROM driver Revision: 3.20
[  637.355808] sr 0:0:0:0: Attached scsi CD-ROM sr0

: Bearbeitet durch User
von Xeno 2. (xeno22)


Lesenswert?

Ralf G. schrieb:
> Xeno 2. schrieb:
>> Were you able to read the USB flash drive directly on a PC/Mac?
>
> Not yet tried... will try today.
>
> I slowly start to understand the business case of VW ... They stopped
> production of the keys and want all to use the CookiDoo Portal, as this
> gives constant revenues.... which the CokKeys do not. And to apply some
> pressure, you can't use the portal unless you have a new firmware on
> your TM5
>
> However, the web is full of reports of CookKeys not working.... how can
> that be? I never came across of a standard USB Stick failing in
> years....
> Is this intentionally or only lousy design/quality?
>
> Edit: in Windows it comes up as CD Device with Partition and
> Drive-Letter, however no contents can be shown.

I've seen many flash drives die - especially those that are being given 
out as adverts - also SanDisk Extreme SD-Cards die often.

I think the TM5 has a lot of design flaws. To force a new firmware makes 
sense to protect their IP... I'm not very happy with the TM5 and this 
USB port... thats why I want to get rid of it.

Regarding your "Recipe chip" (its not the CookKey with WiFi, right?): At 
least windows is able to read the partition table.
So it could be useable?! Are the contacts on you TM5 ok? Try some IPA to 
clean it - but just a wild guess.

Maybe someone else has any clue about your problem.

von Truggy M. (truggy)


Lesenswert?

@Ralf : correct me if I'm wrong, as long as I remember, the thermomix 
also detects the presence of a Cookey using the magnets inside the 
Cookey.
@Xeno 2 : I see that you haven't put magnets on your thermomix, is your 
cookey wifi working ?

von Ralf G. (dougie)


Lesenswert?

Sorry for being not clear enough :-)

I had to take out the magnets for solderig. Too annoying that they flip 
to the tip of the soldering iron all the time. Were put back in for 
testing of course.

Both the original "Kochbuch" and the WiFi Key work without problems. 
Seems only related to the Cookey I purchased second hand.
I'm now reading the whole thread a second (or third?) time (now at early 
2015)...

In between I got the SMI Tool Carlos mentioned and I should be able to 
clone a chip when having the proper USB Sticks....

I took a dd image from my defective chip, but I'm afraid this data to be 
corrupt. Otherwise the TM5 should read it...

von Xeno 2. (xeno22)


Lesenswert?

Truggy M. schrieb:
> @Ralf : correct me if I'm wrong, as long as I remember, the thermomix
> also detects the presence of a Cookey using the magnets inside the
> Cookey.
> @Xeno 2 : I see that you haven't put magnets on your thermomix, is your
> cookey wifi working ?

@Truggy M.:
Yes, CookKey(including WiFi) works for me without any magnets - didn't 
even know that there could be some reed or hall-effect sensor.
But I think the shielding of the USB data lines is an issue for me since 
long syncs (a lot of cook books) are aborted with different error codes.

von Truggy M. (truggy)


Lesenswert?

@Ralf : you can try to mount your dd image using the following linux 
commands :
echo -n 2faf32c6f26b5cc021c18988019af3a5 | xxd -r -p > tm.key
cryptsetup create recipes YourDDImage.img -c aes-cbc-plain -s 128 
--key-file tm.key
mkdir recipesmount
mount /dev/mapper/recipes recipesmount

If the mount command works, your image is correct, else all is lost :(

@Xeno 2 : thanks for the confirmation, I'll try without the magnets on 
my TM5 !

von Ralf G. (dougie)


Lesenswert?

Great stuff Truggy...

This is what I get from the mounted image (mounted at /mnt/cdrom):


root@raspberrypi:/mnt/cdrom# ls -la
insgesamt 5765
drwx------ 3 root root      77 Jun  5  2014 .
drwxr-xr-x 3 root root    4096 Dez  1 12:28 ..
-rwxr-xr-x 1 root root 5898240 Jun  2  2014 ext.sdb
-rw-rw-r-- 1 root root     256 Jun  5  2014 ext.sdb.sig
drwxr-xr-x 3 root root      28 Jun  2  2014 material

von Truggy M. (truggy)


Lesenswert?

Great !
now you can try with SMITool to reproduce your faulty drive (good luck 
!), don't forget to set the same serial as your original Cookey !

von Ralf G. (dougie)


Lesenswert?

Yes, thanks for confirming!!!

However I will try skipping the step using another USB Stick, but using 
a RPi zero in USB OTG Mode instead. Maybe I can also install a small 
Selector switch on some of the RPi ios and switch between multiple 
images.

von Peda D. (peterdan8888)


Angehängte Dateien:

Lesenswert?

