Hallo,
es gibt seit diesem Monat einen neuen Thermmix TM5. An diesen kann
kontaktlos ein "Rezeptchip" angeklipst werden, von dem der Thermomix
dann Repzepte lesen und anzeigen kann. Siehe auch
https://www.youtube.com/watch?v=WtqrjkmOZ64
Weis jemand welche Technologie dahinter streckt? RFID?
VG
Mixxer
Der Rezept-Chip "Das Kochbuch" bietet Ihnen mehr als 200 leckere und alltagstaugliche Gerichte
RFID.. genau. und wo kommen die Daten her?
Hast du dir das Video das du selbst gepsotet hast auch angeschaut? Und
direkt bei Laufzeit von 2 Sekunden die Ausbuchtung für den Chip
entdekct, welcher 4 Kontakte hat?
Oder soll das einfach nur Werbung werden ?!
...diese Chips halte ich ja für eine Fehlentwicklung. Wieso nicht gleich
WLAN und/oder Bluetooth eingebaut?
Wäre mir eh zu blöd zu einem Kochassistenten bzw. Automatenbediener
degradiert zu werden... da brate ich mir lieber ein ehrliche Currywurst
:-)
Mittlerweile gibt es ja auch schon Kaffeevollautomaten die per App
gesteuert werden können... brauchen tut man das in der Tat nicht...
> Mittlerweile gibt es ja auch schon Kaffeevollautomaten die per App> gesteuert werden können... brauchen tut man das in der Tat nicht...
Weil sowieso immer entweder der Wasser- oder Bohnenbehälter leer sind
oder der Trester voll... Das Modell Primadonna von DeLonghi heisst ja
auch nicht umsonst so, es zickt dauernd rum ;)
Um mal ganz kurz auf das eigentliche Thema zurückzukommen: Mich
interessiert die Thematik und die eventuellen technischen Möglichkeiten,
die Funktionen des Rezept-Chips nutzen zu können, ebenfalls. Leider habe
ich noch kein Gerät hier, ist aber bestellt und sollte in absehbarer
Zeit ankommen.
Der 4-polige Anschluss ist deutlich zu sehen, die interessante Frage
ist, ob das etwas komplett proprietäres ist oder ob dort auf
irgendwelche Standards zurückgegriffen wird. Gibt es hier sonst noch
Thermomix-Nutzer, die diese Thematik interessiert und ggf. etwas
(produktives) dazu beisteuern können?
Anwendungen, die ich mir für "später" vorstellen könnte: Irgendein
Gadget, welches es ermöglich, direkt im Internet gefundene Rezepte dort
laden zu können, oder selbst zusammengestelltes, etc...
Vier Anschlüsse lassen mich spontan an I²C denken, dann kann man in den
Rezeptchips einfach ganz normales I2C-Flash verbauen.
Kannst ja mal messen, ob irgendwo eine Betriebsspannung zu messen ist,
irgendwas zwischen 1,8V und 5V.
Max
Max G. schrieb:> Kannst ja mal messen, ob irgendwo eine Betriebsspannung zu messen ist,> irgendwas zwischen 1,8V und 5V.
Wie gesagt, leider ist das Gerät noch nicht da, kann ich aber mal tun
sobald ichs habe. Wie hoch ist denn das Risiko, irgendwas zu grillen,
wenn man einfach mit dem Multimeter an den Anschlüssel ausprobiert?
Kochen hat was mit Geschmack, schmecken, Wissen und handwerklichem
Geschick zu tun. Da hilft weder eine Smartphone App, noch ein Chip
Kochbuch und auch kein Thermomix.
Oder warum findest du sowas in keiner professionellen Küche?
Aber die Firma Thermomix lebt gut von denen, die denken wenn man
möglichst teure Gerätschaften kauft kann man auf einmal auch kochen.
Genau wie die Leute, die sich für tausende Euros Outdoorklamotten kaufen
um dann 3 mal im Jahr eine 2 Stunden Wanderung zu machen.
Trotzdem viel Spass damit.
Mixxer schrieb:> es gibt seit diesem Monat einen neuen Thermmix TM5. An diesen kann> kontaktlos ein "Rezeptchip" angeklipst werden, von dem der Thermomix> dann Repzepte lesen und anzeigen kann.
Bis eben habe ich noch nie von einem "Thermomix" gehört. Da verlinkte
Werbevideo erinnerte mich sofort an:
http://de.wikipedia.org/wiki/Idiocracy
Cool! Da können dann Drittanbieter "Rezeptchips" für Thermomix anbieten!
Oder Hobbybastler machen daraus ihr eigenes "Hackfood" :-) was
irgendwann von Strafverfolgungsbehörden ins Visier gerät!
Keine proprietäre Schnittstelle anwenden, wenn der Hersteller mit einer
solchen dem Kunden völlig sinnlose und überteuerte Soft-oder Hardware
andrehen kann???
Das wäre das gleiche wie eine genormte Tintenpatrone für Tintendrucker.
Da fließt eher das Wasser Donau- oder Rhein-aufwärts.
Ich denke, aufgrund der Haupt-Zielgruppe dieses Gerätes wird man
wahrscheinlich einfach eine Standardschnittstelle verwendet haben. Das
kann durchaus I2C sein. Unschädlich ist es sicherlich, die Verbindung
zwischen Gerät und Rezeptchip mit einem Logikanalyzer anzuzapfen. Diese
gibt es PC-basiert recht günstig, es reicht wahrscheinlich auch ein "Bus
Pirate". Allerdings sagt das Busprotokoll noch nichts über das
Datenformat im Speicher, das kann durchaus proprietär sein.
da diese Chips 30-50 € kosten wird Vorwerk kaum Interesse daran haben
die Schnittstelle offen zu legen und den Markt den Billiganbietern zu
überlassen. Ich denke die Daten werden verschlüsselt gespeichert und
übertragen.
Jojo S. schrieb:> da diese Chips 30-50 € kosten wird Vorwerk kaum Interesse daran haben> die Schnittstelle offen zu legen und den Markt den Billiganbietern zu> überlassen.
Ihr könnt darauf wetten einen Thermomix mit Messer und Gabel zu essen,
dass die Firma Vorwerk das garantiert mit Patenten abgesichert hat. Die
haben Jahrzehnte ihre Staubsauger völlig überteuert verkauft und hatten
meines Wissens Patente auf Rotaionsbürsten am Saugerkopf, die wissen
genau wie man Gewinnmaximierung betreibt.
Max G. schrieb:> Vier Anschlüsse lassen mich spontan an I²C denken, dann kann man> in den> Rezeptchips einfach ganz normales I2C-Flash verbauen.>
Mich lassen vier Anschlüsse spontan an USB denken, dann habe ich eine
leistungsfähige Schnittstelle und sehr günstigen Massenspeicher.
Markus M. schrieb:> ...diese Chips halte ich ja für eine Fehlentwicklung. Wieso nicht gleich> WLAN und/oder Bluetooth eingebaut?>
War auch mein erster Gedanke, allerdings:
Thermomix hat einen typischen Produktzyklus von 10 Jahren. Überlege mal
den Wandel der Funkschnittstellen in den zurückliegenden 10 Jahren. Was
willst Du nehmen WiFi b/g/n? Oder ac? Bluetooth 3.x, 4.0 oder 5.x?
Da haben die mit Ihren Chips mehr Ruhe. Und der App-Gedanke wird über
die festen "Rezept-IDs" realisiert, d.h. die Inhalte werden einfach
parallel gehalten. So kann man mobil trotzdem seine Einkaufsliste etc.
haben.
Rufus Τ. Firefly schrieb:> Weißt Du, was ein "Thermomix" kostet?
Ja, aber auch bei Vorwerk werden BWLer sitzen.
Man müsste recht schnell rauskriegen wo die Versorgungsspannung anliegt
und dann die Datenpins mit einem Logikanalysator angucken.
Die Thermomix sind echt gut. Wir machen jetzt sogar Nutella selbst. Die
Tante hat den schon seit über 10 Jahren und tut immer noch bestens.
Ist zwar teuer in der Anschaffung, dafür hält das Ding auch.
Nicht nur zerkleinern, nein auch Kochen mit Umrühren und Wiegen der
Zutaten.
Für alle die es nicht wissen:
In den Thermomix schmeißt man nacheinander die Zutaten rein, wiegt die
damit auch ab und zwischendurch mal mixen/rühren usw. und schon ist es
fertig.
Mit dem Rezeptchip ist das ganze schon eine Erleichterung, da würde dann
genau auf dem Display stehen was als nächstes dran kommt und stellt
automatisch die Waage ein. Wenn alles drin ist den Deckel drauf und der
rührt so wie es sein soll.
Um z.B. Nüsse zu mahlen muss man bisher immer im Buch nachschauen welche
Einstellung man nehmen sollte und wie lange. Damit wäre das Buch im
Gerät integriert. Ich finde die Idee ist ganz nett.
Markus Müller schrieb:> In den Thermomix schmeißt man nacheinander die Zutaten rein, wiegt die> damit auch ab und zwischendurch mal mixen/rühren usw. und schon ist es> fertig.
Ja. Allerdings kann man mit dem Ding keine normalen Rezepte umsetzen,
sondern alles muss speziell auf die Eigenheiten des Thermomix angepasst
sein.
Wenn man gar keine Küchenaustattung und gar keine Kocherfahrung hat,
dann ist ein Thermomix sicherlich 'ne tolle Kiste.
Sonst aber ... löst das Ding Probleme, die zumindest ich nicht habe.
(Ich habe mir mal eine Thermomix-Vorführung und -Verkostung angetan)
Betreutes Kochen.
Anrösten geht nicht, weil der nur 120°C schafft. Also kommen
Röstzwiebeln an das Gulasch, hmm lecker. Von Mahlen darf man auch nicht
sprechen, es ist ein häckseln, nicht mehr und nicht weniger.
Ein guter Herd mit einem anständigen Topf, Messer und Kochlöffel. Das
ist kochen.
Markus Müller schrieb:> In den Thermomix schmeißt man nacheinander die Zutaten rein, wiegt die> damit auch ab und zwischendurch mal mixen/rühren usw. und schon ist es> fertig.> Mit dem Rezeptchip ist das ganze schon eine Erleichterung, da würde dann> genau auf dem Display stehen was als nächstes dran kommt und stellt> automatisch die Waage ein. Wenn alles drin ist den Deckel drauf und der> rührt so wie es sein soll.
Super, da ist ja fast kein Unterschied zum Fertiggericht mehr! ;I)
Also, ich koche ja nicht zu oft. Meistens meine bessere Hälfte.
Aber wenn ich koche, ist das seltenste was ich mache mixen, und das
zweitseltenste etwas abwiegen. Was soll man denn abwiegen? Drei Tomaten,
4 Moorrüben oder das Filet vom Metzger? Die Hauptarbeit ist doch die
ganze Schnippelei.
Gut, beim Backen sind mal einige Zutaten zu wiegen und genauer
abzumessen. Aber beim "normalen" kochen sieht, fühlt und schmeckt man
doch, ob irgendetwas noch rein muss, etwas zu wenig ist, oder irgendwie
was zu tun ist. Die Zutaten sind doch selbst so unterschiedlich. Man
denke nur mal an die unzähligen Kartoffelsorten. Jeder Garzeit ist da
doch nur eine grobe Hausnummer.
Abgesehen davon kann dieser beheizte Mixer doch nur breiartiges
zubereiten? Soll das für Zahnlose sein?
Das Problem das mit dem Gerät gelöst werden soll, erschließt sich mir
überhaupt nicht. Es sei denn, für die Käufe bedeutet kochen,
verschiedene Pulver zusammen zu rühren. Aber dazu brauche ich so ein
Teil nicht.
JojoS schrieb:> USB braucht aber einen Controller
Das Ding hat einen Touchscreen, da könnte der eingesetzte Controller
schon USB können. Ich würde angesichts der genau 4 Pins auf USB setzen.
Dann könnte man auch toll ein Softwareupdate oder Diagnose darüber
betreiben...
Sprachloser schrieb:> Abgesehen davon kann dieser beheizte Mixer doch nur breiartiges> zubereiten?
Im Werbevideo ist bei ca. 1:25 ganz klar eine Pizza und ein Brot zu
sehen. Dann erwarte ich, dass der das auch kann!
Rufus Τ. Firefly schrieb:> (Ich habe mir mal eine Thermomix-Vorführung und -Verkostung angetan)
Ja, und?
Warum wird hier eigentlich mal wieder eine Sinn / Unsinn disskusion
geführt? Das is doch völlig irrelevant für was IHR es haltet.
Back to Topic:
Im Endeffekt ists nur Raten ohne das irgendwer mal captured was da so
abläuft. Wie groß sind denn so die Maximalen i2c flash speicher? Ich hab
ehr das gefühl USB denn da sind die speicher so billig... da kann man
dann in der Tat ganze rezeptbücher mit Bildern und allem drauf ablegen?!
Martin P....... schrieb:> Im Endeffekt ists nur Raten ohne das irgendwer mal captured was da so> abläuft.
Leider fehlts mir dabei sowohl gerade noch am Thermomix als auch
irgendwelcher Capturing-Hardware. Aber beides lösbar ;) (Empfehlungen
für Hardware können mir gerne ausgesprochen werden).
>Wie groß sind denn so die Maximalen i2c flash speicher? Ich hab> ehr das gefühl USB denn da sind die speicher so billig... da kann man> dann in der Tat ganze rezeptbücher mit Bildern und allem drauf ablegen?!
Auf dem Chip sind - soweit ich das während der Vorführung erkennen
konnte - Rezepte gespeichert, pro Rezept ein Bild und eine
Schritt-für-Schritt-Anleitung á la "Werfen Sie jetzt 400g XYZ in den
Topf", wenn man auf Weiter klickt erscheinen dann vordefinierte Werte
für Dauer, Temperatur und Intensität und mit Knopfdrehen bestätigt man
dann, dass das Messer losrotieren soll. Die Erkennung von dem Chip
dauert nach Anstecken grob geschätzt 3-5 Sekunden (was irgendwie zu USB
passt :D), Rezepte sind auf dem Chip nach Kategorien und alphabetisch
durchsuchbar (was man theoretisch übers Datenformat lösen könnte).
Mehr Infos hab ich (leider) noch nicht.
>> Abgesehen davon kann dieser beheizte Mixer doch nur breiartiges>> zubereiten?> Im Werbevideo ist bei ca. 1:25 ganz klar eine Pizza und ein Brot zu> sehen. Dann erwarte ich, dass der das auch kann!
Oh, jemand der erwartet, daß das, was die Reklame suggeriert, mit der
Realität zu tun hat.
Pizza und Brot werden als Teig im Thermomix vorbereitet, aber das
eigentliche Backen erfolgt nicht im Thermomix. Da braucht man einen
Backofen. Wurde der in der Reklame nicht erwähnt?
Ein Brotbackautomat ist hier im Vorteil, der kann zwar auch keine
Pizza anfertigen, aber wenigstens ein Brot backen.
>> (Ich habe mir mal eine Thermomix-Vorführung und -Verkostung angetan)> Ja, und?
Naja, wenn man auf dampfgegartes Essen steht, oder kleingemöllertes,
dann geht das so. Für alles andere (Braten, Backen etc.) braucht man
dann doch noch andere Gerätschaften.
Ich bin ja durchaus technikaffin, aber so etwas kommt mir nicht ins
Haus.
Das Lustige ist ja dass es eine Menge Küchenkleingeräte gibt die auf dem
Prinzip "Thermostatisch gehaltener Behälter, mit oder ohne zusätzliche
Agitation" basieren - Fritteusen, Eismaschinen, Schokoladenmaschinen,
Crockpots, Joghurtbereiter, Reiskocher ... und dennoch haben sich da
lauter Einzelapparate statt einer (nicht überteuerten) vermeintlich
naheliegenden Kombilösung durchgesetzt...
Hallo Forum,
dieser Chip rastet Magnetisch am Gerät ein.
Die vier Pins werden dadurch an den Kontakten gehalten.
...Zerlegen durfte ich noch nicht...
Auf dem Thermomix läuft ein Linux, was ja schon mal interessant ist.
Das spuckt er in den Infos aus.
Linux kernel 2.6.35.3-imx
Busybox 1.15.0
kobs-ng 10.12.01
mtd-utils 201006
util-linux 2.21.2
logrotate 3.8.3
dhcpd (ISC) 3.0.3b1
libpng 1.2.35
libjpeg 6b
libfreetype 2.4.8
libsqlite 3.7.16
...und Grundsätzlich ist so ein Gerät die Vorbereitung aufs
Seniorenheim.
Nur noch kleingehacktes und püriertes... :-)
Agent K. schrieb:> Hallo Forum,>> dieser Chip rastet Magnetisch am Gerät ein.> Die vier Pins werden dadurch an den Kontakten gehalten.> ...Zerlegen durfte ich noch nicht...>> Auf dem Thermomix läuft ein Linux, was ja schon mal interessant ist.> Das spuckt er in den Infos aus.> Linux kernel 2.6.35.3-imx
Läuft da wirklich ein Linux drauf, oder war das ein Witz?
Warum braucht man dafür schon ein Linux und wahrscheinlich einen nicht
mehr ganz so einfachen 32bit Prozessor?
Bootet der dann bei jedem Einschalten, oder legt er sich in einen
Energiearmen Standby-Modus und sollte immer eingesteckt bleiben?
Unser TM31 muss sich ja die Steckdose mit der Kaffeemaschine teilen.
Und wie bedient sich so ein Touchscreen mit schmierigen Fingern?
Jedenfalls wäre das dann der Beweis dafür, dass Linux Hausfrauentauglich
ist. ;)
Michael m. schrieb:> Warum braucht man dafür schon ein Linux und wahrscheinlich einen nicht> mehr ganz so einfachen 32bit Prozessor?
Weil es schlichtweg einfacher ist, ein fertiges OS auf einem 32-Bit-µC
laufen zu lassen, als es selbst zu stricken. Das spart etliches an
Entwicklungskosten, auch wenn die eigentliche Aufgabe vermutlich auch
mit irgendeinem 8-Bit-µC mit handgedengeltem Assembler lösbar wäre.
Nur ist es deutlich teurer, das zu entwickeln und vor allem zu warten.
Ein fertiges Betriebssystem enthält eine vollständige Dateisystem- und
Treiberunterstützung, und gerade für Linux gibt es Softwaremodule und
Entwicklungssysteme wie Sand am Meer.
Und es gibt für verbreitete 32-Bit-µCs auch komplett angepasste
Linux-Distributionen, so daß annähernd gar kein Portierungsaufwand
besteht, so daß bei der Entwicklung nur noch die eigentliche
Benutzeranwendung sowie die wenigen hardwarespezifischen Dinge
(Benutzerschnittstelle wie Display und Bedienelemente) zu
berücksichtigen sind.
Daß ein 32-Bit-µC etwas mehr Geld kostet als ein 8-Bit-µC, ist
demgegenüber marginal, vor allem, wenn man sich die Kosten des
Endproduktes ansieht.
Ist ja nicht so, daß ein "Thermomix" ein Gerät der
unter-hundert-Euro-Klasse wäre, das in gigantischen Stückzahlen verkauft
wird, so daß sich jeder am Einzelgerät gesparte Cent deutlich auswirken
würde.
Markus Müller schrieb:> Für alle die es nicht wissen:> In den Thermomix schmeißt man nacheinander die Zutaten rein, wiegt die> damit auch ab und zwischendurch mal mixen/rühren usw. und schon ist es> fertig.
Merkwürdig, ich mache mir mein Essen anders.
Aus dem Thermomix kann höchstens Astronatennahrung bzw. Babynahrung
kommen.
Ich brauche mehrere Töpfe und Pfannen, manchmal einen Grill oder
Backofen, und auf dem Teller liegt kein hingeschissener Haufen, sondern
mehrere Dinge nebeneinander garniert.