Hallo,
I habe angefangen dem Editor von Kyroth das Datenbankformat vom Rezept 
Chip beizubringen.
Das entpackte Image vom Rezept-Chip (enc_dump) wird benötigt um den 
Editor zu testen.
Zzt. kann er nur Rezeptdaten einlesen. TM-Schritte und 
Änderungen/zufügen folgt im Laufe der Zeit.
Kann das alles nur nicht testen, da der Raspistick bei mir leider nicht 
funzt.
Würde mich sehr freuen wenn jemand mit mehr Zeit und/oder besseren 
Programmierkenntnissen
das Teil übernehmen will (Benötigt HTML/JS/SQL Kenntnisse)
Quellcode ist zzt ein wenig chaotisch da ich einfach über den Code von 
Kyroth "drüberprogrammiert" habe.
Das Bild stammt von einem Test, lasst euch also nicht verwirren, er 
liest das schon richtig ein.

Hello,
I have added basic database support for Kyroth's editor (from 2016)
atm, it can only read in the recipes from the cook stick (enc_dump is 
needed from your recipe-chip).
I can unfortunately not test whether changed/new data is compatible, 
because the raspi stick does not work for me.
But i will continue on this editor until somebody with better 
programming skill and/or more time will adopt it.
It uses HTML/JS/SQL and was tested on Mozilla and Chrome.
Scource Code is a mess right now, because I have overwritten SOME parts 
to get the database included.
The picture is from a test so don't get irritated - recipe reading works 
well.

Peter

von Ralf G. (dougie)


Lesenswert?

...just a short one: do the "old" Cookeys still work with the latest TM5 
firmware? I can't imagine why they should not....

Reason for asking: for now I refused to install the latest Firmware 
Update, which is advertized everxy time when starting the TM5 with Wifi 
Key plugged in.
The disadvantage is, that you don't get your TM5 to sync with the VW 
Server with an outdated Firmware.

But in case understood correctly, there's no way to block a cloned 
Recipies Chip, because it can't be differentiated by the TM5 if its 
original or clone, right? Don't want to close a door I probably would 
like to go through soon.

In particular: does the serial number glitch with the RpiZero still work 
with the latest firmware?

: Bearbeitet durch User
von Truggy M. (truggy)


Lesenswert?

@Peda : wouhaou, what a work ! how long have you been working on it, 
that's a real good start !

@Ralf : yes, of course "old" Cookeys still work with the latest TM5
firmware.
And no, I think there is no way to distinguish an original from a cloned 
stick, it should only be based on encryption key (tm.key) and serial 
number.
As I said, the serial number glitch won't work directly on newer 
firmware : they have implemented a pre-check to see if all bytes of the 
serial number are numerical.
Note : you can get rid of the update advertising by removing the file 
tm5.img in the second partition of the cookey; maybe the tm5 will 
re-download it as soon as it is connected to internet, to be checked !

: Bearbeitet durch User
von Ralf G. (dougie)


Lesenswert?

Truggy M. schrieb:
> As I said, the serial number glitch won't work directly on newer
> firmware : they have implemented a pre-check to see if all bytes of the
> serial number are numerical.

Understood! But setting it to the serial stored on the original stick 
might work?

> Note : you can get rid of the update advertising by removing the file
> tm5.img in the second partition of the cookey; maybe the tm5 will
> re-download it as soon as it is connected to internet, to be checked !

Unfortunately I'm one step ahead: I installed the firmware stored on the 
WiFi Stick, because without, our TM5 refused to work with WiFi at all.
Now, with this version installed and when connected to WiFi & Internet, 
each time when starting up, the TM5 does a Firmware version check.
And as said: it refuses to sync with the VW Cookidoo Server until more 
recent Firmware is installed. In this state the WiFi Stick is more or 
less useless.

Will try to complete the adaptor today, connecting the RPi to the TM5


By the way: I guess I do know now, why the original stick was refused by 
the TM5: from the mounted image I tried to copy all files for playing 
with the database. It seems that about 50 images are broken. cp reports 
an io error and those have a lenght of zero.
Does someone have an intact image for me please? As I own the original 
key, I hope this should not violate any copyright.

: Bearbeitet durch User
von Truggy M. (truggy)


Lesenswert?

Ralf G. schrieb:
> Understood! But setting it to the serial stored on the original stick
> might work?

I think Yes.
Actually, I have recreated an image of a cookey recipe, encrypted it, 
and managed to write it on a USB drive with correct serial number :
if I dump the image it can be mounted correctly, but it doesn't work on 
my TM5...
I'll have a closer look at what's wrong : the mount of the device 
"/dev/sr1" fails on my linux, whereas the dump works, strange...

von Truggy M. (truggy)


Lesenswert?

ok, I found my error, the clone is working :
I tried to setup an ext4 filesystem but when decrypted the cookey is a 
squashfs filesystem...
I could also add a file in the filesystem of my clone, the cookey is 
still working !
Note : my TM5 detects the cookey ONLY if the magnets are present

von Tobias C. (toco)


Angehängte Dateien:

Lesenswert?