Aber der Müsli-Generation ist es vermutlich egal.
Rufus Τ. Firefly schrieb:> Pizza und Brot werden als Teig im Thermomix vorbereitet, aber das> eigentliche Backen erfolgt nicht im Thermomix
Wozu braucht man dann einen Thermomix und nicht bloss eine Schüssel ?
Michael Bertrandt schrieb:> Ich brauche mehrere Töpfe und Pfannen, manchmal einen Grill oder> Backofen, und auf dem Teller liegt kein hingeschissener Haufen, sondern> mehrere Dinge nebeneinander garniert.
So schlimm muss das Zeug aus dem Thermomix nun auch nicht sein; der
bietet durchaus die Möglichkeit, mehrere Dinge nacheinander und auch
gleichzeitig anzufertigen - so kann eine Suppe gekocht und Gemüse o.ä.
gleichzeitig in einem Dampfgaraufsatz zubereitet werden.
Wäre das einfach eine Art Fleischwolf mit Heizung, würden nicht so viele
Hausfrauen (das ist das übliche Publikum) mit Tupperware-artigen
Werbeveranstaltungen drauf ... reinf^h^h^h^abfahren.
> Wozu braucht man dann einen Thermomix und nicht bloss eine Schüssel ?
Eine Schüssel rührt nicht. Wenn Du Mehl etc. in eine Schüssel kippst und
eine halbe Stunde später wiederkommst, ist da immer noch Mehl etc. in
der Schüssel, und kein fertiggekneter Teig.
Das Konzept der Arbeitsersparnis durch Küchenmaschinen ist Dir
unbekannt?
Rufus Τ. Firefly schrieb:> Michael Bertrandt schrieb:>> Ich brauche mehrere Töpfe und Pfannen, manchmal einen Grill oder>> Backofen, und auf dem Teller liegt kein hingeschissener Haufen, sondern>> mehrere Dinge nebeneinander garniert.>> So schlimm muss das Zeug aus dem Thermomix nun auch nicht sein; der> bietet durchaus die Möglichkeit, mehrere Dinge nacheinander und auch> gleichzeitig anzufertigen - so kann eine Suppe gekocht und Gemüse o.ä.> gleichzeitig in einem Dampfgaraufsatz zubereitet werden.
Nö, das schlimme ist, dass man 1000€ ausgibt um offenbar Suppe
(einfacher?!) zu kochen.
> Das Konzept der Arbeitsersparnis durch Küchenmaschinen ist Dir> unbekannt?
Allerdings ist die Vielseitigkeit von den bekannten "Küchenmaschinen" um
einiges höher, als bei einem Mixer mit Heizung. Zudem sind die Dinger
gleichzeitig oft wesentlich günstiger.
Simon K. schrieb:> Nö, das schlimme ist, dass man 1000€ ausgibt um offenbar Suppe> (einfacher?!) zu kochen.
Das bestreite ich ja gar nicht.
> Allerdings ist die Vielseitigkeit von den bekannten "Küchenmaschinen" um> einiges höher, als bei einem Mixer mit Heizung.
Das Ding ist eher eine Küchenmaschine mit Heizung; es kann schon etwas
mehr als ein Mixer. So ist beispielsweise auch eine Waage eingebaut.
Damit wir uns richtig verstehen:
Ich will so ein Ding nicht haben. Ich koche mit Gas.
Wenn man aber diese Dinger kritisiert, dann nicht mit falschen oder
unvollständigen Argumenten.
Ein Thermomix ist praktisch, aber unnötig. Und er passt aufgrund der
völlig anders aufgebauten Rezepte auch nicht in eine bereits etablierte
Küchen-/Koch-Kombination.
Dazu kommt noch, dass wenn man mit dem Thermomix kocht, dass der auch
weniger Strom verbraucht da die Heizung direkt im Topf mit drin ist,
anders als bei einem normalen Herd.
Markus Müller schrieb:> Dazu kommt noch, dass wenn man mit dem Thermomix kocht, dass der> auch> weniger Strom verbraucht da die Heizung direkt im Topf mit drin ist,> anders als bei einem normalen Herd.
Wie schnell hat man denn die 1000€ Mehrausgaben dann wieder drin durch
geringeren Stromverbrauch? ;-)
Und wenn Rufus sowieso mit Gas kocht, hat das Argument noch weniger
Rückendeckung.
Markus Müller schrieb:> Dazu kommt noch, dass wenn man mit dem Thermomix kocht, dass der auch> weniger Strom verbraucht da die Heizung direkt im Topf mit drin ist,> anders als bei einem normalen Herd.
Mit einem Induktionsherd verglichen ist das marginal und auch nach 100
Betriebjahren nicht zu rechnen. Ich denke bei den meisten jetzt
begeisterten Käufern steht das Gerät in zwei Jahren nutzlos herum.
Markus Müller schrieb:> Dazu kommt noch, dass wenn man mit dem Thermomix kocht, dass der auch> weniger Strom verbraucht da die Heizung direkt im Topf mit drin ist,> anders als bei einem normalen Herd.
Das ist ein eher theoretisches Argument. Der Anteil des Stromverbrauches
durchs Kochen am Gesamtstromverbrauch eines Haushaltes liegt bei etwa
9%*.
Wenn also durch den besseren Wirkungsgrad des Thermomix angenommene 30%
Einsparung möglich sein sollten, sind das tatsächlich 2.7%.
Bei einem angenommenen Jahresstromverbrauch von 4 MWh sind das 108 kWh
Einsparung, bei 30ct/kWh also 32.4 EUR.
Damit hat sich der Thermomix bei Anschaffungskosten von 1000 EUR schon
in weniger als 31 Jahren armortisiert.
*) Quelle:
http://www.energieagentur.nrw.de/_database/_data/datainfopool/erhebung_wo_bleibt_der_strom.pdf
Was ist der Vorteil des Thermomixers?
Man muss nicht die ganze Zeit am Herd stehen und umrühren.
Man muss nicht dauernd die Uhrzeit kontrollieren, oder wenn die Eieruhr
läutet zum Ofen rennen und dann ausschalten. Wenn man noch keinen Mixer
hat, ist er schon mal ein guter Mixer ;)
Er geht gut zum kleinhacken/schnippseln von Dingen.
Ideal ist das Ding z.B. zum Soßen machen oder Pudding machen,
Semmelknödel etc.
Mich würde es mal interessieren, ob jemand weiß, wie genau dort die
Heizung aufgebaut ist?
Sind das Heizstäbe aus einen Thermomix- Sonder- Material?
Wie genau funktioniert da eigentlich die Ansteuerung von "Deckelauf" -
"Essenrein"- "Fertig" - "Deckelauf" -"Essenraus"?
Hat da jemand schon Erfahrung (sicherlich hat niemand bis auf Vorwerk
den Quellcode)
Mfg,
tommyProg
Michael m. schrieb:> Er geht gut zum kleinhacken/schnippseln von Dingen.> Ideal ist das Ding z.B. zum Soßen machen oder Pudding machen,> Semmelknödel etc.
Knödel?
Schnippeln, Kleinhacken... DAS ist doch grad das Erlebnis beim Kochen.
Ich finde das ganz entspannend.
Tho Wes schrieb:> Sind das Heizstäbe aus einen Thermomix- Sonder- Material?
Die Heizstäbe sind im Boden des Topfes/Mischgefäßes untergebracht, also
nicht sichtbar und auch nicht im direkten Kontakt mit dem eingefüllten
Material. Das ist wie bei Wasserkochern mit verdecktem Heizelement.
> Wie genau funktioniert da eigentlich die Ansteuerung von "Deckelauf" -> "Essenrein"- "Fertig" - "Deckelauf" -"Essenraus"?
Von Hand. Hast Du Dir mal ein Bild von einem Thermomix angesehen?
Auch der Austausch der verschiedenen Rühr- und Hackwerkzeuge erfolgt von
Hand.
Das Ding ist im wesentlichen die Kombination einer Küchenmaschine mit
einem beheizbaren Topf und einer Waage - und einer Ablaufsteuerung, die
sich um Heizen und Werkzeugantrieb kümmert.
Hier eine englischssprachige Nutzungsbeschreibung mit Bildern (und
Risotto-Rezept):
http://www.followmefoodie.com/2013/08/bellini-intelli-kitchen-master-home-thermomix-bacon-onion-corn-risotto-recipe/
Rufus Τ. Firefly schrieb:> Tho Wes schrieb:>> Sind das Heizstäbe aus einen Thermomix- Sonder- Material?>> Die Heizstäbe sind im Boden des Topfes/Mischgefäßes untergebracht, also> nicht sichtbar und auch nicht im direkten Kontakt mit dem eingefüllten> Material. Das ist wie bei Wasserkochern mit verdecktem Heizelement.
Klingt ehrlich gesagt auch wie nen Wasserkocher mit einen Rührstab
drin, und noch ein Steuergerät, dasses ja auch am Ende ist.
>> Wie genau funktioniert da eigentlich die Ansteuerung von "Deckelauf" ->> "Essenrein"- "Fertig" - "Deckelauf" -"Essenraus"?>> Von Hand. Hast Du Dir mal ein Bild von einem Thermomix angesehen?
Nein, ich habe nur das Grün/weiße Modell, das damals 1200Euro gekosteet
hat, gesehen, und mir mal das Vorwerk- Rezeptbuch angeschaut.
(Und noch ein youtube- Video mit der edelstahl?- version)
Mfg,
tommyProg
wir habe das Vorgänger Model
ich find es auch extrem unnötig
wird tatsächlich fast nie verwendet
ausser für z.B Kartoffelpüree .. (rohe kartoffel + milch + salz usw.
rein.. warten .. fertig) da ist wirklich praktisch
>ist er schon mal ein guter Mixer ;)
interessant.. dafür hab ich ihn noch nie verwendet..
ich mach mit einem Mixer vorallem : eischnee und schlagsahne,
kuchenteig usw.
das halte ich für eher unrealistisch dass das mit dem thermomixer
(ähnlich gut) funktioniert..
zum rezept-chip: oh Gott, ist das mit dem Linux jetzt ein Scherz?
(und nein, man müsste vermutlich den interessanten teil der Software
NICHT herausgeben, auch wenn ein GPL linux verwendet wird.., .)
Robert L. schrieb:> kuchenteig usw. das halte ich für eher unrealistisch dass das mit dem> thermomixer (ähnlich gut) funktioniert..
Das schafft sogar ein Brotbackautomat. In den kippt man auch nur Wasser
und die Zutaten (Backmischung oder Mehl, Salz und Hefe) und am Ende
kommt ein durchaus passables Brot 'raus.
Klar, das ist eher würfelförmig, und hat auf der Unterseite ein Loch,
d.h. die Kruste ist nicht mit der eines "richtigen" Brotes zu
vergleichen, aber der Rest stimmt.
Matthias Lohr schrieb:> Wie gesagt, da anscheinend GPL-Softwar verbaut ist, müsste man> theoretisch den Quelltext oder Teile davon anfordern können...
Und was hilft dir das?
Den Linux-Kernel mußt du nicht von Vorwerk anfordern, den kannst du bei
www.kernel.org downloaden.
Eventuelle Vorwerk-Änderungen werden kaum spannend sein.
Und die eigentliche Thermomix-Anwendung, die auf dem Linux läuft, ist
nicht GPL.
Hallo zusammen,
ich habe vor etwa 2 Jahren an Vorwerk meinen Verbesserungsvorschlag (den
ich wohl lieber hätte in ein eigenes Gerät verbauen sollen) gegenüber
des damals noch "alten Thermomix" offenbart.
Da habe ich denen eine seitenlange Abhandlung geschrieben, woraufhin ich
nicht mal Antwort bekommen habe. Wahrscheinlich beruht das jetzige
Konzept sogar auf meiner Idee, wer weiß.. ;-)
Kurz und knapp, was ich damals an Vorwerk geschrieben habe:
Es müsste einen Thermomix geben, der über LAN/WLAN ans Netz
angeschlossen ist und man darüber Rezepte direkt auf das Gerät
herunterladen kann.
Die Rezepte kann man entweder aus der vorwerkeigenen Community oder eben
selbst erstellen (nach einem Art "Programmablaufplan", klicki-Bunti für
die Hausfrau).
Anschließend zieht man sich das entsprechende Rezept auf den Thermomix,
woraufhin der Thermomix darüber geschwindigkeits-/temperaturgeregelt
wird und man akustisch/optisch daran erinnert wird, nach z.b. x Minuten
rühren die Zutat Y einzufüllen.
Wenn ich meinem Kumpel beim "kochen" (sofern man das überhaupt kochen
nennen kann, ich nenne es eher zusammenmanschen) zuschaue, liegt sein
iPhone neben seinem Thermomix um nebenher das Rezept zu lesen.
Dabei ist mir dann eben wie beschrieben meine Idee gekommen...
Zum Thermomix selbst:
Ich habe den Sinn von dem Ding auch noch nicht verstanden, vielleicht
liegt es auch daran, dass mein Gaumen etwas anspruchsvoller ist und sich
nicht nur mit "Senioren-Alete" zufrieden gibt. Für mich ist der
Thermomix ein reines Prestigegerät, was man nicht wirklich braucht, aber
es dann umso mehr verkündet, dass man es hat, wenn mans hat.
Vielleicht liegt meine Abneigung diesem Gerät gegenüber darin begründet,
dass ich liebend gerne koche und auch entsprechend liebevoll meine
Speisen kreiere.
Anständige Speisen kann man damit jedenfalls aus meiner Sicht nicht
machen, eben nur das neumodische "Gemansche"
(Pesto/Frischkäse/Gürteltierpastete....). Ob man das dann täglich
braucht und wie oft man es braucht im Bezug auf das, wieviel das Ding in
der Anschaffung kostet sei mal dahingestellt.
Meine Erfahrung im kulinarischen Bereich in der Moderne zeigt mir, dass
man sich leider keine Zeit mehr zum Zubereiten und Genießen von Speisen
nimmt. Dabei kommt dann raus, dass nicht mal mehr Rühreier ohne Rezept
gelingen und man mit dem größten Mampf zufrieden ist, Hauptsache die
Gedärme sind gefüllt.
Meine Meinung.
Gruß
Schon lustig, hier sind fast nur Techniker und Ings unterwegs, die
versuchen alles zu Automatisieren, haben aber was dagegen, das man das
Kochtopfumrühren automatisiert. Also mir ist es lieber, wenn ich diese 5
Minuten Soße umrühren, das nichts anbrennt oder überläuft, was anderes
machen kann, als ständig am Herd zu stehen. Da kann ich dann z.B. schon
mal andere Dinge machen, welche nicht mit dem Thermomix gehen ;)
Ich muss auch etwas schmunzeln, wenn ich die Beiträge lese :-}
Ich persönlich kenne das Teil (welches Modell es ist, weiss ich gar
nicht) erst seit ein paar Monaten durch die Mutter eines Freundes.
Diejenigen, für die dieses Gerät gedacht ist, dürften Menschen sein, die
jeden Tag für mehrere kochen müssen und das nicht als Hobby mit viel
Zeit betreiben. Dementsprechend scheint dort auch die Resonanz höher zu
sein. Ich kenne jetzt drei Frauen, die das Teil auf keinen Fall mehr
hergeben und es wirklich jeden Tag einsetzen
Ich muss sagen: mich hat es auch überzeugt, auch wegen des durchdachten
Aufbaus und der sehr leichten Reinigung.
Man kann damit übrigens nicht nur Breie und Suppen für Zahnlose
zubereiten, sondern durchaus auch Gewürfeltes und Gehacktes herstellen -
das ist kein "Gnadenlosmixer", wie man sie sonst so kennt. Die Messer
können bspw. auch entgegen der Schneide rotieren und so bspw. größere
Stücke auch so lassen, wie sie sind, aber trotzdem rühren. So kann man
durch die sekundengenaue Steuerung sehr genau festlegen, wie stark
zerkleinert werden soll, bevor gerührt wird.
Toll fand ich die Herstellung von Hefeteig in extrem kurzer Zeit durch
die genaue Erwärmung auf 37°C. Da gab es später auch kein Kleben von
Teig und das ätzende Abspülen von anhaftendem Teig an Schüsseln und
Händen. Man entnimmt dem Ding tatsächlich nach sehr kurzer Zeit eine
nicht klebende Teigkugel und kann diese dann ausrollen.
Uns und den meisten hier im Forum ist er für unsere wohl geringe Nutzung
zu teuer, aber wer wirklich "Menge" und unter "Druck" kochen muss, für
den ist es eine tolle Sache.
Ob man jetzt vernetzt sein muss oder irgendwelche Chips einstecken
können sollte - naja, wer es mag :-) Vorwerk muss halt irgendwie neue
Anreize bieten.
Edit: ich hab gerade mal bei Wikipedia geguckt - ich meine, das wäre das
Modell TM31 gewesen - die "Vorführungen" durch die Frauen liegen ja
schon etwas zurück :-)
Michael m. schrieb:> Also mir ist es lieber, wenn ich diese 5 Minuten Soße umrühren, das> nichts anbrennt oder überläuft, was anderes machen kann, als ständig am> Herd zu stehen.
Ich muss beim Kochen nicht ständig am Herd stehen und umrühren, aber das
hat vermutlich damit zu tun, daß mein Herd eine stufenlose
Flammengrößeneinstellung hat, und nicht irgendwelche
Hausfrauen-1-bis-6-Stufenschalter.
Also die Anwendungen die mir plausibel wären:
-Herstellung von gelingsicheren Teigen und Massen wenn man sich zB bei
einer komplizierten Torte auf den Zusammenbau konzentrieren möchte...
aber 1000 Euro ist da ein wenig viel des Luxus.
-Soja/Getreide/Nussmilch herstellen, da ist die Kombination Erhitzen und
Zerkleinern des öfteren gefragt ... aber da gibt es beheizte Blender und
dedizierte Maschinen die weit weniger kosten.
-Sachen wie vegetarische Dashi, Schokolade, Invertsirup bei denen
kontrollierte Temperatur und etwas Agitation nötig sind ... aber davon
muss man schon eine Menge brauchen damit es den Preis rechtfertigt.
Für, sagen wir, 200-300 Euro mit offenen Formaten würde das Gerät noch
die ein oder andere Marktlücke füllen, aber 1000?
120 Grad? Wenn es 200 wären könnte das Ding wenigstens noch als
Fritteuse aushelfen ;)
Habe das Gerät inzwischen mal in real gesehen - das ist ja riesig, den
Platz muss man erstmal haben...
...
Will it blend? ;)
Andy D. schrieb:> das ist ja riesig, den Platz muss man erstmal haben...
Na, wenn alles auf den Thermomix ausgerichtet ist, braucht man ja den
ganzen Rest nicht. Außerdem haben glückliche Thermomix-Benutzer
logischerweise mindestens 24m²-Küchen ...
Ich wusste nicht das es hier um Sinn und Unsinn von Küchengeräten geht..
;-)
Wer will soll sich das Ding kaufen oder auch nicht.
Die Diskussion ist hier wohl eher zweitrangig.
@Michael m.: Das mit Linux auf dem Gerät ist Ernst gemeint.
Jetzt bräuchte man noch jemanden der ein Teardown von dem Gerät macht.
Kennt jemand einen von iFixit? :-)
Die Suche nach "Thermomix Hack" findet irgendwie nicht das Richtige....
>Hab ich nicht geglaubt, aber unser Thermomix sagt mir das gleiche!
Na toll. Und du bist also derjenige, der mir ständig meinen
RiCept-Server lahmlegt?
Wenn dieser Server eine gewisse Zeit down ist, liebe ThermoMixer, dann
wisst ihr hoffentlich, dass es spätestens dann an der Zeit wäre, sich in
den hoffentlich an die Situation angepassten Hungerbunker zu begeben?!
Die Kohl' ist Staub, das Messer stumpf,
der Thermomix ist allseits Trumph,
doch dann das Update fehlt zum mehlen,
sich die vier Supermesser quälen.
Dann kommt der Herr mit scharfen Klingen,
die trotz Kulanz das Geld verschlingen,
doch er war nett und hat genossen,
bei Stufe zwei doch sehr verdrossen
Der Kaffee sei doch äußerst köstlich,
so sei er dieses Falls sehr tröstlich,
Ein neues Messer reicht da nicht
Ob er denn ist ein Bösewicht?
Der Kerl in Grün meint's doch nicht bös'
man gibts ihm gern, ist's sein Erlös,
Der Thermomix nun grunderneuert,
für Nichtkocher nicht überteuert
Gern mischt man da zum rohen Roggen,
auf Stufe Sieben Haferflocken
Oh Wunder wer steckt da herin,
der rauchende Herr Vorwerkling
Das ist kein Fehler, das ist klar,
ein Wunder der Saugmafia.
Man will mir zeigen wie das Teil
zerkleinern kann, das ist so weil
Solch Vorführung zahl ich doch gern,
der Kobold kommt stets aus weit fern
Und ob ich diese Speis nun esse,
ich die Gastritis fast vergesse.
Ein kleines Gedicht meinersiets zum Thema :P
Hallo,
ich habe mal den Rezept-Chip ausgemessen.
Es ist definitiv ein USB-Device.
Wenn man von hinten auf die Kontakte schaut (Kontakte oben, Seriennummer
unten, lesbar), so ergibt sich von links nach rechts
1 - 5V
2 - D-
3 - D+
4 - GND
Ich hab den Chip mittels Adapter (USB-Kabel abschneiden und die 4 Adern
an eine 2.54mm Pfostenleiste anlöten - diese kann man dann prima unter
die Federkontakte schieben) an meinen PC angeschlossen.
Unter Linux erhalte ich folgende Ausgabe im dmesg
1
[ 883.872022] usb 1-7: new high-speed USB device number 6 using ehci_hcd
2
[ 884.006761] scsi6 : usb-storage 1-7:1.0
3
[ 885.319508] scsi 6:0:0:0: CD-ROM General USB Flash Disk 1100 PQ: 0 ANSI: 2
4
[ 885.323224] sr1: scsi3-mmc drive: 0x/0x caddy
5
[ 885.324636] sr 6:0:0:0: Attached scsi CD-ROM sr1
6
[ 885.326762] sr 6:0:0:0: Attached scsi generic sg7 type 5
7
[ 901.085168] usb 1-7: USB disconnect, device number 6
In Windows wird er als CDROM erkannt.
Mittels dd habe ich den Inhalt von /dev/sr1 mal auf die Platte kopiert.
Sind 4GB.
Dateisystem ist unbekannt :o(
Ich werde mal gucken, dass ich noch mehr raus bekomme
Gruss
Jörg
Krasscoole Sache!!! Danke!
Kannst du die Datei vllt. irgendwo hochladen oder so? Dann kann ich
vllt. mithelfen, das lesbar zu machen. Falls du Serverplatz o.Ä.
brauchst -> Private Nachricht.
Viele Grüße
Matthias
Hallo,
Ich bin julien aus Frankreich und versuche auch mit dem Thermomix zu
spielen.
If it's OK I will however continue in english, as I can understand
german but I'm having a hard time writing it =)
I've been able to do exactly the same as Jörg did and uploaded
corresponding image file to google drive :
https://drive.google.com/file/d/0B9uRYf-8m0W4Rmh0LUJ6Y0dUMnM/view?usp=sharing
Here is a bit of further info using fdisk -l :
Note: sector size is 2048 (not 512)
Disk /dev/sr1: 4026 MB, 4026531840 bytes
255 heads, 63 sectors/track, 122 cylinders, total 1966080 sectors
Units = sectors of 1 * 2048 = 2048 bytes
Sector size (logical/physical): 2048 bytes / 2048 bytes
I/O size (minimum/optimal): 2048 bytes / 2048 bytes
Disk identifier: 0x781ebc15
Disk /dev/sr1 doesn't contain a valid partition table
There is no partition table on the usb flash stick, and filesystem is
unknown. Not seen either using tools such as gparted. I've been trying
to run scalpel on the image, to look for image file (there is a "cover"
or "splash screen" displayed when inserting the recipe chip on the TM5)
but failed to do so.
I will update you if I find more info.
Hallo,
Vielen Dank Julien.
Leider bin ich bisher noch nicht dazu gekommen, mich weiter um den Chip
zu kümmern.
Ich werde mal am Wochenende mein Image mit Juliens Image vergleichen.
Das Uploaden dürfte wegen DSL1000 :..o( bei mir schwierig werden.
Sorry Matthias
Da auf dem TM die Pakete zlib und libsqlite installiert sind, könnte der
Inhalt des Chips entweder komprimiert oder eine Datenbank sein.
zlib könnte aber auch wegen libpng installiert sein.
Auf die schnelle habe ich keine passende "magic number" gefunden.
Gruss
Jörg
Oliver Stellebaum schrieb:> Agent K. schrieb:>> dhcpd (ISC) 3.0.3b1>> Wozu das??? Hat das Ding etwa auch noch WLAN oder eine> Etherschnittstelle?
Das bedeutet IMHO, dass es in Zukunft auch Chips mit WLAN-Anbindung
geben wird. Evtl. erklärt das auch, warum der Speicher als CDROM
eingebunden wird. Das habe ich schon bei USB Composite Anwendungen so
gesehen (z.B. UMTS-Stick = Modem(CDC-Device) + Software (SCSI device))
@Mods: Warum ist dieser Thread unter Offtopic gelandet? Es geht um die
Analyse der Schnittstelle, das gehört doch unter µC+Elektronik. Die
Anzahl der Beitragenden sinkt durch diese Verschiebung immens. Es sind
unter µC+Elektronik regelmäßig auch Themen, die noch wesentlich weniger
in die Kategorie gehören?
Darf ich um Verschiebung bitten?
der war sicher (immer) schon hier (oder schon mal), ICH hab noch nie
einen beitrag aus "µC+Elektronik" gelesen,
> Es geht um die>Analyse der Schnittstelle,
inzwischen gehts hier um illegales file-sharing ;-)
Harald A. schrieb:> @Mods: Warum ist dieser Thread unter Offtopic gelandet?
Die Schnittstelle ist zwar analysiert (es ist USB, wie schon sehr früh
vermutet), aber der Rest des Threads dreht sich um den Thermomix. Das
ist in OT schon sehr gut aufgehoben.
Hallo,
btw, das Image lässt sich übrigens extrem gut Komprimieren -> 4GB auf
7MB
Daraus lässt sich schließen, das:
- es keine komplette Verschlüsselung gibt
- wahrscheinlich nur gemappte Speicherbereiche sind
- der Speicher echte Info für etwa 5 Mb enthält
Jörg
Nach einem kurzem Blick ins File würde ich übrigens sagen das der echte
Speicherbereich 8MB groß ist, wovon knapp 6MB benutzt werden.
Die Verteilung der Bytes lässt drauf schließen das verschlüsselt oder
gut komprimiert wird.
http://remixshare.com/dl/cejwf/recipes.7z
Jörg
Interessant. Ist das jetzt deine Datei oder die französische, die du da
komprimiert hast? Ich hab die französische mal mit bzip2 komprimiert:
137MB. Find die Abweichung irgendwie... verdammt krass. Und 7 MB für 200
(?) Rezepte incl. Bilder auch recht knapp bemessen.
Hallo,
mein File (welches ich inzwischen wieder gelöscht habe) war das
Französische von Julien.
Da der belegte Bereich genau ins 16 Byte Raster fällt denke ich, das es
eine Block Cipher Verschlüsselung ist, und keine Komprimierung.
Knifflig ... :-)
Jörg
Ok guys,
Data seems to be stored at the very beginning of the device :
Looking carefully at the device block dump, there are many interesting
facts :
1. Huge parts of the dumps contain only 0
2. Patterns of 8k seems to be repeated in the following fashion :
AABBCC ... where A is a pattern of 8K (look for 60 57 AE A7 19 2F 75
ED for instance)
3. Having split for all the huge 0 parts, the result is following :
Only 0
from 0x005aE000 to 0x00808000 size==> 0x25a000
from 0x1dc00000 to 0x1e400000 size==> 0x800000
from 0x59c00000 to 0x5a400000 size==> 0x800000
from 0x95c00000 to 0x96400000 size==> 0x800000
from 0xd1c00000 to 0xd2400000 size==> 0x800000
data
from 0x00000000 to 0x005aE000 size==> 0x005ae000 ==> 5955584
from 0x00808000 to 0x1dc00000 size==> 0x1d3f8000 ==> 490700800
from 0x1e400000 to 0x59c00000 size==> 0x3b800000 ==> 998244352
from 0x5a400000 to 0x95c00000 size==> 0x3b800000 ==> 998244352
from 0x96400000 to 0xd1c00000 size==> 0x3b800000 ==> 998244352
from 0xd2400000 to 0xf0000000 size==> 0x1dc00000 ==> 499122176
Apart from very first part, everything compress to almost 0.
The very first part compressed size (lzma) exceeds the data itself -> it
probably means that useful data is located at the beginning of the
device, and is probably compressed
Jörg K. schrieb:> mein File (welches ich inzwischen wieder gelöscht habe) war das> Französische von Julien.
Meinst du damit die Dateien sind identisch?
könnte es sein, dass sich der Rezeptchip nicht SOO einfach auslesen
lässt..
vielleicht waren die so schlau, dass man dem Rezept-Chip ein "passwort"
schicken muss, bevor er seine Daten frei gibt..?
Hallo,
ich habe jetzt auch so ein Gerät ;-)
Hat denn schon Mal jemand bei Vorwerk angefragt? Vielleicht erzählen die
ja was drüber. Wenn nein, dann würde ich das demnächst Mal machen.
Bisher hätte ich 2 Fragen an die:
* Gibt es Source-Code für die Systeme
* Gibt es eine Anleitung API für den Chip
Vielleicht habt Ihr ja noch Ideen.
bis bald
P.S: Zur Diskussion ob so ein Gerät sinnvoll oder nicht ist: ich habe
nun viel mehr Zeit für meine Hobbys (Elektronik und Programmierung), da
dieses Gerät mir einen großen Teil des Timings und Regelens abnimmt und
das Essen wird super.
Hallo,
ich glaube bisher hat sich noch niemand mit Vorwerk darüber unterhalten,
ich würde auch deren Bereitschaft dazu als verdammt gering einschätzen
(so ein Chip kostet bei Vorwerk 50€, ein USB-Stick bekommt man heute für
ein zehntel.. das nenne ich erfolgreiches Geschäftsmodell).
Mach das ruhig mal und lass uns an den Ergebnissen teilhaben :) Viel
Erfolg!
Viele Grüße
Matthias
>das nenne ich erfolgreiches Geschäftsmodell.
ich hätte ein noch viel besseres Geschäftsmodell für dich:
das Papier auf dem ein "Echtest" Kochbuch gedruckt wird, ist noch VIEL
billiger..
ich vermute, dass es eben nicht nur ein 'reiner' Datenchip ist.
Wahrscheinlich gibt es sowas wie ein Handshake oder ein Kopierschutz,
der nicht mit dem Image geholt werden kann.
Haben USB-Sticks nicht eigene IDs? Diese könnten doch Teil des
Chiffriercodes sein, oder?
Das könnte auch einfach für den internen Flash im Thermomix sein
(Firmware-Upgrades?) Solche Sachen kennt man ja, wenn man z. B. auf
OpenWRT-Geräte etc. schaut, wo das Betriebssystem auf nem
NAND-Flash-Speicher liegt.
Durch die Mengen an 0-Blöcke bin ich davon überzeugt, dass wir irgendein
Dateisystem vor uns haben, dessen Inhalt entweder komprimiert oder
verschlüsselt ist - gegen Verschlüsselung sprechen ein wenig die bisher
gefundenen Muster, die sich wiederholen. Ich vermute auch, dass
innerhalb des Dateisystems ne SQLite-DB zu finden ist... aber wenn wir
soweit sind ist eh alles geklärt, nur dahinzukommen wird schwer. Im
Moment versuche ich gerade, alle möglichen Dateisysteme durchzutesten,
mit denen das Image formatiert sein könnte. Bisher ohne jeglichen
Erfolg.
@lrlr nur dass man sich heutzutage dreimal überlegt ob man ein Kochbuch
kauft weil sich der Standard der Rezepte -was die Fehlerfreiheit,
Zuverlässigkeit, Massangaben, Prüfung und Erklärung angeht- nicht mehr
immer von dem von freien Internetrezepten abhebt (bei denen man eben
erwartet dass man dem Rezept nicht trauen kann und mitdenken und
recherchieren muss).
Und dieses Misstrauen wird auch solchen Chips erstmal entgegengebracht
werden...
UFF!! Da hatte ich wohl ein bisschen zu viel übersprungen :)
Usprüngliche Nachricht:
Also, dass da Linux läuft, ist doch völlig irrellevat, oder???
Ist es nicht wichtig, ob das "Programm", welches die Daten liest, auf
dem Chip oder im Gerät ist und in welchem Format und in welcher Struktur
die Daten vorliegen müssen. Wer gibt der Waage die Anweisung, sich
einzuschalten? Woher kommt wann der Impuls fürs Verschließen? Ist das
eine Funktion des Programms oder des Rezepts? Wenn alles identifizeirt
ist: Wie kann ich dann meine eigenen Rezepte so dengeln und an den TM
legen, dass der denkt, er hätte einen Chip anliegen.
Wer das Problem günstig löst, wird viele Freunde gewinnen und vielleicht
sogar ne gute Mark verdienen.
Erstmal grundsätzlich. Rechtliche Fragen sind vielleicht später auch
noch rellevant...
Ist doch scheißegal, wer den TM nützlich findet.
Ich habe zwei verschiedene Rezeptchips mit dd ausgelesen. Habe beide
Images mit tar.gz Standardeinstellungen komprimiert. Jeweils ca 500MB.
Mit einem schnellen Hexdump konnte ich keine Bereiche mit 0-Blöcken
finden.
Verstehe im Moment nicht ganz, wie einige von Euch auf 5MB kommen.
Ok few more experiments :
@alexschwabel : try to 7z you file with stronger settings. To have fast
access to the zeros try this :
dd if=YourFile of=ZeroDump.img bs=4096 count=2048 skip=121856
(from 0x1dc00000 to 0x1e400000 size==> 0x800000)
About the compressed vs ciphered discussion, interesting reading can be
found here :
http://www.devttys0.com/2013/06/differentiate-encryption-from-compression-using-math/http://www.devttys0.com/2013/06/encryption-vs-compression-part-2/
The tool used (call ent) can be retrieved here :
http://www.fourmilab.ch/random/
I ran it on the first part of the file (6 MB), it gaves following
results :
Entropy = 7.999970 bits per byte.
Optimum compression would reduce the size
of this 5955584 byte file by 0 percent.
Chi square distribution for 5955584 samples is 251.59, and randomly
would exceed this value 54.86 percent of the times.
Arithmetic mean value of data bytes is 127.4856 (127.5 = random).
Monte Carlo value for Pi is 3.141464260 (error 0.00 percent).
Serial correlation coefficient is 0.000243 (totally uncorrelated = 0.0).
Which seems to be a good indication that the segment is probably
AES-128b encoded.
Another good indication for this claim is the following :
Linux kernel 2.6.35.3-imx (from Freescale SDK 10.12.01, + custom
patches) seems to be indicating the board inside is based on a IMX.28
which features HW dedicated to AES-128 decoding.
Hi Leute,
nach langem hin und her mit Thermomix (hatten den TM31 2 Wochen lang,
dann kam der TM5, Widerrufen, neuen TM5 geordert), haben mich ähnliche
Gedanken wie euch geplagt.
Lustigerweise hatte ich die gleichen Gedankengänge bezüglich der
Schnittstelle. I2C, properitär oder doch USB?
Die Infos bezüglich Lizenzen und Versionen habe ich auch gefunden.
Da ich an der Schnittstelle 5V gemessen habe, bin ich auch direkt auf
USB gekommen. Ich würde auch meinen Ar*** darauf verwetten, das Vorwerk
über kurz oder lang ein WiFi Adapter rausbringt. DHCP deutet ja
zumindest schon mal auf was Netzwerkmässiges hin. Obwohl ich mich
andereits wieder frage, was man mit DHCP auf der Client seite soll.
Da das Gerät auch prominent eine Software Version präsentiert, könnte
ich mir auch Softwareupdates via Chip vorstellen.
Ich habe mir vorsorglich schon mal einen USB-Datenlogger besorgt. Ich
weiss noch nicht so recht, was ich damit anfangen soll aber das Teil
kann auf HW Ebene die Kommunikation abhören und analysieren. Das hat den
Vorteil, dass man tatsächlich den Datenverkehr zwischen TM und Disc
abhören kann.
Das mit dem CD-ROM kenne ich so von Geräten, welche erstmal Treiber für
ein properitäres Protokoll installieren wollen. Also zum Beispiel
HW-verschlüsselte USB Sticks oder BlackBerry Telefone. Das virtuelle
CD-ROM enthält dann nur den Treiber für die eigentliche Datenverbindung.
Jetzt bin kein Softwerker, aber ich denke die wirklich Interessanten
Daten dürften sich hinter einem anderen virtuellem Gerät verbergen.
Vielleicht ist das CD-ROM-Gerät nur für Software-Updates und ähnlichem
vorgesehen.
Ich werde mal versuchen den Datenverkehr zwischen TM5 und Disc
abzuhören.
Bis denne
Knochi
Ich habe mit binwalk die Entropie der ersten ca. 40 MB berechnen lassen
und das Ganze mal als Diagramm dargestellt. Kann jemand etwas damit
anfangen?
@julien_m Ich habe die ganzen 4GB mit 7z tatsächlich auf 7,2MB
komprimiert bekommen. Spricht also vieles dafür, dass im Rest des Files,
der nicht in meiner Grafik enthalten ist, sich das Muster fortsetzt?
Alex
Hallo alle zusammen,
hab Euch wohl mit dem letzten Post erschreckt... Möchte mal folgende
Fragen/Anregungen in den Raum werfen.
Wenn wir davon ausgehen müssen, dass es sich hier um verschlüsselten
Inhalt handelt, stellt sich die Frage ob man an den Schlüssel dran
kommt.
Jemand hatte weiter oben gemutmaßt, dass es sich um einen Freescale
Prozessor handeln könnte. Wie läuft das in so nem Fall ab? Thermomix
bestellt seine Prozessoren mit "eingebranntem" Schlüssel oder kommt der
über die Firmware zur Laufzeit in den Prozessor? Gibt es nur einen
Schlüssel für alle Chips? Kann ich mir eher nicht vorstellen - denn was
passiert, wenn den jemand ausließt?
Meine Frau ist nicht begeistert, dass ich den Thermomix öffnen möchte.
Was denkt Ihr, liegt der Schlüssel im Klartext auf dem internen Flash?
Alex
So... es ist soweit.. ich habe mal den USB Protocol Analyzer zwischen
TM5 und Rezeptchip gehangen.
Bisher habe ich noch nicht viel in den Daten herumgestöbert. Man sieht
nur einen IN und einen OUT Endpoint "Mass Storage Device".
In den grossen Datenpaketen konnte ich keinen Klartext erkennen. Aber
wer weiss schon, in welchem Format die Daten vorliegen?