I had success with a Raspberry Pi Zero W and an image I created a while 
back.
Thanks everyone for the instructions.

I got a used recipe chip off of e-bay (to reduce friction at home ;)) 
and replaced the USB stick with a USB extension cable.
The next step will be to modify the existing image to add own recipes…

von Truggy M. (truggy)


Lesenswert?

@Ralf : Which cookey was it ?

And good job Tobias, looks good !
Luckily if you have an old firmware and you can use the flaw of the 
serial number to modify the recipes.
Mine has been updated, I need to find another way around !
As someone proposed before, you could imagine a small touchscreen on the 
rpi to switch from a cookey image to another ;)

Note : cookey raw images are about 4GB, but compressed it only use 3Mb : 
you could put all known cookeys in a single RPi (And I think it will 
work) :)

von Ralf G. (dougie)


Lesenswert?

Truggy M. schrieb:
> @Ralf : Which cookey was it ?

It was "Wertvoll geniessen" .... do you want to see a pic as a proof of 
ownership? ;-)

von Truggy M. (truggy)


Lesenswert?

Ralf G. schrieb:
> It was "Wertvoll geniessen" .... do you want to see a pic as a proof of
> ownership? ;-)

Unfortunately I don't have this cookey...

I'd guess that all same cookeys have the same serial number, but it's 
only a guess : I'll check with friends if this is the case !

If the serial doesn't change, you could ask anybody to give you its 
files, though I don't know how legal this is (if you really care about 
it !!)

von Ralf G. (dougie)


Lesenswert?

...for testing purposes, I would also be happy with any other working 
image, except the "Kochbuch" :-)

BR
Ralf

von Tobias C. (toco)


Lesenswert?

I’d really stay away from anything other than knowledge sharing here.
We don’t want to give Vorwerk any reason to claim it’s about copyright 
violation and “piracy”.
At least from my perspective it’s solely about exploring the tech and 
being able to create my own guided recipes.

von Truggy M. (truggy)


Lesenswert?

Complete agree Tobias, you're right.
My goal is to have free, shared and legit recipes : I wouldn't be 
investigating this if Vorweck have an open system !

von Fipsy O. (od1n)


Lesenswert?

Nice, that there are working Chips with rPi to make sure that clones of 
the books can be saved and used! :-)

OT: Is there a stored copy of this whole thread? Only for the case that 
it'll be shut down  deleted  whatever? If it'll happen, I think a 
discord channel would be a perfect way to continue this topic.

von Peda D. (peterdan8888)


Angehängte Dateien:

Lesenswert?

Truggy M. schrieb:
> @Peda : wouhaou, what a work ! how long have you been working on it,
> that's a real good start !

don't ask :(
but I made some progress in code cleanup, more supported tables etc.
the database is a MESS. most data is double (or more) in the tables, 
much useless data and, and, and...
but I hope to get guideSteps in the sidebar soon completed.
what you see in the sidbar picture is a mix of real and test data, but I 
have my hands on it.
if anybody has trouble with this editor just drop me a line - I will fix 
it.
my biggest problem is that I cannot test the database on writing. either 
the sig is  opened soon ;) or I will need a painless betatester for this 
phase.

btw, my email provider (squirrelMail) told me today:
1
Dataloss: All changes made to accounts between 25th November at around 7:30 and 2nd December 11:00 UTC were lost due to a disk corruption resulting in a corrupted database. Accounts created during that timeframe will have to be re-created.

so if you already send me a mail - you have to do it again :(
1
many thanks to the guys here in the forum. i didnt had a chance to make anything on my own here. the work on the encryption, the skeleton of the editor, the tutorial for the pi-stick - whick didnt work for me :( etc...
2
i am proud that I can give someting back!

von Peter T. (Firma: 420 blaze it) (peterteter420)


Lesenswert?

Don't waste your time with the sticks, rather read the whole thread and 
wait for our discord server.

von Tobias C. (toco)


Lesenswert?

Peter T. schrieb:
> Don't waste your time with the sticks, rather read the whole thread and
> wait for our discord server.

Why would you want to distract by moving to a discord server? I see no 
benefit in it.

von Peter T. (Firma: 420 blaze it) (peterteter420)


Lesenswert?

Tobias C. schrieb:
> Peter T. schrieb:
>> Don't waste your time with the sticks, rather read the whole thread and
>> wait for our discord server.
>
> Why would you want to distract by moving to a discord server? I see no
> benefit in it.

I only want to help with my information.