Der Trace ist folgendermassen entstanden:
1. recording starten
2. chip anschliessen
3. nach Erkennung -> Menü -> Rezepte
4. "Das Kochbuch"
5. "Nach Kategorie"
6. "Vorspeisen und Salate"
7. "Brokkoli Salat mit Pinienkernen"
8. Starten (rechts oben)
9. ca. 4 mal "weiter"
Den Trace gibt es hier (14.5Mb):
https://mega.co.nz/#!2h0QTYZY!UAgvTRrAN7ne1SK7BF6wh8swa_cITtvP7KZvjrY7Qo4
Und die Software gibt es Gratis bei LeCroy:
http://teledynelecroy.com/support/softwaredownload/download.aspx?mseries=0&did=8337
Ich muss mich da selber noch etwas reinfuchsen. Aber ich denke mal, dass
die Daten die wir gerippt haben, auch das Kochbuch sind.
Ich habe noch keine Hinweise finden können, dass eine weitere Partition
freigschaltet wird.
Viel Spass
Knochi
Hallo,
da ja sqlite und linux schon aus den Lizenzinformationen geschlossen
werden können, wäre eine naheliegende Möglichkeit das hier:
SQLite mit SEE (SQLite Encryption Extension)
http://www.sqlite.org/see/doc/trunk/www/readme.wiki
Intern arbeitet dies mit RC4 oder AES in den Schlüssellängen 128,256 BIT
Viele Grüße,
Tobias
Hallo,
das Bild hier wird denke ich nicht viel helfen. Es ist außer einer Art
"Seriennummer" KEIN Text auf dem Chip aufgedruckt. Lässt sich so aber
problemlos in einen USB Port stecken.
Gruß
Fabian
Nunja, beim verbauten USB-Chip handelt es sich ja aller
warscheinlichkeit nach um einen Standardchip (garantiert aus Asien) in
Kurzform.
Ist es nicht möglich den Stick zu clonen auf einen Bauähnlichen Chip?
Das löst zwar noch nicht den Ansatz der Eigens erstellten
Guided-Cooking-Rezepte. Würde dies aber sicher in der Entwickler
Community interessanter machen.
Bin mir nicht sicher in wie weit das mit der Verschlüsselung möglich
ist...?
Eine wirklich interessante Lösung wäre ja eine Anbindung via WLAN ans
Internet o.ä.
Aber ich habe den Eindruck, dass dies ggf. gar nicht möglich ist, denn
es wird ja nur einmal per bunch vom USB gelesen ... alles andere
passiert inbox.
Oder es ist wirklich so, dass der Chip die Treiber oder zumindest den
Zugriffcode mitliefert ... dann ginge das natürlich wieder.
Beste Grüße
Juan
Dani Da schrieb:> Ist es nicht möglich den Stick zu clonen auf einen Bauähnlichen Chip?
Das würde mich auch interessieren, sollte ja mit dd möglich sein.
Wenn ich mir das Bild von Fabian O. ansehe, kann man dann ja aus dem
Originalgehäuse den Chip entfernen und auf die verbleibenden Kontakte
einen USB Buchse ansetzen.
Vielleicht hat ja jemand mal ein paar Minuten Zeit das mal zu testen.
Hab es schon weiter oben mit ein paar Bildern gezeigt das ich es mit dd
probiert habe. Der TM5 reagiert aber nicht auf den geclonten Stick.
Auch andere Programe unter Windows erkennen entweder den Chip nicht oder
verweigern das clonen. Komme da leider nicht mehr weiter. Wenn einer
einen Tipp hat immer her damit und ich würde es testen.
Das wird mit dd nicht funktionieren, da der Stick sich ja as CDrom LW
ausgibt. Ich habe mich mal eine Zeit mit der Massenproduktion von USB
Sticks beschäftigt. Es gibt s.g. MPTools von jedem Controllerhersteller
(http://flashboot.ru). Dort lassen sich u.a. die Sticks als CD Laufwerk
ausgeben und das üblichste ist dort die Hardware und Hersteller ID zu
verstellen. Einfach mal nach Screenshots schauen, da geht echt viel.
Ich könnte mir vorstellen das ähnliches gemacht wurde und die Daten
entweder:
- nur gelesen werden können wenn der Stick mit einem anderen
"Dateisystem" gemontet wird und erst dann seine Daten preisgibt
- ein spezieller Befehlt an das Laufwerk geschickt werden muss
- der TM sich zu erkennen geben muss damit der Chip darauf reagiert
- oder vlt. einfach die Zieldatei gelesen werden kann wenn man den
Dateinamen kennt
Kennt sich denn niemand mit den Logs von knochi aus?
Hat mal jmd. an die opensource@vorwerk.de oder wie die heißt
geschrieben?
Es ist nicht gesagt, dass ein Dateisystem verwendet wurde, da es ja
durch den TM keine Schreibvorgänge gibt. Das würde erklären, weshalb
kein Mass Storage Device und Laufwerk erkannt werden kann.
Falls eine Verschlüsselung angewendet wurde, dann muss der Schlüssel ja
irgendwo im Gerät versteckt sein.
Es könnte auch sein, dass im Gerät ein Reed Kontakt ist, der noch prüft,
ob Magnete vorhanden sind.
Grüße,
Tobias
Ich habe leider keine Ahnung wie ich ein komplettes dump machen kann.
Könntest du mir das erklären?
Hochladen würde ich vermeiden wollen da es wohl als Raubkopie eingestuft
werden kann und ich probleme bekomme.
Falls es einen Schlüssel gibt ist er universall da man ja die Chips
kaufen kann und die funktionieren an jedem TM5.
Spätestens wenn man ein anderes Kochbuch dran macht und alles mit logt
könnte man die logs vergleichen und den Schlüssel ermitteln.
Die Idee mit den Magneten hatte ich auch schon.
Hab es auch probiert aber leider ohne Erfolg.
> Hochladen würde ich vermeiden wollen da es wohl als Raubkopie eingestuft> werden kann und ich probleme bekomme.
Hast Recht, müsste man erst prüfen. Gibts sowas wie ne Eula oder
Lizenzvereinbarung?
Siehe
http://de.wikipedia.org/wiki/Reverse_Engineering#Rechtliche_Aspekte> Falls es einen Schlüssel gibt ist er universall da man ja die Chips> kaufen kann und die funktionieren an jedem TM5.> Spätestens wenn man ein anderes Kochbuch dran macht und alles mit logt> könnte man die logs vergleichen und den Schlüssel ermitteln.
Wenn man den hätte ;-)
Mit diesem Befehl bekomme ich aber nur die 2,39GB.
Gibt es aber eine Möglichkeit den Chip komplett aus zu lesen?
Deinen Link lese ich mir lieber morgen in Ruhe durch.
Alexander Schäfer schrieb:> Mit diesem Befehl bekomme ich aber nur die 2,39GB.> Gibt es aber eine Möglichkeit den Chip komplett aus zu lesen?
Experte bin ich auch nicht aber eventuell mit
Mit sudo dd if=/dev/rdisk1s0 beziehe ich mich auf disk1s0 die auch 2,4GB
groß ist, ich will aber disk1 mit 4,6GB kopieren (siehe das Bild nach
dem Befehl diskutil list).
Mit count=xxx wirst du da nicht viel erreichen.
Fabian O. schrieb:
-- Zitat Anfang --
Das wird mit dd nicht funktionieren, da der Stick sich ja as CDrom LW
ausgibt. Ich habe mich mal eine Zeit mit der Massenproduktion von USB
Sticks beschäftigt. Es gibt s.g. MPTools von jedem Controllerhersteller
(http://flashboot.ru). Dort lassen sich u.a. die Sticks als CD Laufwerk
ausgeben und das üblichste ist dort die Hardware und Hersteller ID zu
verstellen. Einfach mal nach Screenshots schauen, da geht echt viel.
Ich könnte mir vorstellen das ähnliches gemacht wurde und die Daten
entweder:
- nur gelesen werden können wenn der Stick mit einem anderen
"Dateisystem" gemontet wird und erst dann seine Daten preisgibt
- ein spezieller Befehlt an das Laufwerk geschickt werden muss
- der TM sich zu erkennen geben muss damit der Chip darauf reagiert
- oder vlt. einfach die Zieldatei gelesen werden kann wenn man den
Dateinamen kennt
Kennt sich denn niemand mit den Logs von knochi aus?
Hat mal jmd. an die opensource@vorwerk.de oder wie die heißt
geschrieben?
-- Zitat Ende --
Ich pushe meinen Eintrag nochmal. Das clonen wird nicht gehen. Ihr dump
ja den Inhalt des CD Laufwerks. In die andere Richtung muss ja dann auch
wieder der Inhalt als CD Laufwerk präsentiert werden.
@Fabian O.
Doch wir versuchen gerade das ganze laufwerk zu dumpen.
Der dd Befehl ist eigentlich recht mächtig, nur habe ich noch zu wenig
Ahnung von Ihm.
Also das bekomme ich raus:
USB Flash Disk:
Product ID: 0x1000
Vendor ID: 0x090c (Silicon Motion, Inc. - Taiwan)
Version: 11.00
Serial Number: 1004000540010005
Speed: Up to 480 Mb/sec
Manufacturer: General
Location ID: 0x14100000 / 8
Current Available (mA): 500
Current Required (mA): 300
Capacity: 4,62 GB (4.624.220.160 bytes)
Removable Media: Yes
Detachable Drive: Yes
BSD Name: disk1
Partition Map Type: Unknown
S.M.A.R.T. status: Not Supported
Volumes:
disk1s0:
Capacity: 2,39 GB (2.389.080.064 bytes)
BSD Name: disk1s0
Content: CD_ROM_Mode_1
Tobias S. schrieb:> Es könnte auch sein, dass im Gerät ein Reed Kontakt ist, der noch prüft,> ob Magnete vorhanden sind.
Das ist definitiv der Fall. Ich habe mir einen Adapter aus Acryl gebaut,
und die Verbindung kommt nur zustande, wenn da auch Magneten drin sind.
Aber das würde ich jetzt nicht wirklich als Sicherheitshürde ansehen.
;-)
Ich habe mal durch die Logs durchgesehen und nicht entdecken können,
dass eine weitere Partition freigeschaltet wird. Man bräuchte mal ein
Log von so einem sicherem USB Stick.
So ganz durch bin ich mit dem Thema aber auch noch nicht. Der Controller
IC im Stick kommt laut VID:PID von "Silicon Motion, Inc. - Taiwan
(formerly Feiya Technology Corp.)".
Schaut man sich auf der Homepage des Herstellers um, findet man
zahlreiche Chips mit Sicherheitsfunktionen.
Der Mechanismus ist so wie ich weiter oben schon geschrieben habe. Also
ein CD-ROM enthält die Sicherheitssoftware, welche die Datenpartition
freischalten kann. Eine dritte Partition enthält das Geheimnis und ist
niemals zu sehen.
In dem angehängtem Exploid wird beschrieben, wie man den Schutz bei
Sticks eben dieses Herstellers umgehen kann.
Bis denne
David
was haltet Ihr von einer 2. Front?
hat sich denn schon jemand den code im TM selber angeschaut?
Wäre es nicht vielleicht einfacher den zu knacken und durch einen eigene
Controller zu ersetzen?
beste Grüße
Was sagen denn diverse Diagnosetools wie fdisk, fsck, gparted,
smartmontools und Co zu dem Stick ?
Auch clonezilla oder dd ueber die Konsole sollte funktionieren den Stick
1:1 zu kopieren und oder ein Image zu erzeugen. Dann hat man doch
wenigstens schon mal die Partitionen, Filesysteme und genaue Groesse.
David N-K schrieb:
> Ich habe mal durch die Logs durchgesehen und nicht entdecken können,> dass eine weitere Partition freigeschaltet wird. Man bräuchte mal ein> Log von so einem sicherem USB Stick.
Ich bin ganz deiner Meinung, dass der Controller die richtige Partition
versteckt. Der Unlock-Befehl wir in in deinem Trace irgendwo drin sein.
Schau dir das mal an: http://www.dfrws.org/2010/proceedings/bang.pdf
Wie gesagt, ich habe mich mit diesen Tools um solche Sticks zu erzeugen
schon viel beschäftigt und auch einige hier, aber keine mit einem
SMI-Controller.
Kann man nicht den Chip am Thermomix entsperren lassen und dann die
Datenleitungen auf ein NOtebook umklemmen? Die Versorgungsspannung muss
dabei natürlich unterbrechungsfrei erhalten bleiben. Oder merkt der
Chip, dass er sich am Notebook neu initialisiern muss?
Vielleicht sollten wir uns erstmal klar werden, was überhaupt das Ziel
der ganzen Aktion sein soll.
Ich für meinen Teil strebe an, die Verschlüsselung des Rezeptchips zu
verstehen und so in der Lage zu sein eigene Chips herzustellen. Das
ganze sollte ohne Garantieverlust möglich sein. Dazu ist so ein
Thermomix einfach zu teuer.
Alleine das Umgehen einer Verschlüsselung ist schon rechtlich heikel.
Wenn man unverschlüsselte Daten hat um Dateiformat und Struktur zu
verstehen und der TM diese auch unverschlüsselt akzeptiert ist man
rechtlich bestimmt schon etwas sicherer.
Ist hier jemand, der sich mit sowas auskennt? Ich habe keinen Lust
aufgrund irgendeiner Veröffentlichung hier Post vom Vorwerk-Anwalt zu
bekommen. Ich verstehe das so, das man den Kopierschutz umgehen muss um
auch wirklich Kopien anzufertigen und anzubieten. Wenn man dem Gerät
eigene Inhalte zuführt kann da doch eigentlich nix unrechtes dran sein!?
Ich denke mal wir begeben uns da auf ähnliches Territorium wie diese
NDS-Module.
Ich werde mit Sicherheit nichts hier veröffentlichen, was es Dritten
erlaubt Kopien von TM Rezept-Chips herzustellen und würde es auch jedem
anderen raten.
Bis denne
Knochi
Fabian O. schrieb:> Hallo,>> das Bild hier wird denke ich nicht viel helfen. Es ist außer einer Art> "Seriennummer" KEIN Text auf dem Chip aufgedruckt. Lässt sich so aber> problemlos in einen USB Port stecken.>> Gruß> Fabian
Wie hast du den Chip geöffnet? Ging das Zerstörungsfrei?
Poste doch mal eine Anleitung.
Bis denne
Knochi
Hallo zusammen,
ich habe bereits von zwei Chips mit diesem Adapter und dem Befehl "sudo
dd if=/dev/sr1 of=KochenHatSaison.img" ein Image erstellt. Verstehe ich
einige von Euch richtig, dass die kopierten Daten andere wären, wenn man
vor dem Kopiervorgang einen Befehl zur Initialisierung an den Chip
senden würde?
Viele Grüße
Alex
Hallo David N-K,
ich Teile deine Meinung zu 100%.
Wenn ich mir so anschaue wie oft ich und meine Dame den Chip wirklich
brauchen, könnte man fast glauben das es absolut unnütz ist. Meistens
schauen wir ins Internet oder arbeiten mit kleinen Zettelchen, weil
diese Rezepte nicht direkt von Vorwerk sind.
Mein Ziel ist es eigene Rezepte und Chips her zu stellen.
Leider hast du meiner Meinung nach mit einem Punkt unrecht. Man muss den
Kopierschutz knacken um das Dateisystem sehen und analysieren zu können.
Ist einmal der Schutz geknackt kann man auch kopien erstellen. Wenn du
es schaffst den Schutz zu umgehen und das für dich behälst kann dir
keiner bei der Analyse des Systems helfen. Zudem hilft es keinen wenn
man Informationen zurück hält. Es ist nur eine Frage der Zeit bis es ein
anderer auch hin kriegt.
Alexander Schäfer schrieb:> Hallo David N-K,> ich Teile deine Meinung zu 100%.> Wenn ich mir so anschaue wie oft ich und meine Dame den Chip wirklich> brauchen, könnte man fast glauben das es absolut unnütz ist. Meistens> schauen wir ins Internet oder arbeiten mit kleinen Zettelchen, weil> diese Rezepte nicht direkt von Vorwerk sind.> Mein Ziel ist es eigene Rezepte und Chips her zu stellen.> Leider hast du meiner Meinung nach mit einem Punkt unrecht. Man muss den> Kopierschutz knacken um das Dateisystem sehen und analysieren zu können.> Ist einmal der Schutz geknackt kann man auch kopien erstellen. Wenn du> es schaffst den Schutz zu umgehen und das für dich behälst kann dir> keiner bei der Analyse des Systems helfen. Zudem hilft es keinen wenn> man Informationen zurück hält. Es ist nur eine Frage der Zeit bis es ein> anderer auch hin kriegt.
Ja sowas wollte ich im Grunde auch damit ausdrücken. Habe mich nur etwas
unverständlich ausgedrückt. Ich könnte aber, (rein theoretisch) für mich
im Geheimen, die Daten entschlüsseln und das Dateiformat
veröffentlichen.
Wenn der TM5 dann Rezepte in diesem Format von einem schnöden USB Stick
mit FAT32 Formatierung einliest ist doch alles gut.
Leider liegt ja gerade in der Verschlüsselung der Knackpunkt und hier
wird "Crowd-Sourcing" gebraucht.
Schwierige Sache das.
Bis denne
David
P.S.: Ich habe leider die Erfahrung machen müssen, dass gerade die
Rezepte vom Chip (oder aus dem Buch) immer gut funktionieren. Die Sachen
aus der Rezeptwelt sind leider oft, trotz guter Bewertungen, nicht so
der Knaller.
Rezeptwelt interessiert mich nicht.
Es gibt sehr schöne Gerichte aus dem Grillsportverein.
Ich würde von der Veröffentlichung von Datein abraten. Glaube da bekommt
man eher einen auf den Deckel. Lieber zeigen wie es geht. Wenn jemand
Interesse hat so was zu machen muss es selber machen.
Werde es morgen mal mit der Idee mich zwischen Chip und tm5 zu schalten.
Glaube nicht das es funktioniert aber ich will nicht sagen ich habe es
nicht versucht.
Im übrigen hat mal jemand geschrieben dass da eventuell ein Reedkontakt
eingebaut ist.
Ich habe gestern das mal ganz genau angeschaut und es ist wirklich so
dass der usb Stick nur dann gescannt wird wenn ein Magnet in der Nähe
ist. Ganz genau genommen ist der Reedkontakt auf der linken Seite
(Richtung Rückseite) der Einbuchtung eingebaut.
Hallo liebe TM Freunde ;-)
ich denke nicht, dass es um die Verschlüsselung geht, sondern um das
Verfahren an sich.
Hätte sich Vorwerk auf eine Verschlüsselung festgelegt wäre das sehr
blauäugig.
Ich denke, dass keiner von uns an die Rezepte ran will, sondern eigene
Rezept dem TM einspeißen.
Die Verschlüsselung wird wohl vom Chip vorgegeben und der Treiber, der
Standardverschluesselt sein wird ist eben der Schlüssel zu dem
Geheimnis.
lg
Hallo,
ich habe mal versehentlich einige Offsets, die hier gepostet worden
worden sind, falsch eingebeben.
Da hatte ich denn eine Aer ASCII Tabelle gefunden ...
Meine Vermutung ist, das die Daten schon so auf dem Stick liegen, also
keine versteckte Partition.
Irgendwo habe ich hier gelesen, das der Rezeptchip sich als CD-ROM
meldet, das dürfte schon las einfacher Kopierschutz funktionieren.
Kopiert doch mal die Daten auf einem USB Stick, was passiert dann ??
ggf. mal mit einem Linux-Board hacken, das ein "Software" USB Device
emulieren kann, unter Linux nennt sich das USB Gadget Driver.
Ein Raspberry PI dürfte das mit dem aktuellen 3.18 Kernel können, da
habe ich mal den Merge für den Dual-Role USB Treiber für den Designware
Controller (dwc2) gesehen.
Alexander Schabel schrieb:> ich habe bereits von zwei Chips mit diesem Adapter und dem Befehl "sudo> dd if=/dev/sr1 of=KochenHatSaison.img" ein Image erstellt.