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

We can do:
- decrypt cook-sticks, modify and add recipes with a python library
- simulate cook-sticks with rpi zero
- download recipes from cookidoo and add them to a cook-stick
- make TM accept modified cook-sticks on firmware 2.4 and before
- gain root access on firmware 2.4 and before
- emulate firmware with qemu, unpack update packages

We can not do:
- make TM accept modified cook-sticks on firmware >2.4
- gain root access on firmware >2.4
- downgrade TM to 2.4
- emulate TM's touchscreen gui with qemu

We will do:
- create web gui running on rpi zero, using the library, to add, edit 
and share recipes comfortably

We could do:
- test things for you with root access on our second TM
- help you working on downgrading to 2.4


If you have questions or want to contribute to the web gui, please write 
a message.

[cook-stick=no wifi]

: Bearbeitet durch User
von Peter T. (Firma: 420 blaze it) (peterteter420)


Lesenswert?

Today I noticed that the known signature bypass doesnt work on older 
firmware versions. I cant verify it since I have no dump of these 
versions.

So if your TM doesnt accept your stick even tho you did everything 
right, you maybe need to update to 20160523 with a cook-key.

von Peter T. (Firma: 420 blaze it) (peterteter420)


Lesenswert?

Please can someone with firmware version 2.5, 2.6 or 2.7 post 
busybox+dhcp version(check in TM settings menu) and netlink hash/update 
image(extract from the cook-key)?

von Tinco A. (tandroid)


Lesenswert?

Hi Peter/All,

As requested

Version 201504080000
BBox 1.15.0
DHCPD 3.0.3b1

I have no WIFI CookKey. This machine has never been updated.

I own two recipe chips that the machine refuses to read (non german). 
One starts reading and then gives C513 error the other is not recognized 
at all.

Trying to fix this I disassembled the chips and dumped on the PC without 
any read problem (dd if=/dev/sr1 of=file.img) Not sure if I needed to 
skip any bytes.

Then I've setup a Raspberry pi zero to try to see if I could simulate 
the chips. On machine I've got an error stating that the product is not 
genuine. On PC I can dump the simulated raspberry successfully but 
truncated to g_mass_storage max CD size (2.4 Gb).

I tried:
- Setting the original serial number
- Setting serial injection hack.
- Setting all product/vendor... parameters

I have not been able to mount the images in my computer. I think that 
the key might be different.

I'm available to test anything required.

von Tinco A. (tandroid)


Lesenswert?

Tinco A. schrieb:
>
> I have not been able to mount the images in my computer. I think that
> the key might be different.

Update: I managed to mount one of the images. The key works.

I could see the pictures but the database is corrupt.

[13470.092436] SQUASHFS error: Unable to read data cache entry [1e3a3]
[13470.092437] SQUASHFS error: Unable to read page, block 1e3a3, size 
b1a6
[13470.092543] SQUASHFS error: lzo decompression failed, data probably 
corrupt
[13470.092545] SQUASHFS error: Failed to read block 0x1e3a3: -5
[13470.092853] SQUASHFS error: lzo decompression failed, data probably 
corrupt
[13470.092855] SQUASHFS error: Failed to read block 0x14c7e: -5


When using this chip on the machine it displays the splashscreen and 
then it fails. Probably when trying to open the database.

I think that I would need to find a working chip.

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Tinco A. schrieb:
> Hi Peter/All,
>
> As requested
>
> Version 201504080000
> BBox 1.15.0
> DHCPD 3.0.3b1

Thanks for your help, I wrote you a message to fix your problems.

@Everyone:
If you have tm5.img files or dumps of the wifi-cookey(2019 or older), 
please send them to me.
I already collected the following:


20160523 - md5: 7bf5904c8c7d1cc1d220aacb26afb321

20170629 - md5: 32017f670bcf3d948e0a9fd6da4230a3

20170913 - md5: 1e693b9f6189ddf94697d7976ab33a9c

20190710 - md5: 2fd89e67848dfe05c6dc5201a439aa70

von Tinco A. (tandroid)


Lesenswert?

Hi,

I wrote a service to create custom recipes database. A format to share 
recipes and other few extra things.

Enjoy and feel free to test and give feedback.

Please check at:

https://gitlab.com/tincomisc/recipeton

von Tom G. (masterx244)


Lesenswert?

Fipsy O. schrieb:
> Nice, that there are working Chips with rPi to make sure that clones of
> the books can be saved and used! :-)
>
> OT: Is there a stored copy of this whole thread? Only for the case that
> it'll be shut down  deleted  whatever? If it'll happen, I think a
> discord channel would be a perfect way to continue this topic.

https://web.archive.org/web/20210522150711/https://www.mikrocontroller.net/topic/thermomix-rezeptchips?page=single
anything before this post should appear at this link soon. (for creating 
a newer freeze use the "save page now" feature of the wayback machine)

Edit: falscher Timestamp in der url korrigiert

: Bearbeitet durch User
von Nicolas P. (nplanel)


Lesenswert?

I everybody


I'm looking to repair a TM5, where it seems the flash has been corrupt 
or is bad.
Anyone already dump the raw flash image (128MB) for the TM5 somewhere ?

Did someone already done a wiki and or markdown site on github or 
somewhere with interessting information (serial ports, protocol used, 
....) ?

Thanks in advance !



Ich möchte ein TM5 reparieren, wo es scheint, dass der Flash beschädigt 
oder schlecht ist.
Hat jemand schon irgendwo das Raw-Flash-Image (128 MB) für das TM5 
abgelegt?

Hat jemand schon eine Wiki- und/oder Markdown-Site auf github oder 
irgendwo mit interessanten Informationen (serielle Ports, verwendetes 
Protokoll, ....) erstellt?

Viele Danke


Nicolas

von Andre K. (andre_k502)


Lesenswert?

My TM5 currently shows an error code (C150) followed by an automatic 
shutdown. This is related to a mechanical problem which already has been 
repaired. Did the research on the debug port yield any results towards 
resetting stored errors? Any hint/PN would be highly appreciated.
Disclaimer: I am not interested in cloning anything but rather to 
execute my right to repair.

Thanks.

von Truggy M. (truggy)


Lesenswert?

Hello guys,

It's been a while !
Well, hope there's still people here who want to take control of the 
device :)

I think I've found a way to downgrade the device, it may not work if you 
have the latest 2.12 version.

This will ease a lot the research to free the device for the ones like 
me who have an already patched firmware after the ethical report of the 
french researcher (very good writeup / speaker Jean-Michel !).

I think we can go back to the vulnerable firmware 20160523.
For now, I'm quite fearful to try it on my device (yeah, my wife would 
kill me!), do you think it's really risky ?

Cheers !

PS : I usually don't look at my emails / private message, please 
consider posting here first

von Hans H. (Firma: kobs-ng) (haschhans)


Angehängte Dateien:

Lesenswert?

Truggy M. schrieb:
> Hello guys,
>
> It's been a while !
> Well, hope there's still people here who want to take control of the
> device :)
>
> I think I've found a way to downgrade the device, it may not work if you
> have the latest 2.12 version.
>
> This will ease a lot the research to free the device for the ones like
> me who have an already patched firmware after the ethical report of the
> french researcher (very good writeup / speaker Jean-Michel !).
>
> I think we can go back to the vulnerable firmware 20160523.
> For now, I'm quite fearful to try it on my device (yeah, my wife would
> kill me!), do you think it's really risky ?
>
> Cheers !
>
> PS : I usually don't look at my emails / private message, please
> consider posting here first

Hey Mate,
Great to read that there are stil ppl working with the device, we worked 
hard to free the device but I dont see many ppl benefit from it.

I am excited to test your downgrade method, I also already found a way 
to upgrade to a specific version on purpose, which is necessary since 
the root shell was only introduced with the wifi firmware.

Feel free to contact me and also checkout the subreddit :p

Edit:
I originally planed to make some polished showcase video about what you 
can do with the tm, but there was no time for that. So instead I am 
sharing some bad recordings I found on my hard drive, maybe it will 
motivate someone to work with the tm, we are still missing a DOOM build 
:)

: Bearbeitet durch User
von Jonas W. (jonaswi)


Lesenswert?

Hans H. schrieb:

>
> Edit:
> I originally planed to make some polished showcase video about what you
> can do with the tm, but there was no time for that. So instead I am
> sharing some bad recordings I found on my hard drive, maybe it will
> motivate someone to work with the tm, we are still missing a DOOM build
> :)

Wow! That interface looks neat! Would love to have that on my TM5 as 
well. I have a really old version installed right now, 2014something. 
But as far as I have seen, I first need a cook-key/cookido for 
rooting/to gain access.

Would you provide your modified firmware?

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Jonas W. schrieb:
> Hans H. schrieb:
>
>>
>> Edit:
>> I originally planed to make some polished showcase video about what you
>> can do with the tm, but there was no time for that. So instead I am
>> sharing some bad recordings I found on my hard drive, maybe it will
>> motivate someone to work with the tm, we are still missing a DOOM build
>> :)
>
> Wow! That interface looks neat! Would love to have that on my TM5 as
> well. I have a really old version installed right now, 2014something.
> But as far as I have seen, I first need a cook-key/cookido for
> rooting/to gain access.
>
> Would you provide your modified firmware?

I dont have a pre-wifi firmware dump to analyze, but as far as I 
remember the serial number exploit was also introduced with the wifi 
firmware, so I think you at least need version 201605230000 to have some 
fun.

The good news: you can update to a specific firmware version, even 
without a real cookidoo, by simulating the wifi cookidoo with a 
raspberry pi zero and placing the update package on the simulated 
cookidoo. I will release a step by step tutorial for this very soon. 
After the update you can use the serial exploit to run scripts on the 
tm5. With an USB hub you can also mount another usb drive to dump files.

Regarding my UI image: this is just a joke, sorry :D it only shows a 
static image of the new TM6 UI. Maybe we will do some custom UI in the 
future.

von Schang S. (Firma: keine) (schang)


Lesenswert?