Das macht ja nun irgendwie ueberhaupt keinen Sinn. /dev/sr1 ist doch ein
Laufwerk und nicht der Stick. Was erwartest Du da fuer ein image ? Du
kopierst doch so nur den lesbaren Bereich auf den man ja auch so gucken
kann.
Versuche das mal mit clone-tools wie clonezilla und Co. Das kopiert auch
defekte oder ganz unlesbare Partitionen mit.
Was kommt denn eigentlich dabei raus, wenn man das Orioginal auf einen
anderen USB-Stick klont ? Nimmt die Maschine den ?
Was Passiert wenn man über einen USB Adapter einen Leeren USB Stick an
dem Termomix anschließt ?
Gibt der TM eine Fehlermeldung aus?
Zum Test kann man auf dem Stick eine Normale Textdatei mit ein Text
erstellen und mal schauen ob der TM diese Lesen kann.
Er macht nichts!
Ihm ist es egal ob da was drauf ist oder nicht.
Hab schon sehr viel probiert.
Wichtig ist das ein Magnet in der Nähe ist, Sonst wird er gar nicht
gelesen.
Barney Geroellheimer schrieb:> Alexander Schabel schrieb:>> ich habe bereits von zwei Chips mit diesem Adapter und dem Befehl "sudo>> dd if=/dev/sr1 of=KochenHatSaison.img" ein Image erstellt.>> Das macht ja nun irgendwie ueberhaupt keinen Sinn. /dev/sr1 ist doch ein> Laufwerk und nicht der Stick. Was erwartest Du da fuer ein image ? Du> kopierst doch so nur den lesbaren Bereich auf den man ja auch so gucken> kann.>
Wenn der Chip sich wie gehabt als CD-ROM Lauftwerk anmeldet ist das OK.
Jörg S. schrieb:> Hallo,>> ich habe mal den Rezept-Chip ausgemessen.>> Es ist definitiv ein USB-Device.>> Wenn man von hinten auf die Kontakte schaut (Kontakte oben, Seriennummer> unten, lesbar), so ergibt sich von links nach rechts> 1 - 5V> 2 - D-> 3 - D+> 4 - GND>> Ich hab den Chip mittels Adapter (USB-Kabel abschneiden und die 4 Adern> an eine 2.54mm Pfostenleiste anlöten - diese kann man dann prima unter> die Federkontakte schieben) an meinen PC angeschlossen.>> Unter Linux erhalte ich folgende Ausgabe im dmesg>
1
> [ 883.872022] usb 1-7: new high-speed USB device number 6 using
2
> ehci_hcd
3
> [ 884.006761] scsi6 : usb-storage 1-7:1.0
4
> [ 885.319508] scsi 6:0:0:0: CD-ROM General USB Flash Disk
5
> 1100 PQ: 0 ANSI: 2
6
> [ 885.323224] sr1: scsi3-mmc drive: 0x/0x caddy
7
> [ 885.324636] sr 6:0:0:0: Attached scsi CD-ROM sr1
8
> [ 885.326762] sr 6:0:0:0: Attached scsi generic sg7 type 5
9
> [ 901.085168] usb 1-7: USB disconnect, device number 6
10
>
>> In Windows wird er als CDROM erkannt.>> Mittels dd habe ich den Inhalt von /dev/sr1 mal auf die Platte kopiert.> Sind 4GB.>> Dateisystem ist unbekannt :o(>> Ich werde mal gucken, dass ich noch mehr raus bekomme>> Gruss> Jörg
Noch eine Sache zur Krypto
Wenn ich mich richtig erinnere soll, eine "ideale" verschlüsselte Datei
(oder auch Stücke davon) kaum von der Ausgabe von
cat /dev/ramdom
zu unterscheiden sein.
Also alle Zahlenwerte von 0-255 verwende, seht euch mal die Entropie in
diesem Beitrag an
Alexander Schabel schrieb:> Ich habe mit binwalk die Entropie der ersten ca. 40 MB berechnen lassen> und das Ganze mal als Diagramm dargestellt. Kann jemand etwas damit> anfangen?>> @julien_m Ich habe die ganzen 4GB mit 7z tatsächlich auf 7,2MB> komprimiert bekommen. Spricht also vieles dafür, dass im Rest des Files,> der nicht in meiner Grafik enthalten ist, sich das Muster fortsetzt?>> Alex
Und wenn die CPU HW-Crypto kann, brauche ich einen Kerneltreiber und
eine Schnittstelle dazu.
Unter Linux gibt es OCF und Cryptode, beides kann mit openssl arbeiten.
Es kann ja auch nur komprimiert sein, mit zlib.
Da kann ich einfach die rohen Daten (ohne zlib oder gzip header)
ausgeben lassen.
Wenn ich den Stick mit nem Tool von SMI dumpe und komprimiere komm ich
auf 50mb.
Das mit dem Stick am Strom lassen und dann an den PC klemmen ist ne sehr
gute Idee. Bei den anderen Sticks bleibt nach dem öffnen der versteckten
Partition diese nach dem neustart vom PC erhalten. Kann das mal einer
Testen? Ansonsten mach ich das am Samstag mal
Fabian O. schrieb:> Wenn ich den Stick mit nem Tool von SMI dumpe und komprimiere komm ich> auf 50mb.>> Das mit dem Stick am Strom lassen und dann an den PC klemmen ist ne sehr> gute Idee. Bei den anderen Sticks bleibt nach dem öffnen der versteckten> Partition diese nach dem neustart vom PC erhalten. Kann das mal einer> Testen? Ansonsten mach ich das am Samstag mal
Das mit den SMI Tools habe ich auch schon gesehen. Da gibt es doch
unlock Funktionen und Partition Table Recovery. Hat das schon mal jemand
probiert? Habe ein bisschen bammel den Chip unbrauchbar zu machen, da
die Tools auch teilweise neue Firmware in den Controller schreiben.
Wenn man nach SMI und SM3257 sucht, findet man verschiedene Tools von
SMI, welche wahrscheinlich für die Produktion gedacht sind.
Hier scheint es eine ganz gute Übersicht zu geben:
http://usb-fix.blogspot.de/p/smi.html
Bis denne
Knochi
Also DAS ist jetzt mal Interessant!
In der Google Bildersuche zu SM3257 fielen mir merkwürdige Bilder mit
schwarzweiss Pattern auf. Darüber gelangt man auf folgende Webseite:
http://rusolut.com/xor-key-library/
Mit dieser Software kann man die Rohdaten aus dem NAND-Chip
dechiffrieren.
Also die löten quasi den Flash IC (eMMC) runter und extrahieren die
Rohdaten.
Das können wir wohl knicken, da ja hier ein COB (Chip on Board) verbaut
ist. Ich denke mal das wird sehr schwer an den eMMC zu kommen, wenn
nicht sowieso Controller und eMMC auf einem Die sind.
Eventuell ist aber der Rohdatendumb mit der SMI Software identisch mit
den Rohdaten auf dem eMMC. Dann könnte man die VNR Software anwenden.
Ich habe nur noch nicht herausgefunden was die Software kostet, oder wie
man da dran kommt.
Aber die Informationen sind sehr wertvoll.
Ich habe gerade ein paar USB Sticks geschenkt bekommen, welche zufällig
genau den Chip haben (SM3257ENLT) welchen auch der Rezeptchip benutzt.
To be continued...
Fabian O. schrieb:> Ich habe gerade ein paar USB Sticks geschenkt bekommen, welche zufällig> genau den Chip haben (SM3257ENLT) welchen auch der Rezeptchip benutzt.> To be continued...
wo bekommt man denn sowas geschenkt? So eine Ehefrau will ich auch haben
;-=
Alexander Schäfer schrieb:> Es gibt sehr schöne Gerichte aus dem Grillsportverein.
Wie jetzt? Für den Thermomix? Ich hole mir da immer anregungen fürs
Grillen. Aber Grill und Thermomix treffen sich ja höchstens bei den
Soßen oder Marinaden.
Ich habe gestern versucht etwas zu bauen womit ich mich zwischen dem
Chip und dem TM5 schalten kann, leider ohne Erfolg.
Hat jemand eine Idee die funktionieren könnte?
Mir sind da zwei Kontakte aufgefallen, beim ausseinander nehmen des
Chips. Könnten zum freischalten des Sticks zum Wiederbeschreiben gedacht
sein, oder um eine andere Sperre aufzuheben (wer weiss).
Den kleinen Stick kann man schön auf ein Stück Pappe aufkleben und
direkt in den USB Anschluss des Computers stecken. Feine Sache...
Ich habe keine Ahnung warum aber der TM5 merkt das der Chip abgegriffen
wird und er stellt keine Verbindung her. Ich habe mehr mals alles
geprüft und gemessen aber sobald ich eine Y-Verbindung herstelle weigert
er sich den Chip aus zu lesen (USB-Seite ist nicht am PC angeschlossen).
Einfach auf den Chip zu gehen funktioniert.
Mache ich da was falsch oder woran könnte es liegen?
Alexander Schäfer schrieb:> Ich habe keine Ahnung warum aber der TM5 merkt das der Chip abgegriffen> wird und er stellt keine Verbindung her. Ich habe mehr mals alles> geprüft und gemessen aber sobald ich eine Y-Verbindung herstelle weigert> er sich den Chip aus zu lesen (USB-Seite ist nicht am PC angeschlossen).> Einfach auf den Chip zu gehen funktioniert.> Mache ich da was falsch oder woran könnte es liegen?
Mal doof gefragt... du sagtest ja weiter oben selbst, dass der Thermomix
einen Magneten zum aktivieren braucht. Hast du daran bei deinem Test
gedacht?
Ja den Magneten habe ich dran gehalten.
Wenn ich auf den Chip direkt gehe und den Magneten dran halte wird er
gelesen. Gehe ich mit dem Y-Kabel drauf und halte den Magneten dran
macht er nichts. Ich habe mehr als nur einmal die Verkabelung und die
Kontakte geprüft es ist alles richtig angeschlossen und er hat auch
kontakt.
Sieht mir eher nach einem HF-Problem aus, das wird ja USB2 sein. Da kann
man nicht mehr einfach so rumfummeln... Der Stick sieht ähnlich wie
diese Fingernagel-Sticks aus, die haben auch tw. so extra Pads. Die sind
aber auch nicht dokumentiert, so einfach ein Freischalter ist das sicher
nicht.
Ich glaube aber ohnehin nicht, dass da irgendwas besonderes mit USB
gemacht wurde oder der Stick "entsperrt" werden muss. Die werden wenn
überhaupt VID/PID und evtl. noch eine Stick-Seriennummer im
Hotplug-Event checken. Man könnte noch probieren, ob ein Hub unterstützt
wird, dann könnte man einen USB1.1-Hub und daran ein Beagle USB zum
Mitspannen nehmen.
korrekt, die Signale am USB Bus sind sehr heikel und die Leitungen
müssen "abgeschlossen" werden. Ein Kabel mit "offenen" Enden führt zu
Reflektionen und stören die Funktion. Da müßte man schon direkt am
USB-Stick die Datenleitungen mit 2.poligem Umschalter zwischen TM und PC
wechseln.
Aber selbst das wird nicht funktionieren, da das Ruhepotential der
Datenleitungen definiert überwacht wird und eine Abweichung als
"Abmeldung" bzw. Anmeldung mit nachfolgender Initialisierung des USB
Gerätes ausgewertet wird. Würde ein "Kryptochip" das nicht auch
auswerten und sich nicht sperren, verdiente er seinen Namen nicht.
Für das Konfigurieren des SMI Chips gibt es diverse Tools von SMI.
Das UFDiskUtilities habe ich gefunden und an meinem Stick getestet.
Die Infos seht ihr auf den Screenshots.
Das Programm habe ich von hier:
http://www.flashdrive-repair.com/2014/05/smi-ufdisk-utilities-repair-software.html
Vor dem Ausführen natürlich auf Viren gescannt.
Wie man sieht, ist nur eine Partition vorhanden und sichtbar, plus einen
Sicherheitsbereich. Der Stick ist automatisch "Eingeloggt". Dabei
sollten die Daten doch eigentlich entschlüsselt sein...
Ich traue mich nicht auf "Logout" zu klicken um zu schauen was passiert.
Carlos C. schrieb:> Für das Konfigurieren des SMI Chips gibt es diverse Tools von SMI.> Das UFDiskUtilities habe ich gefunden und an meinem Stick getestet.> Die Infos seht ihr auf den Screenshots.> Das Programm habe ich von hier:> http://www.flashdrive-repair.com/2014/05/smi-ufdisk-utilities-repair-software.html> Vor dem Ausführen natürlich auf Viren gescannt.>> Wie man sieht, ist nur eine Partition vorhanden und sichtbar, plus einen> Sicherheitsbereich. Der Stick ist automatisch "Eingeloggt". Dabei> sollten die Daten doch eigentlich entschlüsselt sein...>> Ich traue mich nicht auf "Logout" zu klicken um zu schauen was passiert.
Du hast das an deinem Rezeptchip getestet!?
Verwunderlich ist ja, dass bei CDROM size 0MB/0% steht, da der Stick ja
offensichtlich als CD-ROM erkannt wird.
Jonas W. schrieb:> Du hast das an deinem Rezeptchip getestet!?> Verwunderlich ist ja, dass bei CDROM size 0MB/0% steht, da der Stick ja> offensichtlich als CD-ROM erkannt wird.
Ich denke, die Option würde für eine lesbare Partition gelten.
Übrigens, die Speichergrößen stimmen auch nicht: "Total Size 663210.02
MB" wäre ein halbes Terrabyte. Die sichtbare Partition hat wie üblich
3,75 GB.
Nur so als Info.
Wenn jemand wie ich auf die glorreiche Idee kommt den Chip mit SMI
MPTOOL aus zu lesen kann sich bei Vorwerk direkt einen neuen bestellen
:-(
Jetzt ist das Teil Nagelneu als USB Stick zu sehen.
Alexander Schäfer schrieb:> Nur so als Info.> Wenn jemand wie ich auf die glorreiche Idee kommt den Chip mit SMI> MPTOOL aus zu lesen kann sich bei Vorwerk direkt einen neuen bestellen> :-(> Jetzt ist das Teil Nagelneu als USB Stick zu sehen.
Hallo Alexander,
verstehe ich nicht ... was ist da passiert?
beste Grüße
Juan
Georg A. schrieb:>> Ich würde kein Y-Kabel nehmen, sondern die Datenleitungen nach dem>> Connect trennen und zum PC leiten...>> Bitte mal mehr USB-Grundlagen lesen ;)
Probieren geht über Studieren.
Habe mit einen Adapter gebaut. Trotz das die Stromverbindung nicht
unterbrochen wir, gibt sich der Stick auch nach dem Verbindungswechsel
zum Thermomix nur als CD Laufwerk aus. Doch eine "Hidden LUN" welche
nicht freigeschaltet, sondern nur richtig angesprochen werden muss.
Wären wir wieder beim USB Trace...
PS: Da hier ja öfters der "Sinn und Zweck" angesprochen wurde: Ich für
meinen Teil möchte wissen was und wie es auf dem Chip ist um eigene
Rezepte drauf zu bekommen. Wifi wird von Vorwerk früher oder später
kommen, da bin ich mir ziemlich sicher.
> Probieren geht über Studieren.
Nach 15 Jahren USB-Probieren und USB-Studieren kann ich da IMO schon ein
paar fundierte Aussagen machen ;) Der Wechsel löst zwangsläufig am PC
einen Port-Reset und eine Re-Enumeration des Sticks aus. Das ist so gut
wie ein Power-Cycle.
So vom Gefühl her würde ich da aber nicht zuviel auf den Trace geben.
Ich zweifele daran, dass die Entwickler da so tief in USB gegraben
haben. Die Daten werden schon in dem normal lesbaren Teil irgendwie
verschlüsselt liegen.
Fabian O. schrieb im Beitrag #3933285
> PS: Da hier ja öfters der "Sinn und Zweck" angesprochen wurde: Ich für> meinen Teil möchte wissen was und wie es auf dem Chip ist um eigene> Rezepte drauf zu bekommen. Wifi wird von Vorwerk früher oder später> kommen, da bin ich mir ziemlich sicher.
Laut Aussage einer Thermomix Beraterin soll ein Stück zum selber
beschreiben kommen.
Natürlich nur mit kostenpflichtigen Thermomix Rezepten.
Georg A. schrieb:>> Probieren geht über Studieren.>> Nach 15 Jahren USB-Probieren und USB-Studieren kann ich da IMO schon ein> paar fundierte Aussagen machen ;) Der Wechsel löst zwangsläufig am PC> einen Port-Reset und eine Re-Enumeration des Sticks aus. Das ist so gut> wie ein Power-Cycle.>
Dem stimme ich voll zu.
Es ist so das pro USB-Device eine Art Divice ID (Filedescriptor) am Bus
vertreilt wird.
Diese ist wenn das Device am BUS hängt konstant. Der Bus ist wie eine
Punkt-zu-Punkt Verbindung zu behandeln.
Von besonderheiten wie Split-Transaction und Transaction-Translator
(beim USB2 Hub) will ich jetzt nicht sprechen.
> So vom Gefühl her würde ich da aber nicht zuviel auf den Trace geben.> Ich zweifele daran, dass die Entwickler da so tief in USB gegraben> haben. Die Daten werden schon in dem normal lesbaren Teil irgendwie> verschlüsselt liegen.
Irgendwo habe ich hier eine Liste gesehen die vermutet welche Programme
auf dem Thermomix sind.
Aber auf die "einfachste" Möglichkeit ist z.Zt. noch kein Thermomix User
gekommen.
Hat das DING einen Debug-Port ??
Hans Ulli Kroll schrieb:> Aber auf die "einfachste" Möglichkeit ist z.Zt. noch kein Thermomix User> gekommen.> Hat das DING einen Debug-Port ??
Von außen ist keiner zu sehen. IR hatte ha nur der alte. Entweder gehts
auch über den Port an der Seite (Host2Host) oder einer macht seinen mal
auf :D
Fabian O. schrieb:> Hans Ulli Kroll schrieb:>> Aber auf die "einfachste" Möglichkeit ist z.Zt. noch kein Thermomix User>> gekommen.>> Hat das DING einen Debug-Port ??>> Von außen ist keiner zu sehen. IR hatte ha nur der alte. Entweder gehts> auch über den Port an der Seite (Host2Host) oder einer macht seinen mal> auf :D
Der Sinn eines Debug Port ist, das man ihn nicht sieht ...
Mit den Port an der Seite meinst du wohl den USB-Port ??
Hat schon mal jemand versucht, ob sich der TM als device anmeldet, wenn
man den Reedkontakt nicht auslöst und den mit dem PC verbindet?
Vielleicht dient der auch dazu um zwischen Host und Device Rolle
umzuschalten (analog zum Pin4 bei microUSB).
Bis denne
Knochi
Christian Krause schrieb:
Hi Christian,
nachdem ich mich ein bisschen mit "sicheren" Flash Controllern
beschäftigt habe, ist mein Ansatz jetzt erstmal den hexdump zu
entschlüsseln.
Die meisten Controller scheinen ja einfach einen mehr oder weniger
langen, festen Schlüssel zu benutzen.
> Ich habe die 7z Datei mal entpackt und mir mit einem Hexeditor> angesehen, und zwar ab dem 0x5000000 Halbbyte (hexadezimal)>> hexdump recipes.img | grep ^5>> Der hexdump ist beim 0x6000000 Halbbyte identisch:>> hexdump recipes.img | grep ^6>> Nun schaut man sich mal an, ab wo er sich wiederholt: Ab 0x5002000 fängt> er wieder von vorne an, d.h. der Schlüssel ist 0x2000 Halbbytes lang,> das entspricht 8192 Halbbytes = 4096 Bytes = 4kb.
Dieser (http://rusolut.com/xor-key-library/) grafische Ansatz hat mich
mal dazu inspiriert, den von dir genannten Bereich grafisch
darzustellen. Ich habe dazu ImageJ benutzt und die Rohdaten als 1-bit
Bitmap interpretiert (0 ist weiss, siehe Anhang).
edit: ich benutze Hex Workshop unter Windows. Der Offset ist in bytes
angegeben und die bytes sind bei mir "verdreht", irgendwie big-little
endian krams. Für die Statistik ist das aber erstmal egal.
Ich sehe da immer noch Wiederholungen (auch mehr als zwei, also hat nix
mit den halbbytes zu tun)... die genaue Länge habe ich noch nicht
herausbekommen. Man bräuchte mal ein anständiges Tool.
> Edit: Das ist übrigens SEHR groß für einen AES Schlüssel. Ggf. handelt> es sich hierbei auch nur um reines XOR?
Da gehe ich mal von aus, also ein "Block Cipher". Die Frage ist nur,
macht der TM5 die Verschlüsselung oder der Flash Controller?
Gegen den Controller sprechen IMHO mehrere Gründe:
laut obiger URL
* der betreffende Controller (oder die Familie) benutzt 4/8/16kB grosse
"pages" davon 32-256 Stück
* nur Daten werden verschlüsselt (0 sollte also 0 bleiben)
** obwohl auch ein Segment mit Nullen existiert (zwischen 0x9c00000 und
0xA400000 = exakt 8Mb), vielleicht beginnt hier ein neuer logischer
Block?
* So ein Controller versteckt eigentlich die Partition, man müsste den
Flashchip runterlöten um an die Daten zu kommen
Für den Controller würde sprechen, das so kein Dateisystem sichtbar ist.
Der TM5 müsste das entschlüsseln also quasi beim mappen machen. Ich habe
keine grosse Ahnung von Linux, vielleicht ist das ja auch standard.
> Edit2:> Das stimmt leider nicht ganz. Es gibt einen anderen Codeblock, der immer> wieder auftritt mit einer Periodizität von 15103 Bytes.
Wie findest du die Wiederholungen? Hast du ein Tool oder starrst du die
Zahlen an (grün auf schwarzem Hintergrund)? :-)
Bis denne
David
David N-K schrieb:> Da gehe ich mal von aus, also ein "Block Cipher". Die Frage ist nur,> macht der TM5 die Verschlüsselung oder der Flash Controller?> Gegen den Controller sprechen IMHO mehrere Gründe:> laut obiger URL> * der betreffende Controller (oder die Familie) benutzt 4/8/16kB grosse> "pages" davon 32-256 Stück> * nur Daten werden verschlüsselt (0 sollte also 0 bleiben)> ** obwohl auch ein Segment mit Nullen existiert (zwischen 0x9c00000 und> 0xA400000 = exakt 8Mb), vielleicht beginnt hier ein neuer logischer> Block?
Gibt es denn noch mehr Leerstellen ???
Hans Ulli Kroll schrieb:> David N-K schrieb:>> Da gehe ich mal von aus, also ein "Block Cipher". Die Frage ist nur,>> macht der TM5 die Verschlüsselung oder der Flash Controller?>> Gegen den Controller sprechen IMHO mehrere Gründe:>> laut obiger URL>> * der betreffende Controller (oder die Familie) benutzt 4/8/16kB grosse>> "pages" davon 32-256 Stück>> * nur Daten werden verschlüsselt (0 sollte also 0 bleiben)>> ** obwohl auch ein Segment mit Nullen existiert (zwischen 0x9c00000 und>> 0xA400000 = exakt 8Mb), vielleicht beginnt hier ein neuer logischer>> Block?>> Gibt es denn noch mehr Leerstellen ???
Ich habe Nullstellen bei
0x00393000 - 0x00808000 (0x475000 lang)
0x59C00000 - 0x5A400000 (0x800000 lang)
0x1DC00000 - 0x1E400000 (0x800000 lang)
0x95C00000 - 0x96400000 (0x800000 lang)
0xD1C00000 - 0xD2400000 (0x800000 lang)
Interessant ist vielleicht, dass mitten in den Nullblöcken einige
aufeinanderfolgende "Asciitabellen" vorhanden sind (also Aufzählungen
von 0x00 bis 0xFF).
Beim ersten Nullblock startet die erste Aufzählung bei 0x59FFFC00 an und
wird bis 0x5A000BFF wiederholt. Danach folgen wieder Nullen.
Beim zweiten fängt die Aufzählung bei 0x1DC00000 an und endet bei
0x1E000DFF.
Beim dritten fängt sie bei 0x95FFFA00 an und endet bei 0x960009FF.
Beim vierten fängt sie bei 0xD1FFF800 an und endet bei 0xD20007FF.
Sind also nicht immer an der selben Stelle innerhalb des Nullblocks.
Ich habe einfach vermutet, dass die Wiederholungen im Bereich 2^x
stattfinden.
Weiterhin habe ich einfach Teile aus dem Hexview in einen Editor kopiert
und nach bestimmten Strings gesucht.
Ich glaube übrigens nicht, dass sich Vorwerk hier wahnsinnig viele neue
Dinge ausgedacht hat.
Hat mal jemand probiert, ob der TM nicht einfach /dev/sr1 mountet? D.h.
man müsste schlicht deshalb ein "CD-ROM"-Stick anschließen, weil Linux
nur dieses unter /dev/sr1 einbindet. Ggf. kann man also das dd-Abbild
auf eine CD-Rom brennen und mit einem externen USB-CD-ROM lesen.
Unser TM ist leider noch nicht da.
Hm? Das hat nichts mit der TM-Konsole zu tun. Entweder hat man ein
Iso-Image oder nicht. Wenn man eins hat, braucht man keinen Rohling, um
das an einem normalen Linux zu mounten... Für ein Iso-Image sollte dann
aber "file" schon den passenden Typ ausspucken und es sollte einiges an
lesbarem Text in den ersten 60KB des Image auftauchen.
Ich nehme an das externe CD Rom sollte an den Thermomix angeschlossen
werden. Möchte man dort alternativ loop mounten bräuchte man einen
Konsolenzugang.
Fabian Seither schrieb:> Kurze Frage (ich hoffe es habe es nicht überlesen): Wie habt ihr den> Rezept-Chip ohne Beschädigung am Gehäuse auf bekommen?
Der hat 3 Haltenasen, welche sich bei mir beim Öffnen leicht verformt
haben, hat aber beim Zusammenklipsen wieder ohne Probleme gehalten.
Ich dachte mir, dass es im Zweifel mit Sekunden oder Heißkleber wieder
fest zu bekommen ist.
Ich bin mit einer dünnen Taschenmesserklinge zwischen grünen Ring und
Rückseite gegangen und habe an verschiedenen Stellen Vorsichtig
gehebelt.
Eine Frage in die Runde:
Gibt es auch ein Image mit einem vollständigen Auszug der Daten von
einem Chip? Die oben genannte recipes.7z ist ja wenn ich das richtig
verstanden habe nur ein Auszug des Speicherbereichs vom Chip, da laut
Julien M. der Speicher mit dem folgenden Befehl kopiert wurde:
Interessant wäre ein Auszug ohne SKIP/COUNT-Parameter.
(http://wiki.ubuntuusers.de/dd#Optionen)
Habe leider noch nicht meinen TM erhalten um es selbst komplett
auszulesen.
Hallo,
ich bin neu hier, hatte aber noch eine Idee zu einer etwas anderen
Herangehensweise:
Und zwar ist auf dem Gerät ja ein Linux mit DHCP-Client installiert.
Vielleicht ist in dem verwendeten Kernel ja ein Treiber für eine
USB-Netzwerkkarte enthalten. Dann könnte man ja mal versuchen so eine an
den Rezeptchip-Port anzuschließen (evtl. mit einem USB-Hub). Mit etwas
Glück holt sich der TM darüber eine IP vom Router. Mit noch mehr Glück
läuft dann noch irgend eine Verwaltungssoftware auf dem Gerät.
Vielleicht könnte man sich über irgendwelche Sicherheitslücken (z.B.
Heatbleed/SSL/SSH) dort Zugang zu einem Terminal zu verschaffen. Dann
hätte man vermutlich viel gewonnen. Ich könnte mir vorstellen, dass der
Rezeptchip an irgendeiner Stelle unverschlüsselt in das Dateisystem des
Geräts gemountet wird. So käme man vielleicht an die verschlüsselten
Daten heran oder man könnte vielleicht auch einfach einen eigenen Ordner
mit Rezeptdaten an der entsprechenden Stelle mounten. Oder es liegt
irgendwo der Schlüssel im Speicher.
Die Chance ist zugegebenermaßen nicht hoch, dass das wirklich alles
klappt, könnte aber einfacher sein, als eine Datenträgerverschlüsselung
zu brechen. Leider habe ich weder die Materialien um an den
Rezept-Chip-Port andere Geräte anzuschließen, noch eine entsprechende
LAN-Karte.
Ich habe ja bekanntlich einen Stick mit dem gleichen Chip. Habe die
letzten Stunden versucht mit dd und dem Dumptool von SMI die Daten auf
den Stick zu bekommen, jedoch ohne Erfolg. Die SN, Vendor-ID,
Stromaufnahme, LUN-Size etc. habe ich gleich gesetzt, doch leider gehts
nicht.
BTW: Wie groß waren eure dumps? Ich habe mit dem SMI Tool im "auto find
end LBA" Modus 7MB und im "Full Dump" ca. 24 MB...
Fabian O. schrieb:> Ich habe ja bekanntlich einen Stick mit dem gleichen Chip. Habe> die> letzten Stunden versucht mit dd und dem Dumptool von SMI die Daten auf> den Stick zu bekommen, jedoch ohne Erfolg. Die SN, Vendor-ID,> Stromaufnahme, LUN-Size etc. habe ich gleich gesetzt, doch leider gehts> nicht.>> BTW: Wie groß waren eure dumps? Ich habe mit dem SMI Tool im "auto find> end LBA" Modus 7MB und im "Full Dump" ca. 24 MB...
ein "end lba" kann eigentlich nicht drin sein, wenn keine
partionstabelle drauf ist und full dump mit 24mb erscheint auch etwas
klein oder? ist dein dump bereits komprimiert?
Fabian O. schrieb:> Ich habe ja bekanntlich einen Stick mit dem gleichen Chip. Habe die> letzten Stunden versucht mit dd und dem Dumptool von SMI die Daten auf> den Stick zu bekommen, jedoch ohne Erfolg. Die SN, Vendor-ID,> Stromaufnahme, LUN-Size etc. habe ich gleich gesetzt, doch leider gehts> nicht.>> BTW: Wie groß waren eure dumps? Ich habe mit dem SMI Tool im "auto find> end LBA" Modus 7MB und im "Full Dump" ca. 24 MB...
Also wenn der Stick die Daten verschlüsselt, muss wahrscheinlich auch
die gleiche Firmware auf dem Flash Controller sein.
Kann man die nicht irgendwie mit den SMI Tools kopieren?
>Also wenn der Stick die Daten verschlüsselt, muss wahrscheinlich auch>die gleiche Firmware auf dem Flash Controller sein.>Kann man die nicht irgendwie mit den SMI Tools kopieren?
Wie kommst Du darauf, dass der Stick verschlüsselt? Ich denke eher, dass
der Controller des TM entschlüsselt (vorausgesetzt das die Daten
überhaupt verschlüsselt sind)
EDIT:
Was bisher abgeht, ist die Information wie der TM die Daten liest und
wie er das Laufwerk mountet.
Denkt aber bitte dran :
Das sind am Debug-Port meisten "TTL-Pegel" von 3,3V.
Also nicht direkt das serielle Kabel anschließen.
Wer schon mal mit OpenWRT gearbeitet hat, kennt das verfahren ...
...das setzt aber voraus das hier jmd. seine Garantie opfert.
Ich habe mal an die opensource@vorwerk.de geschrieben, natürlich keine
Antwort bekommen. Vielleicht sollten das mal mehr machen.
David,
nachdem ich mir Deinen Link zu rusolut auch mal angeschaut habe, hab ich
obiges Bild erzeugt. Es startet bei 0x800000 in der ersten Nullstelle
(weißer Bereich), bei 0x808000 folgen dann die ersten Daten. Das Bild
ist mit 1024 Bits Breite erzeugt. Es handelt sich hier um einen Auszug
von 256kB. Null ist weiß.
Interessant ist vielleicht, dass die Daten Deckungsgleich in zwei
verschiedenen Rezeptchips sind (verschiedene Kochbücher!)
Allerdings stelle ich mir nach der Aktion nun die Frage, inwieweit uns
das weiterbringt, denn auf rusolut wird - wenn ich das richtig
verstanden habe - beschrieben, was du tun kannst, wenn Daten von einem
ordinären Flash gerettet werden sollen. Soweit ich verstehe "scrambeln"
alle Flash Controller heutzutage - möglicherweise um die Lebensdauer der
NAND chips zu maximieren? Und wenn nun der Controller einen Schaden hat,
muss man eben den Schlüssel rausfinden um die Daten rückzu"scrambeln".
Richtig?
Nehmen wir mal an, dass diese Annahme stimmt - die erzeugten Bilder
sehen ja trotzdem so aus, als ob sie durch einen solchen XOR Filter
gelaufen wären. Wäre ja also durchaus denkbar, dass der TM mit diesem
Schlüssel die Daten selbst entschlüsselt und der Flash Chip dumm ist.
Gibt es hierfür Gegenargumente? Wenn nicht, stelle ich mir die Frage,
wie genau ich den Schlüssel mit den ersten ca. 8MB verarbeiten müsste um
mal zu sehen, was dort wirklich steht. In diesen ca 8MB müssen meiner
Meinung nach die Nutzdaten stehen.
Alex
Hans Ulli Kroll schrieb:> Hallo,>> sind denn die beiden Chips im ersten 1MByte identisch ?> Außer vielleicht einige Bytes am Anfang (MBR ??)
gibt es schon ein komplettes image eines chips? (gerne auch "nur" per
pm)
Hans Ulli Kroll schrieb:> Hallo,>> sind denn die beiden Chips im ersten 1MByte identisch ?> Außer vielleicht einige Bytes am Anfang (MBR ??)
Die zwei Chips die ich getestet habe enthalten scheinbar unterschiedlich
viele Nutzdaten. DasKochBuch ca. 6,2MiB und KochenHatSaison ca. 3,6 MiB
unterscheiden sich von 0B bis zur angegebenen Größe. Der Rest des Chips
inkl. der weiter oben gezeigten Daten (evtl. ja auch Schlüssel) und
Nullstellen ist identisch.
Alex
Hmmm,
Aber den Dump mit dem SMI Tool gemacht ??
Sorry ich habe nur das hier verlinkte Image mit 4GB Daten.
Zu der Frage die hier nich herumgeistert:
Wenn das Device sich selber als CD meldet (*) , es ist eigentlich egal
wie der NAND Speicher aufgebaut ist.
Außerdem sind ja zu einem NAND Block von 2k noch die Reed Solomon Codes
abgelegt.
*
Seit BAD-USB sollte jeder wissen, das auf dem USB-Stick ein
Mikrocontroller 8051 am laufen ist. Und auf einigen USB WLAN Adaptern
ist es auch so (Realtek)
Geil ...
Ein Problem wird dabei aber nicht erwähnt :
Auf dem Linux Kernel bzw. auf einigen Tools z.B. busybox existiert eine
GPL
Was es auf sich hat, sollten wenigstens die Hersteller wissen.
UND damit meine ich nicht Vorwerk allein ...
Ob da jetzt ein Kopierschutz drauf ist, kann ich nicht sagen.
Ich habe so ein Teil nicht und ich werde mir so ein DING nicht zulegen,
da habe ich genug andere elektronische Spielsachen womit ich am arbeiten
bin:
Siehe https://github.com/ulli-kroll/rtl8821au
OK da fehlt die GPL und das README, aber die sind irgendwo in den Files
versteckt.
Und der Treiber ist im Original von der Edixmax Seite (glaube ich, steht
in den logs).
Außerdem möchte ich damit auch noch nich hausieren gehen, da dieser
z.Zt. für mich zu schlecht ist um in den Staging Zweig zu kommen.
Hans Ulli
"die hacker leihen sich von deren Frauen die Küchenmaschine"
lol
da dreht sich ja Alice Schwarzer im Grabe um..
>Ist das alles legal?
Natürlich nicht,..
interessanter wäre jetzt, wer das jetzt NOCH versucht (und geschafft
hat?)
Mode M. schrieb:> Ist das alles legal?>> https://www.youtube.com/watch?v=oE4rmzkL4tk>>>> PS: Wir sind hier ein Hackerforum ;-)
Ob diese "Popularität" so gut ist...? Und wie kommt er auf dieses Thema?
Aber zum Inhalt, selbstverständlich ist das vervielfältigen der von
Thermomix erstellen Chips nicht legal. Aber das probiert hier ja niemand
der Ansatz ist ja EIGENE Rezepte auf einen EIGENEN Chip zu bringen.
Naja,
wenn die Hacker die Küchenmaschine klauen und wie in iFixit zerlegen,
dann glaube ich könnte der Haussegen etwas schief hängen.
Besonders wenn da irgendwo (auch hinten am Gerät) ein Kratzer von den
Öffnungsversuchen zu sehen ist.
Naja, "Hacken" ist ja nicht verboten, so lange man es fuer sich im
Stuebchen macht. Sich dabei mit anderen auszutaschen um zum Ziel zu
gelangen duerfte auch nicht wirklich illegal sein.
Guckt man sich die Amis an, was so in den Nachrichten auftaucht /
aufgetaucht ist, interessiert das eh niemanden. Denn alles was bei rum
kommt ist " Das war aber nicht nett was ihr da seit 100 Jahren gemacht
habt". Ich mein', das ist ja alles nix Neues.
Aber was ich eigentlich sagen wollte. Respekt was ihr hier so
veranstaltet.
So,
ich habe mal meine Murmel benutzt und ein paar Werte nachgerechnet:
Nehme ich ein normales Rezept, aus dem Kochbuch, bin ich bei ca. 3-4k an
Text. Wenn ich die Sache noch UTF8 encode komme ich auf 8k. Plus noch
irgendwelchen Krempel den ich in eine XML Datei packen würde, um jetzt
Pausen und Steuerungen für den TM5 anzugeben, würde ich so bei 15-20k
liegen.
Bilder und Ton dürften da nicht auf dem Stick sein.
Bei ca. 300 Rezepten komme ich auf ca. 6 MB, wenn ich nicht noch gzip
benutze ...
Alles was darüber liegt ist einfach BLOAT
Was mir gerade noch eingefallen ist:
Was passiert denn bei einem DoS auf dem TM5 ?
Die Milch kocht über
Meine Dame hat es gemerkt das ich den Chip geschossen habe und mich
beauftragt unverzüglich einen neuen zu besorgen. So jetzt habe ich zwei
davon...
Dann kann das Spiel ja weiter gehen. ;-)
Ich bin Freitag ganze drei Stunden eher zu Hause als der Drachen, werde
diese blöde Wunderkiste zerlegen und schauen was drin ist.
Kann mir einer sagen worauf ich besonders achten muss damit wir hier
weiter kommen?
Selbstverständlich werde ich alles haargenau mit Fotos dokumentieren.
Ach übrigens wurde öfters gefragt wie man dann Chip aufmacht.
Man kann zwischen die obere weiße Kappe und den mittleren grünen
Gummiring den Fingernagel eindrücken und ein mal rings rum fahren.
Alexander Schäfer schrieb:> Kann mir einer sagen worauf ich besonders achten muss damit wir hier> weiter kommen?
Mach' halt viele viele Fotos, nichts sagt mehr. Ich kaufe mir jetzt
bestimmt keine 1000.- Maschine nur um das verfolgen zu koennen.