The injection through the serial USB number was fixed around March/April 
2019 so any version before that will do.

There is also an unpublished way (MSD TOCTTOU-based) of rooting the TM5 
on version prior to around March 2021.

Hans (check your priv messages :) )

von Truggy M. (truggy)


Lesenswert?

Hans H. schrieb:
> The good news: you can update to a specific firmware version, even
> without a real cookidoo, by simulating the wifi cookidoo with a
> raspberry pi zero and placing the update package on the simulated
> cookidoo. I will release a step by step tutorial for this very soon.
> After the update you can use the serial exploit to run scripts on the
> tm5. With an USB hub you can also mount another usb drive to dump files.
>

Hans, are you able to downgrade the device with your method ?
From what I've searched it doesn't look possible "easily", yet I haven't 
analyzed the possibilities of the AX88772/72A/72B adapter.

Thank you Schang too for the report of TOCTTOU, I was about to spend 
some time on it, do you think they fixed the problem after having read 
my message of 14.11.2020 15:13 ?

Something else, does anyone know if the rootfs is signed and checked at 
bootup ?

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Truggy M. schrieb:
> Hans H. schrieb:
>> The good news: you can update to a specific firmware version, even
>> without a real cookidoo, by simulating the wifi cookidoo with a
>> raspberry pi zero and placing the update package on the simulated
>> cookidoo. I will release a step by step tutorial for this very soon.
>> After the update you can use the serial exploit to run scripts on the
>> tm5. With an USB hub you can also mount another usb drive to dump files.
>>
>
> Hans, are you able to downgrade the device with your method ?
> From what I've searched it doesn't look possible "easily", yet I haven't
> analyzed the possibilities of the AX88772/72A/72B adapter.
>
> Thank you Schang too for the report of TOCTTOU, I was about to spend
> some time on it, do you think they fixed the problem after having read
> my message of 14.11.2020 15:13 ?
>
> Something else, does anyone know if the rootfs is signed and checked at
> bootup ?

I thought you know a downgrade method :D

I will make further investigations to check the OTP fuses that are 
meaned to be burned with updates. Idk if its possible to bypass them 
atm.

I also played around with the AX88772/72A/72B adapter but could not find 
anything useful yet.

von Truggy M. (truggy)


Lesenswert?

Well, based on a single test for now, downgrade method looks to be 
working !

I strongly advise not to update to the latest firmware if you want to 
free your device ;)

More information to come...

von SK F. (skfu)


Lesenswert?

hey guys, I've read through this thread with great interest and wondered 
if you would be interested to join a discord server for easier 
information sharing. I've just created one here for any RE discussions 
regarding TM5, TM6, ...:

https://discord.gg/FrhGSQyWJp

Would be appreciated if you join and probably boost progress :)

von Tobias C. (toco)


Lesenswert?

Yet another discord? 🤨

von SK F. (skfu)


Lesenswert?

Didnt know there is already one? In case there is, please share the 
invitation link, I'll delete the obsolete post then

von Truggy M. (truggy)


Lesenswert?

You'll be glad to hear that we have found another good vulnerability, 
tests are really promising, stay tuned ;)

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Truggy M. schrieb:
> You'll be glad to hear that we have found another good vulnerability,
> tests are really promising, stay tuned ;)

Chad Truggy strikes again :3

von David F. (david_f)


Lesenswert?

Tobias C. schrieb:
> Yet another discord? 🤨

If a discord available please share the link.

von Gilbert H. (gilbert_h)


Lesenswert?

The Discord link from @SK F. now links to the old Discord, once you 
join.

von Truggy M. (truggy)


Lesenswert?

Hello back there !

Good, we've now got working 2 proofs of concept to root the TM5.
Before releasing it publicly, I'd like to give Vorwerk the opportunity 
to have a look at them and evaluate the risks for them, as a responsible 
vulnerability disclosure.
So, if anyone working at Vorwerk (security, IT, support, ...) is still 
reading this thread, I'm willing to first share with you the details.
Please write me a private message through the forum messaging, or in 
discord.

The last vulnerability was marked here the 25th of march, I'll wait 
until the 25th of June (3 months after) and will release it publicly if 
no contact is made.

Thank you !

von Jc M. (jc_m)


Lesenswert?

Hello @truggy.
Any update??

von Thomas R. (Gast)


Lesenswert?

Bevor die Suppe warm ist sind die Elkos des Thermo-Zeug kaputt.

von Truggy M. (truggy)


Lesenswert?

Hello,

I've been contacted by Vorwerk, so I won't be releasing details of the 
POCs until agreed with Vorwerk, sorry for those who were waiting for it 
with a lot of hope...
I'll post the news here or in Discord when possible.

Cheers!

von Enrique S. (enrique_s)


Lesenswert?

Gilbert H. schrieb:
> The Discord link from @SK F. now links to the old Discord, once
> you
> join.

Hi Gilbert, It is impossible to be added to the Discord. My user is 
somo19976#0329

von Gilbert H. (gilbert_h)


Lesenswert?

New TM5 firmware is released.

V2.13

```
Build date: 202208220000
Comment: RELEASEXXXX
Forced update: False

SHA256: 512b58965e8d8018a4cb5fc834c114a7a1cfb2861a5e9d16df323553c9fbd37b 
tm5.img
```

- New safety warnings added

Source: 
https://www.vorwerk.com/de/de/c/home/service/thermomix/sicherheitshinweise?utm_source=Cookidoo&utm_medium=Vorwerk&utm_campaign=Organic_Vorwerk_Broad_Brand_Cookidoo_Thermomix-Profile_TM6_2022-08-Messbecher&utm_content=Cookidoo_2022-08-Messbecher_x__x

von Hans H. (Firma: kobs-ng) (haschhans)


Lesenswert?

Enrique S. schrieb:
> Gilbert H. schrieb:
>> The Discord link from @SK F. now links to the old Discord, once
>> you
>> join.
>
> Hi Gilbert, It is impossible to be added to the Discord. My user is
> somo19976#0329

You should be able to join the discord server with this link:
https://discord.gg/3XX2PQxWBv

von Alexander (gmalex)


Lesenswert?

Hans H. schrieb:
> We can do:
> - decrypt cook-sticks, modify and add recipes with a python library
> - simulate cook-sticks with rpi zero
> - download recipes from cookidoo and add them to a cook-stick
> - make TM accept modified cook-sticks on firmware 2.4 and before
> - gain root access on firmware 2.4 and before
> - emulate firmware with qemu, unpack update packages

Are there any sources for that, a Github repo with tutorials or 
something similar?

von Raul K. (ramelio)


Lesenswert?

Was mich mal interessieren würde an alle die sowas zu Hause haben: Wie 
oft nutzt ihr das wirklich zum kochen?

von Mortimer N. (Firma: privat) (ranseyer)


Lesenswert?

Raul K. schrieb:
> Was mich mal interessieren würde an alle die sowas zu Hause haben:
> Wie
> oft nutzt ihr das wirklich zum kochen?

Mehrmals wöchentlich. Allerdings per HW-Downgrade auf den TM31.
(Der ist nicht smart und gängelt daher der User auch nicht mit 
Zwangspausen beim Öffnen des Deckels, usw, ...)

PS: Diese ganzen Geräte sind total nutzlos, außer man befasst sich 
damit. Bei den smarten Teilen geht der Einstieg natürlich etwas 
leichter.

von Ingo (skyynet)


Lesenswert?

Der für mich einzig sinnvolle Hack wäre, mich per Wi-Fi mit dem TM 
verbinden zu können und alternativ zu den offiziellen Rezepten eine 
eigene Datenbank hierfür zu nutzen, die von der Community gepflegt wird.

Alles Andere ist sicherlich eine tolle Leistung, aber der WAF ist 
suboptimal ;-)

Das Kaufargument für das Teil ist ja gerade, dass es einfach 
funktionieren soll.

Wir nutzen den TM übrigens täglich. Frau und Kinder machen sich da von 
der Suppe über Kakao vieles. Das Einzige, dass die Lieblingsfrau nervt, 
ist, dass sie den TM5 kurz vor Erscheinen des 6ers gekauft hat und nun 
einige Funktionen nicht vorhanden sind, was permanent in Vorwerk 
Mailings klar wird. Ist halt nicht, wie bei AVM, wo die Fritz!Boxen auch 
nach Erscheinen neuer Modelle liebevoll gepflegt werden.

von Fab!an (fabiiian)


Lesenswert?

Raul K. schrieb:
> Was mich mal interessieren würde an alle die sowas zu Hause haben: Wie
> oft nutzt ihr das wirklich zum kochen?

Bitte hier jetzt keine Diskussion über Sinn und Unsinn von dem Gerät. 
Mach dafür gerne irgendwo ein Offtopic auf, aber bitte nicht hier in 
diesem Thread.

von M. H. (big_d)


Lesenswert?

Hallo zusammen,

ich bin leider auch gerade mit dem Thema Rezeptchips von Vorwerk 
beschäftigt.
Ich habe hier leider einige Chips meiner Frau, die den Geist aufgegeben 
haben und da mich das total anstinkt, das Vorwerk hier so billige 
USB-Chips verbaut hat und ich auch etwas versiert bin in der 
Elektrotechnik, suche ich eben Lösungen und nicht nur reinen 
"Neukauf"... zumal die Produktion ja schon eingestellt wurde und die 
gebrauchten Teile bei z.B. bekannten Kleinanzeigen-Portalen leider auch 
nicht alle des Gelbe vom Ei sind (leider nun auch schon einige defekte 
daher erhalten -.-).