Ausserdem habe ich Messer Topf, Pfanne, Induktionsfeld. Kuechenmaschinen
mag ich nicht.
Und als Drachen wuerde ich sie jetzt nicht bezeichnen, immerhin hat sie
Dich beauftragt Deine Bastelware zu besorgen :o) Wenn ihr nu getrennte
Konten habt ist das natuerlich Dein Ding. shit happens.
Ein Bootlog wäre auch schön, aber auch gefährlich ....
Es dürfte sich nach meiner Meinung noch irgendwo eine Reihe mit vier
offenen Lötpunkten auf der Platine befinden. Das ist im Normalfall die
serielle Schittstelle.
ACHTUNG
Dort sind Pegel von 3.3V, also einen Adapter dafür nehmen.
Früher hatte ich dazu immer ein Handy USB-seriell Kabel genommen.
Masse und RX sind relativ einfach mit einem Voltmeter/Ohmeter erstmal
auf der Kabelseite zu finde.
TX finde ich auf dem Kabel durch Spannungsänderung.
Oder auch hier http://www.adafruit.com/product/954
Farben sind glaube ich Standard.
Die rote Ader auf keinen Fall verbinden 5V, die CPU hat aber
3,3V(Platine) oder auch weniger
Wenn Masse und RX bekannt sind, wird dann erstmal die Masse bei den vier
Lötpunkten gesucht. Die RX Leitung vom Kabel kannst du dann über die
restlichen Punkte "proben".
Wenn Datenmüll im Terninalprogramm kommt, die Baudraute ändern.
Zwischen 19200-115200 habe ich schon alles gesehen ..
Achja Link zu meinem vermuteten SoC
http://www.freescale.com/webapp/sps/site/prod_summary.jsp?code=i.MX6SL
MCIMX6LxDVN10xx
MCIMX6LxDVN10xx
Hat alles was der Mensch braucht.
GPIO, USB, MAC (Ethernet) und eine LCD Treiber ..
Das ich gerade noch online bin.
Es dürfte bei den bekannten Handyläden für alte Geräte noch Datenkabel
geben ..
Die bekommst du dort für 5 EUR nachgeworfen
Hmmm,
messe trotzdem dein Kabel mal nach.
Blau(TX) mi Schwarz (GND) dürfte 3.3V sein.
Bei den aktuellen Kabel die aus China kommen, ist auf dem roten immer
5V. Jedensfalls die aktuell habe.
Nein ;-)
Ich habe das Teil einfach nicht richtig aufbekommen und hab nur mit dem
Handy ein paar Bilder gemachen.
Hatte es mir eigentlich leichter vorgestellt.
Hab extra eine Kamera mit Stativ aufgestellt um gute Bilder machen zu
können, aber stattdessen musste ich das Handy in die Lücken quetschen um
überhaupt was an Bildern zu bekommen.
Ich will aber zu mindestens das was ich habe nicht verstecken. :-)
Sorry für die schlechten Bilder.
https://www.dropbox.com/sh/l45mhe442zxa3pk/AABtsN-zJmSLyLRh2kzvaEiLa?dl=0
Sobald ich etwas mehr Zeit habe werde ich es noch mal versuchen.
Nette Bilder ...
*32_jpg zeigt so wie es aussieht, Hauptplatine.
Ich kann die Haltenase für den Displayrahmen erkennen.
Vorne sind zwei Haltenase klar zu erkennen und unten kann ich auch noch
zwei Haltenase sehen.
Die wei oberen sehe ich jetzt nicht.
Wenn diese sechs "betätigt" werden sollte das Display mit der
Steuerplatine herausfallen.
So wie es aussieht, ist der Displayrahmen der Halter für die Platine und
wird einfach bei der Montage von außen eingeklipst.
Ich kann auch sowas wie eine serielle Schnittstelle erkennen.
Auf Bild *40_jpg sieht man eine noch etwas größere Platine.
Ich kamm da aber einfach nicht dran. :-(
Und die Leitung die vom Chip kommt(die geschirmte Leitung auf den
Bildern), konnte ich einfach nicht erkennen wo sie genau hin geht.
Daher bin ich mit der Aussage etwas vorsichtig und kann nicht genau
sagen was die hauptplatine ist.
Das Display kann man ausbauen. Das ist aber etwas schwieriger als man
denkt da die Kabel vorher abgemacht werden müssen.
Hmmm
Wenn ich jetzt mal das Produktbild vom TM5 vergleiche, dann ist
Bild *_32.jpg von der linken Seite aufgenommen worden.
Bild *_55_40.jpg irgendwie von vorne/unten
Bild *_52.jpg vorne/unten aber was weiter nach links
Auf Bild *_40.jpg kann man den Drehencoder sehen, dessen
Verbindungskabel gehen nach links auf die Displayplatine.
Auf Bild *_52_40.jpg sehe ich irgendwas mit Temp, das könnte die Meß-
und Steuerplatine sein.
Vielleicht ist da auch die CPU drauf.
Die geschirmte Leitung ist vom USB.
Alexander Schäfer schrieb:>> Das Display kann man ausbauen. Das ist aber etwas schwieriger als man> denkt da die Kabel vorher abgemacht werden müssen.
glaube ich nicht ...
Schau mal auf Bild *_55_42.jpg
Es sieht aus, als ob das Display auf der linke Seite ausgeklipst werden
muss.
Dann kannst du es nach oben und rechts "aufklappen"
Hans Ulli Kroll schrieb:> Auf Bild *_40.jpg kann man den Drehencoder sehen, dessen> Verbindungskabel gehen nach links auf die Displayplatine.
Leider nicht.
Das Kabel geht vom Drehendcoder nicht auf die Platine auf dem Display
sondern in ein Kabelstang
Schau mal auf Bild *_55_52.jpg
Ich glaube eher es ist die Steuerplatine für das kapazitive Display.
Alexander Schäfer schrieb:> Hans Ulli Kroll schrieb:>>> Auf Bild *_40.jpg kann man den Drehencoder sehen, dessen>> Verbindungskabel gehen nach links auf die Displayplatine.>> Leider nicht.> Das Kabel geht vom Drehendcoder nicht auf die Platine auf dem Display> sondern in ein Kabelstang>> Schau mal auf Bild *_55_52.jpg>>> Ich glaube eher es ist die Steuerplatine für das kapazitive Display.
Ja, die Platine ist fürs Display und Touchscreen
Der Strang geht nach links weg,.
Ich bin mir gerade paar Videos am reinziehen.
Jede zweite Person nennt sich das was mit Thermo.
Und preist das DING an, wie auf dem Wochenmarkt. Dazu ist denn noch
irgendwo ein Shop versteckt.
Mess mal die Tiefe von dem Schraubenloch auf Bild *_11.jpg
Es sieht danach aus, als ob diese auch gelöst werden muss
Hans Ulli Kroll schrieb:> Mess mal die Tiefe von dem Schraubenloch auf Bild *_11.jpg> Es sieht danach aus, als ob diese auch gelöst werden muss
Sorry dass ich das noch nicht erwähnt habe aber was auf Bild *_11.jpg zu
sehen ist hat mich echt zur Verzweiflung gebracht. Auf Bild *50_40.jpg
sieht man den Drehencoder und links davon eine Art schwarze
Plastikschiene.
Dieser ist relativ lang und geht dann bis zum Boden und ist in dem
kleinem Loch wo mein Finder drauf zeigt eingehackt.
Sobald die Front etwas angehogen wird klippst er aus und lässt sich
nicht mehr in das Loch bewegen. Das hat mich ganze 15 Minuten gekostet
diesen wieder zurück zu drücken. Ich glaube er soll einfach den
Drehencoder stützen.
Die Schraube in dem Schraubenloch das du meinst habe ich da schon
entfernt gehabt.
Ich habe alle Schrauben gelöst und jeden Klipp usw. kontrolliert aber er
häng im oderen Viertel. Keine Ahnung was da noch die beiden Teile
zusammen hällt.
Alexander Schäfer schrieb:> Hans Ulli Kroll schrieb:>> Mess mal die Tiefe von dem Schraubenloch auf Bild *_11.jpg>> Es sieht danach aus, als ob diese auch gelöst werden muss>> Ich habe alle Schrauben gelöst und jeden Klipp usw. kontrolliert aber er> häng im oderen Viertel. Keine Ahnung was da noch die beiden Teile> zusammen hällt.
So jetzt habe ich mal "Die Zukunft des Kochen" angesehen.
Auf der Rückseite ist so eine V-Förmige Platte.
Da hinter können sich noch zwei Schrauben verstecken, sonst würde der
Griff sich immer heben.
Oder die sind von oben, also unter der Verzierung vom Griff.
Wobei ich letzteres vorziehe, wie sollen die es je wieder reparieren
können.
Zum öffnen von Fernbedienungen habe ich z.B. immer solche Minihefter
genommen.
Hinter der V-Abdeckung sind sogar 3 Lange Schrauben versteckt.
Sind die beiden oberen langen Schrauben mal rausgeschraubt lässt sich
der Griff nach oben hin ab ziehen. Danke für deine Hilfe.
Die Idee mit dem Minihefter höre ich zum ersten mal und finde es genial.
Hab gerade ein Video entdeckt und schaue mir gerade alles in Zeitlupe
an.
Ich glaube Vorwerk hat sich damit kein Gefallen getan ;-)
https://www.youtube.com/watch?v=3YmD0ziZ1rs
Ein kurzer Hinweis zu den ASCII-Tabellen, die u.a. Ulli Kroll weiter
oben gefunden wurde :
Ich hatte schonmal mit Silicon Motion Flash Controllern zu tun. Die
ASCII Tabellen entstehen beim Produktionstest des Speichers. Um Zeit zu
sparen Schreibt eine Testsoftware nicht den kompletten Speicher voll
sondern nur alle paar Blöcke eine Tabelle. Somit sind alle Daten. und
Adressleitungen getestet.
Die Tabellen sind also keine Nutzdaten vom Thermomix sondern sagen und
viel mehr, dass der benutzte Bereich kleiner ist.
Karl Ranseier schrieb:> Ein kurzer Hinweis zu den ASCII-Tabellen, die u.a. Ulli Kroll weiter> oben gefunden wurde :> Ich hatte schonmal mit Silicon Motion Flash Controllern zu tun. Die> ASCII Tabellen entstehen beim Produktionstest des Speichers. Um Zeit zu> sparen Schreibt eine Testsoftware nicht den kompletten Speicher voll> sondern nur alle paar Blöcke eine Tabelle. Somit sind alle Daten. und> Adressleitungen getestet.>> Die Tabellen sind also keine Nutzdaten vom Thermomix sondern sagen und> viel mehr, dass der benutzte Bereich kleiner ist.
DANKE
Jetzt weiss ich warum auch nach einer Zeit nur 255 von 256 Möglichkeiten
in dem Block vorkommen.
Um ein eventuelles Mapping zu erkennen.
Ist quasi wie beim MemTest
Aber trotzdem wurder ich mich warum der (benutze) Speicher so groß ist
...
Schön, das es hier wieder weiter geht.
Habe inzwischen diverse 4GB USB Sticks besorgt die annähernd so
aussehen, wie der im Rezept-Chip. Ich möchte versuchen die Chip
Einstellungen zu klonen um zu schauen, woran der Thermomix erkennt, dass
es ein original Chip ist.
Nein! Nicht um die Dinger dann illegalerweise zu verkaufen, sondern um
nicht jedes mal einen neuen Rezeptchip kaufen zu müssen, wenn ich mal
was überschreibe.
Danach geht es an die Daten auf dem Chip!
Ich denke ich habe einen Volltreffer bei der Bucht geladet. Wenn ihr
nach "Kugelschreiber mit USB-Stick 4GB" sucht und angehängtes Bild seht.
Der Chip selber ist etwas länger, hat aber die selben Innereien
(SM3257ENT).
Mit dem SMI Tool v2.5.27 konnte ich bereits die meisten Einstellungen
vom original Chip übertragen.
Mit UFDisk Utilities habe ich aber bisher keinen Erfolg gehabt das Ding
auf CD-ROM- bzw. RAW-Modus zu schalten.
Sobald es klappt, kopiere ich die Daten von meiner "Sicherheitskopie"
drauf und gehe damit an den Thermomix...
Carlos C. schrieb:> Der Chip selber ist etwas länger, hat aber die selben Innereien> (SM3257ENT).
Schau dir mal meine Beiträge an, ich habe auch einen Stick mit dem Chip
und habe das gleiche Probiert. Alle Settings identisch, als CD-LW und
ein Dump vom original drauf - vergeblich...
Hast du mal ins Debugfenster von dem SMI Tool geschaut?
Fabian O. schrieb:> Carlos C. schrieb:>> Der Chip selber ist etwas länger, hat aber die selben Innereien>> (SM3257ENT).>> Schau dir mal meine Beiträge an, ich habe auch einen Stick mit dem Chip> und habe das gleiche Probiert. Alle Settings identisch, als CD-LW und> ein Dump vom original drauf - vergeblich...>> Hast du mal ins Debugfenster von dem SMI Tool geschaut?
Sorry Fabian, habe wohl ein paar Postings von dir übersehen.
Hattest du auch die Magnete dazu in Position gebracht, wie oben
vorgeschlagen wurde? Ist nicht ohne Grund ein Reed Sensor an der Stelle
vorhanden.
Im Debugfenster steht bei mir die Chipbezeichnung mit zugehöriger
Imagedatei und darunter die ISP Version.
Oder meinst du den Debugknopf?! Der fragt bei mir nach nem Passwort und
nimmt alles was ich ihm eingebe ohne Kommentar an...
Carlos C. schrieb:> Im Debugfenster steht bei mir die Chipbezeichnung mit zugehöriger> Imagedatei und darunter die ISP Version.> Oder meinst du den Debugknopf?! Der fragt bei mir nach nem Passwort und> nimmt alles was ich ihm eingebe ohne Kommentar an...
Habe an dem Original Chip ein USB Kabel dran. habe dann die beid USB
Speicher getauscht. Probier mal als Kennwort "320"
Fabian O. schrieb:> Carlos C. schrieb:>> Im Debugfenster steht bei mir die Chipbezeichnung mit zugehöriger>> Imagedatei und darunter die ISP Version.>> Oder meinst du den Debugknopf?! Der fragt bei mir nach nem Passwort und>> nimmt alles was ich ihm eingebe ohne Kommentar an...>> Habe an dem Original Chip ein USB Kabel dran. habe dann die beid USB> Speicher getauscht. Probier mal als Kennwort "320"
Immer noch nix. Auch bei "320" gibt es weder Bestätigung noch Ablehnung.
Carlos C. schrieb:> Ohhh...> Im Settingsmenü kann ich aber jetzt Einstellungen vornehmen!> Danke für das Passwort!
Dann war es "1111" fürs Debug Fenster...
Ich habe mir mal den USB Mitschnitt von knochi angeschaut, eine
Erkenntnis die ich gewinnen konnte war, dass definitiv Daten gesendet
werden die man auch im hexdump vom dd des Chips findet.
Zusätzlich taucht im SCSI Protokoll auch irgendwie der Begriff XOR auf,
wurde weiter oben ja schon mal angesprochen, dass Daten evtl. mit XOR
auf dem Stick liegen!?
Jonas W. schrieb:> Ich habe mir mal den USB Mitschnitt von knochi angeschaut, eine> Erkenntnis die ich gewinnen konnte war, dass definitiv Daten gesendet> werden die man auch im hexdump vom dd des Chips findet.> Zusätzlich taucht im SCSI Protokoll auch irgendwie der Begriff XOR auf,> wurde weiter oben ja schon mal angesprochen, dass Daten evtl. mit XOR> auf dem Stick liegen!?
Hmmm
Was sagt denn T10 dazu
ftp://ftp.t10.org/t10/document.94/94-111r8.pdf
In storage arrays, an array controller organizes a group of storage
devices into a redundancy group. Some areas within the address space of
the storage array are used for check data. The check data is generated
by performing a cumulative exclusive-or (xor) operation with the data
from other areas within the address space of the storage array known as
protected data. This xor operation can be performed by the array
controller or by the storage device.
1)
An XDWRITE(10) command is sent to the protected data device. This
transfers the new write
data to the protected data device. The device reads the current data,
performs an xor operation
on the current data and the new data, retains the xor result in its
buffer, and writes the new data to
the medium.
Wenn ich das richtig verstehe sind dss Befehle für RAID Arrays.
Seltsam
Hallo Männer,
hat einige Zeit gebraucht, bis wir uns hier über den Weg laufen. Erst
einmal HUT AB! für eure Unermüdlichkeit! Ich bin an der Sache auch seit
einiger Zeit dran - allerdings aus einer zwar technischen aber nicht so
tiefen Sichtweise. Ich habe ein paar Informationen die eine Menge Licht
ins dunkel bringen könnten.
Ist ja allgemein Schwierig wenn man nicht weis an welcher Stelle man was
suchen soll. Ich bin mal von einer eher Verfahrenstechnischen Sicht an
die Sache herangegangen und haben das Zugrunde-liegende Patent
aufgestöbert. Und siehe da ... ist wie erhofft eine Art "Bauanleitung"
Zumindest verstehe ich das so.
Ich hoffe das ich einen kleinen Beitrag zu des Rästsels Lösung beitragen
konnte ...
Gruss Jörg
Nachtrag: Hab die Zugrundeliegende Patentschrift EP2249276 (A1) noch
beigefügt
Danke Jörg!
Da steht es also schwarz auf weiß.
Der Usb Stick ist dumm, denn der Thermomix entschlüsselt selbst!
Was dort auch erstaunliches steht ist, dass die Daten auf dem Chip ohne
Kenntniss des Schlüssels menschenlesbar gemacht werden können.
Ergo wer nur den Chip am Rechner lesen will: thumbs up
Wer was auf den Thermomix kriegen will: have fun
Alex
Hallo Forum,
es könnte vielleicht auch helfen einen usb-stick mit einer gültigen
SerNr zu befruchten. Tools zum ändern der SerNr habe ich gefunden
allerdings nur unter Linux...
LG
richi
Richard M. schrieb:> Hallo Forum,>> es könnte vielleicht auch helfen einen usb-stick mit einer gültigen> SerNr zu befruchten. Tools zum ändern der SerNr habe ich gefunden> allerdings nur unter Linux...>> LG>> richi
Ich denke auch das könnte zumindest schon einmal ein Teilansatz sein.
Da, zumindest nach meinem Kenntnissstand, die Rezeptchips mit gleichem
Inhalt auch gleiche Seriennummern aufweisen.
Früher oder später wird ziemlich sicher von Vorwerk ein Chip kommen den
man selbst beschreiben kann. Wie man ja auch aus dem Patent rauslesen
kann ist die Möglichkeit dafür zumindest gegeben.
Richard M. schrieb:> es könnte vielleicht auch helfen einen usb-stick mit einer gültigen> SerNr zu befruchten. Tools zum ändern der SerNr habe ich gefunden> allerdings nur unter Linux...
Nicht wirklich. Im Patent steht ja drin, das...
"[0003] Nachteilig bei einem derartigen Speichersy-
stem ist, dass eine unberechtigte Vervielfaltigung der
Speichermedien nicht ausreichend verhindert ist, da die
Kennung des Speichermediums als Schliissel zum Aus-
Iesen derverschliisselten Daten des Dateisystems dient."
..auslesen und "kopieren" möglich ist, aber durch die Verschlüsselung
mit Privat/Puplic Key das erzeugen eines eigenen Chips nicht ohne
weiteres möglich ist. Mir geht es auch nicht darum Chips zu kopieren
oder billiger zu kaufen, sondern ich möchte eigene Rezepte auf den Chip
bekommen.
PS: Danke Joerg! Hätte ich nicht von Vorwerk gedachte, aber eigl. ich es
ganz logisch das die Chips geschützt sind, ansonsten hätte man sich ja
sein Aftermarket Geschäft versaut. Aber das die so gut sind, Respekt.