Ich habe mir mit meinem 3D Drucker nun eine Lesestation gebaut, wo ich 
funktionierende Chips auslesen kann .... -> funktioniert

Ich habe mir nun von meinen Bekannten einige Chips ausgeliehen, die bei 
uns defekt sind und habe ein Image davon gezogen .... -> funktioniert

Jetzt möchte ich probieren, ob die Teile auch am TM5 geclont 
funktionieren.
Hierfür habe ich eine Werbestick rausgekramt, der aber leider nicht mit 
einem Controller von SMI, sondern von FirstChip bestückt ist.
Nunja, es gibt ja die bekannten MpTools auch für FirstChip.
Leider aber ist es mir noch nicht gelungen, eine funktionsfähige Kopie 
meines Rezeptchips zu erzeugen.

Hat hier schon jemand Erfahrungen darin, ob auch andere 
Controller-Hersteller neben SMI funktionieren?
Weiter oben habe ich ja bereits gelesen, dass es nicht auf den genauen 
Chiptyp selbst ankommt aber leider habe ich nichts zu anderen 
Herstellern gelesen.

Ich würde mir gern von China ein paar USB-UDP-Chips kaufen wollen, dann 
habe ich Ruhe vor dem Ausfall der Rezeptchips.
Ein Backup von jedem Kochbuch auf die Festplatte und wenn wieder mal ein 
Chip ausfällt, einfach einen der UDPs beschrieben, fertig.
Leider aber bieten einschlägige Auktionshäuser nur Chips mit Controllern 
von Alcor an. Hat vielleicht schon jemand Erfahrung damit?

VG MH

: Bearbeitet durch User
von Andreas (anbed002)


Lesenswert?

My TM5 currently shows an error code (C150) followed by an automatic
shutdown. This is related to a mechanical problem which already has been
repaired. Did the research on the debug port yield any results towards
resetting stored errors?

von Tnerolf (iso14000)


Lesenswert?

Hi all

sorry to write in english ,
I'm french and I wrote a topic to fix one of the issue of TM5 (lost of 
temp sensor)
have a look here if you wish (it is in french) 
:https://www.abcelectronique.com/forum/showthread.php?t=107314

I also discovered the video from my compatriote JM Besnard.... amazing

I don't anderstand nothing in linux and all that fancy stuff that you 
did here.

today I wonder if you could tell me how to reset errors like the C72 . 
BEcause even if I fix the root cause (C72 stand for relays errors) tm5 
refuse to recover properlly
at least one guy know how to : 
https://www.youtube.com/watch?v=9CnJbHa2bwQ at 11:59 it connects a USB 
OTG to ethernet device to TM5
then TM5 starts a console screen where I can read the ip adress 
192.168.76.1

the guy says that he spend a large amount of time to write the code that 
do the job...

my question is ... is it thru or BS?
I guess that vorwerk had a diagnostic tool for that right?

best regards

von Truggy M. (truggy)


Lesenswert?

Hello,
after more than a year, (and no answer from Vorwerk to my last email), 
I've decided to release the vulnerabilities details on the Discord 
channel.
This is for educational purposes as the vulnerabilities found are really 
interesting from technical and mindset points of view.
We have revisited the TOCTTOU concept to trick the Thermomix restore 
process, take a look by yourself!

I hope this will benefit other vendors or software-hardware engineers in 
creating more secure solutions and give ideas to pentesters ;)

Cheers !

von Rbx (rcx)


Lesenswert?

Ein Problem ist sicher, dass das Ding in den Mülleimer gehört. Man fühlt 
sich erinnert an Datas Fingerfalle oder an einen Sony DPS F7 
(Effektgerät, Musik).
Prinzipiell kann man mit einem Minimoog auch viel Spaß haben.

Das alte Meal Master Programm war das viel bessere Werkzeug. Gut, wenn 
man eine größere Datenbank zusammen hatte (und das ging damals sehr 
schnell, viele hatten Rezepte aus guten Fernsehsendungen oder auch aus 
bekannten Kochbüchern in das Meal Master Format übertragen).
Das UI war eine DOS-Konsole - aber einfach zu bedienen. Das aufwendigste 
war wirklich die Datenbank anzupassen.
Man konnte dann schauen, was man im Kühlschrank, oder sonst auf Lager 
hat, die Zutaten angeben, und (nicht immer, aber immer öfter) passende 
Rezeptvorschläge oder gute Anregungen finden.

Blättert man ein wenig im Kochkunstführer vom Escoffier herum, und macht 
sich ein paar Gedanken über die Sinnlichkeitswelten damals, verglichen 
mit der Digital und Supermarktwelt heute, kommen einem echt die Tränen.

Crêpes lassen sich auf Jahrmärkten auch nur noch mit Nutella verkaufen 
oder Holunderbüsche nur noch von Fliegern ernten.

(https://github.com/jeraymond/Recipe/blob/master/com.niceprograms.recipe/src/com/niceprograms/recipe/data/MealMasterImporter.java)

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.