Kann es vielleicht sein das auf dem Thermomix TrueCrypt läuft?
Ist nur so eine Idee....
So mehr ich mich über TrueCrypt informierte desto mehr sieht es danach
aus. Es gibt auch ein paar nette Beiträge und Videos wie man das Problem
bei Verlust des Schlüssels löst.
So bald ich zu Hause bin schaue ich mir das noch mal genauer an.
Alexander Schäfer schrieb:> Kann es vielleicht sein das auf dem Thermomix TrueCrypt läuft?> Ist nur so eine Idee....> So mehr ich mich über TrueCrypt informierte desto mehr sieht es danach> aus. Es gibt auch ein paar nette Beiträge und Videos wie man das Problem> bei Verlust des Schlüssels löst.> So bald ich zu Hause bin schaue ich mir das noch mal genauer an.
Ich denke da eher an SQL Extension Encrytion oder SQLChypher ... ?!
Naja,
sobald es an das umgehen eines Kopierschutzes geht wird es rechtlich
hakelig.
(wenn nicht sogar der Thread gelöscht wird)
Ich möchte dazu aber noch auf das Patent von Vorwerk zurückgreifen
> Die Erfindung betrifft zunächst ein Verfahren zum Hinterlegen einer aus> digitalen Daten > bestehenden Information (4, 5) auf einem Datenträger> (1) und Auslesen der Information von dem Datenträger (1), wobei der> Datenträger (1) eine individuelle digitale Kennung (2) aufweist, wobei> eine Signatur (10) gebildet wird, wobei die Information Informations-> bestandteile (4) besitzt, die nur dann von einer ersten elektronischen> Datenverarbeitungseinrichtung (11) verarbeitet werden können, wenn> die Kennung (2) und die Signatur (10) in einer vorbestimmten Relation> zueinander stehen. Um ein elektromotorisches Haushaltsgerät mit> Prozesssteuerdaten zu versorgen, wobei gleichzeitig sichergestellt werden> soll, dass nur Originaldaten zur Anwendung kommen, wird vorgeschlagen,> dass die Informationsbestandteile (4) von einer zweiten elektronischen> Datenverarbeitungseinrichtung (12) _auch dann verarbeitet werden> können, wenn die Signatur (10) und die Kennung (2) nicht in der> vorbestimmten Relation zueinander stehen. Die Erfindung> betrifft darüber hinaus ein elektromotorisch betreibbares Haushaltsgerät,> insbesondere Küchenmaschine, die eine elektronische Datenverarbeitungs-> einrichtung aufweist, ein System und eine integrierte Halbleiterschaltung,> verwirklichend auch die Merkmale zum Hinterlegen einer aus digitalen Daten> bestehenden Information.
Da steht drin, das der Weg von der Verschlüsselung ungegangen werden
kann.
Ich gehe mal davon aus, das Vorwerk geplant hat, das jeder eigene
Rezeptchips
bauen kann.
Die eigenen Chip können ggf. auch ein Updates der Firmware haben !
Die Chips haben doch alle die gleiche Seriennummer ?
Wie sieht es denn aus, wenn diese NUll ist.
OK, wie jetzt die Daten auf dem Stick liegen, kann ich jetzt nicht
sagen.
Es geht nicht um einen Kopierschutz - eher um das CLONEN einer
Authentifizierung (PKI). Die Daten auf dem Chip müssen nicht einmal
besonders geschützt sein, Vorwerk will nur verhindern, das Chips
angedockt werden, die nicht von Ihnen sind ...
Joerg W. schrieb:> Es geht nicht um einen Kopierschutz - eher um das CLONEN einer> Authentifizierung (PKI). Die Daten auf dem Chip müssen nicht einmal> besonders geschützt sein, Vorwerk will nur verhindern, das Chips> angedockt werden, die nicht von Ihnen sind ...
So lese ich es auch. Falls es also nur um den Chip geht sollte es also
eventuell möglich sein auf dem Chip von Vorwerk eigene Rezepte hinzu zu
fügen!? Weil der Chip wäre ja von Vorwerk. Solange die Annahme des Chips
nicht vom Inhalt abhängt, also der Teil mit dem sich der Chip
authentifiziert nicht mit dem Inhalt ändert.
Wäre eventuell erst einmal ein Ansatz die Rezeptdaten auf den Chips
sichtbar zu machen.
Wobei wir ja genau hierbei gerade noch nicht weiter gekommen sind.
Hans Ulli Kroll schrieb:> Die Chips haben doch alle die gleiche Seriennummer ?
Ich habe hier drei unterschiedliche Kochchips liegen und alle drei haben
unterschiedliche Seriennummern.
Ja das mit den Seriennummern ist doch ganz normal... und auch nicht von
Bedeutung ... zumindest nicht von elementarer.
Entscheidend ist der Fingerprint/Hash des Chips. Bedeutet die
Seriennummern haben eine "LOGIC" damit Sie über einen Fingerprint
idendifiziert werden können. Der Hash wird wohl beim Flashen in einem
"ungeschützten" oder zumindet un-chiffrierten Teil (meist Tabelle) auf
dem Chip abgelegt .. (Chip=USB Device)
1. Chip identifizieren - Autorisieren (PKI) wahrscheinlich mit einem
Teilschlüssel .. Hash auf dem Chip - Key auf dem TM ...
2. Wenn der Chip als "friendly" identifiziert wird, kommt Phase 2 .. PKI
- Private Key sucht "Public Key" in einem nicht verschlüsselten Teil des
Chips (eig. Partition??) .. wenn die passen wird die "versteckte"
Partition entschlüsselt und die Daten werden eingelesen.
In meinen Augen besteht die größte Schwierigkeit darin, einen Chip
bereitzustellen, der vom TM akzeptiert wird. Also ich hab keinen Chip
aber vielleicht versucht ihr mal einen "forensischen Clone" von einem
vorhandenen Vorwerk Chip zu machen ... hiermit zB:
http://www.osforensics.com/downloads/osfclone.zip
Ich denke man sollte zuerst die Seriennummer auf dem Zielmedium faken...
und dann clonen. Wenn das klappt, was ich mit kaum vorstellen kann
sollte ein wesentlicher Teil geschafft sein ... sofern ich das richtig
sehe??
GOOD LUCK! Wenns klappt geb ich einen aus! versprochen!
Ich glaube nicht, das Vorwerk Chips verkaufen wird, auf die man eigene
Rezepte spielen kann.
Mit der "zweiten elektronischen Dateneinrichtung" ist ja ein PC des
Benutzers gemeint. Ich denke, dass hier der Plan ist dass der Benutzer
sich über einen Onlineshop von Vorwerk gegen Geld zertifizierte Rezepte
(alias Images des Sticks) kaufen und runterladen kann. Der Benutzer hat
dann nur einen USB-Adapter um den Stick über eine Vorwerk-Software zu
laden. Vorwerk will damit wie die Handyhersteller nicht nur am Verkauf
der Geräte sondern auch noch an "Apps" verdienen.
Ohne den Key im TM (der ja bei allen TM5 gleich sein muss) wird
wahrscheinlich schwierig. Die gute Nachricht ist, dass der Key ja
irgendwo da drin ist.
Karl Ranseier schrieb:> Ich glaube nicht, das Vorwerk Chips verkaufen wird, auf die man eigene> Rezepte spielen kann.> Mit der "zweiten elektronischen Dateneinrichtung" ist ja ein PC des> Benutzers gemeint. Ich denke, dass hier der Plan ist dass der Benutzer> sich über einen Onlineshop von Vorwerk gegen Geld zertifizierte Rezepte> (alias Images des Sticks) kaufen und runterladen kann. Der Benutzer hat> dann nur einen USB-Adapter um den Stick über eine Vorwerk-Software zu> laden. Vorwerk will damit wie die Handyhersteller nicht nur am Verkauf> der Geräte sondern auch noch an "Apps" verdienen.>> Ohne den Key im TM (der ja bei allen TM5 gleich sein muss) wird> wahrscheinlich schwierig. Die gute Nachricht ist, dass der Key ja> irgendwo da drin ist.
Karl - genau so sehe ich das auch!
Wieso versucht den niemand einfach ein eigenes Linux auf das gerät zu
Nudeln, das würde doch viel mehr Möglichkeiten eröffnen?
Oder erst einmal das Flasch im gerät Dumpen oder ist das Flash im SoC
Package mit dabei?
wobei im bild Foto 09.01.15 13 50 32.jpg sieht es mir so aus als wen
IC203 ein flash chip sein könnte, weiter unten dan noch ein SoC und ein
separater RAM chip.
der flash chip ist zudem kein BGA oder silcher rotz sondern so einer den
man mir einer wo man im verlötetem zustand immer nochalle leads
erreichen kan.
das zu dummen sollte doch ein klax sein.
Morgen zusammen,
schon gesehen? Wir sind auf Golem.de !
http://www.golem.de/news/thermomix-tm5-die-koenige-der-mixer-wollen-rezept-chips-modden-1501-111683.html
Vielleicht lockt das ja den ein oder anderen fähigen Mitstreiter an. Ich
habe auch schon überlegt, ob man einen Artikel auf hackaday.com
veröffentlicht. Je mehr Leute sich damit beschäftigen, desto eher haben
wir unseren custom chip.
Irgendwer muss ja dann auch noch Software schreiben, der klassische
Thermomix-Kunde tippt ja eher keine xml Dateien.
Bis denne
David
Das mit der Software lässt sich ja einfach über ein GitHub-Projekt
lösen... ich hab schon ein paar Vorüberlegungen gemacht, letztendlich
hängts aber tatsächlich vom Chip-/Datenformat ab, wie genau man so ne
Anwendung am Besten umsetzt... nur sollte in dem Namen der Software
nichts auf Vorwerk oder den Thermomix hindeuten ;)
Wenn das gewünscht ist, kann ich ja mal ne erste GUI online stellen.
Dominik S. schrieb:> Oder Post von der Vorwerk-Rechtsabteilung *scnr*
Wieso gehts hier ständig um legal oder nicht legal? Kopieren (und ggf.
auch verkaufen) ist für mich illegal, aber dem TM5 eigene Rezepte auf
den "Bildschirm" zu bringen kann doch nicht verboten sein.
Robert L. schrieb:>> Kopieren (und ggf. auch verkaufen) ist für mich illegal..>> und wurden hier schon Inhalte vom USB-Stick "Kopiert"?
Nicht kopiert, nur analysiert ;)
Und hochgeladen hat sie auch keiner
Matthias Lohr schrieb:> Das mit der Software lässt sich ja einfach über ein GitHub-Projekt> lösen... ich hab schon ein paar Vorüberlegungen gemacht, letztendlich> hängts aber tatsächlich vom Chip-/Datenformat ab, wie genau man so ne> Anwendung am Besten umsetzt... nur sollte in dem Namen der Software> nichts auf Vorwerk oder den Thermomix hindeuten ;)>> Wenn das gewünscht ist, kann ich ja mal ne erste GUI online stellen.
also versteht mich nicht falsch: aber von einer benötigten software um
einen eigenen chip zu bespielen sind wir mMn noch sehr weit entfernt.
Github projekt dann später klar gern. aber solange wir noch nichtmal die
eigenheiten des original-chips geschweige denn einen möglichen geheimen
AES schlüssel (auch wenn [soweit ich das gelesen habe] mehrere dinge
gegen verschlüsselung sprechen) haben, brauchen wir uns um die software
weniger gedanken machen fürchte ich ;-)
ansonsten sind danach sicher einige fähige programmierer bereit sich ner
umsetzung anzunehmen :) github ahoi
Nach der Lektüre der Patente denke ich, dass das System zur Verhinderung
von nicht authorisierten Kopien Mist ist. Es basiert auf der Annahme,
dass die Seriennummer eines USB Sticks einzigartig und unveränderbar
ist. Beide Annahmen sind meiner Meinung nach falsch. Mit Hilfe von
BadUSB[1][2], sollte es möglich sein, einen Stick zu kreieren, welcher
sich als CD-Rom ausgibt und welcher eine Seriennummer eines gültigen
Rezeptchips besitzt. Ersteres ist vielleicht garnicht nötig, da im
Patent nur steht, das geprüft wird, ob die auf dem Stick hinterlegte
Signatur zu der Seriennummer des Sticks passt. Hat man so einen Stick,
kann man die Daten eines originalen Rezeptsticks darauf kopieren, was
dann auch akzeptiert werden sollte.
Ansonsten sieht die Vorgehensweise, sofern vernünftig angewendet,
ziemlich sicher aus und es dürfte ohne größren Aufwand nicht möglich
sein dem ThermoMix veränderte Rezeptdaten unterzujubeln. Zwei weitere
Vorgehensweisen fallen mir ein:
1. Weiter die Daten auf den Rezeptsticks analysieren, vielleicht hat man
Glück.
2. Versuchen Zugriff auf das Linux im TM zu bekommen um eigene Schlüssel
zu hinterlegen oder die Überprüfung komplett zu deaktivieren. Ich denke
aber, dass es ohne radikalen Eingriff in den TM nicht weitergeht.
Noch ein paar Gedanken zu 1:
EP2801928A1 beschreibt einen Ansatz, bei dem es ausreicht nur die
Seriennummer des USB Sticks mit einer Signatur zu schützen, nicht aber
die eigtl. Rezeptdaten. Letztere kann man schützen, ist aber nicht
gefordert. Existiert auch nur ein Rezeptstick, bei dem nur die
Seriennummer geschützt ist, wäre das der Jackpot und es sollte möglich
sein die Rezeptdaten nach belieben zu verändern. Sind die Rezeptdaten
auch durch eine Signatur geschützt wäre es ein totes Ende (Sofern nicht
völlig veraltete Verfahren verwendet werden wie das im Patent erwähnte
MD5). Leider setzt dieser Weg aber die Entschlüsselung des Rezeptsticks
vorraus, was sich als schwierig erweisen könnte. Evtl. kann man den RAM
auf der Platine identifizieren und irgendwie anzapfen?
[1] https://srlabs.de/badusb/
[2] https://github.com/adamcaudill/Psychson
Trax Xavier schrieb:> Wieso versucht den niemand einfach ein eigenes Linux auf das gerät zu> Nudeln, das würde doch viel mehr Möglichkeiten eröffnen?> Oder erst einmal das Flasch im gerät Dumpen oder ist das Flash im SoC> Package mit dabei?>> wobei im bild Foto 09.01.15 13 50 32.jpg sieht es mir so aus als wen> IC203 ein flash chip sein könnte, weiter unten dan noch ein SoC und ein> separater RAM chip.>> der flash chip ist zudem kein BGA oder silcher rotz sondern so einer den> man mir einer wo man im verlötetem zustand immer nochalle leads> erreichen kan.> das zu dummen sollte doch ein klax sein.
Auf dem Bild ist meiner Meinung nach nicht die Hauptplatine zu sehen
sondern nur die Streuplatine fürs Display.
Die Hauptplatine sitzt etwas tiefer im Gerät verbaut.
Die hier veröffentlichen Patente beschreiben nur das der tm5 den Chip
akzeptieren soll wenn der Chip richtig verifiziert wird. Um das
Zertifikat lesen zu können muss er den Chip erst lesbar machen. Für den
ganzen Prozess braucht er keine 5 Sekunden. Jetzt stellt sich mir die
Frage was er macht um ihn zu lesen und wie kann ich es am Rechner
machen. Um die Daten am PC anzeigen zu lassen ist der Schlüssel meiner
Meinung nach aber nicht notwendig.
Danke Beezle ... so schauts aus!!
Mal weiter nach vorne gedacht :-)
Eine RADIKALE Lösung wäre (immer unter der Voraussetzung das der TM
fremde Chips akzeptiert) einen "ROOTCHIP" anzudocken um Linux zu Rooten,
dann Patch drauf und die "Autority" auf Durchzug setzen ... theoretisch
könnte man dann am Chipdock sogar einen Wlan oder BT Dongle etablieren
:-)
Also vielleicht sollte man sich zunächst wirklich auf die Autorisierung
des Chips konzentrieren und dann weitersehen ..
Wir werden wohl nicht drum-herum-kommen, einen TM forensisch zu zerlegen
:-)
Wer traut sich zu ein Rootkit zu bauen?
Und falls die uns hier den Feed einäschern ... ich hab die
http://tm5chip.com registriert und werde dort bis zum WE einen
Blog/Forum aufsetzen ..
Was denkt Ihr? Wie sollen wir hier weiter verfahren?
Alexander Schäfer schrieb:> Trax Xavier schrieb:>> Wieso versucht den niemand einfach ein eigenes Linux auf das gerät zu>> Nudeln, das würde doch viel mehr Möglichkeiten eröffnen?>> Oder erst einmal das Flasch im gerät Dumpen oder ist das Flash im SoC>> Package mit dabei?>>>> wobei im bild Foto 09.01.15 13 50 32.jpg sieht es mir so aus als wen>> IC203 ein flash chip sein könnte, weiter unten dan noch ein SoC und ein>> separater RAM chip.>>>> der flash chip ist zudem kein BGA oder silcher rotz sondern so einer den>> man mir einer wo man im verlötetem zustand immer nochalle leads>> erreichen kan.>> das zu dummen sollte doch ein klax sein.>>> Auf dem Bild ist meiner Meinung nach nicht die Hauptplatine zu sehen> sondern nur die Streuplatine fürs Display.> Die Hauptplatine sitzt etwas tiefer im Gerät verbaut.>
Meiner Meinung nach nicht, wozu sollte eine Display Platine heutzutage 2
GBA Chips + noch ein brauchen?!
Zudem gehen in die Platine recht viele eher dicke Drähte rein also auch
nichts was auf ein Display schließen lassen würde
Das muss also das mobo sein.
der user weiter oben :
www.mikrocontroller.net/topic/thermomix-rezeptchips?reply_to=3967834#396
3432
meint auch das die platine das mobo ist.
also ran an das gute teil und Flash Dumpen bitte?
Ach ja und bevor Sprüchen kommen wie machst doch selber ;)
ich habe so ein teil nicht, würde mir auch nie eins kaufen
mein Interesse an dem teil ist rein prinzipieller Natur a.k.a. Fuck DRM
anywhere and everywhere ;)
Ob es wirklich das Mainboard ist kann man nicht sagen.
Es wäre möglich.
Der vorder Chip ist dann der Flash, hinten rechts SoC und hinten links
RAM.
Nur für meinen Geschmak sind da etwas zu wenig Kleinkram auf dem Board.
Auch ist zu bemerken der Kabelbaum vom Board und von Drehencoder gehen
zuammen in einem Bund nach links (Bild *55_40.jpg)
Thema Bad USB und Co.
Das Problem mit Bad USB ist länger bekannt, sucht mal nach USB Rubber
Ducky
Außerdem mat jedes UMTS Modem auch so eine Geschichte. MIt dem Tool
usb-modeswitch wird die CD-ROM /dev/sr0 Partition gegen den Modemports
getauscht /dev/ttyUSB[0-1]
Ein Angriffvektor ist dort aber nur gegeben, wenn da ein Treiber läuft !
Unter Windows kann z.B. auf dem Stick ein HID Interface werden. Oder es
werden wie auch bei dem SD-Karten einfach Blöcke getauscht.
Die andere Möglichkeit wäre, vom einem USB-Stick zu booten. Das läuft
dann aber über u-boot.
Wenn das läuft, wären aber die Vorwerk Entwickler selten d*mlich.
Thema Crypto
Ich habe mir mal ein Image mit 4G Nullen erzeugt und es mit cryptosetup
in den Device-Mapper gebunden. Leider konnte ich da z.Zt. keine
Partition einbinden. also habe einfach auf den 4GB ein FAT32 FS erzeugt.
Und dann kommt raus wenn man vom Anfang einen Hexdump macht.
Ich werde heute mal das Display ausbauen dann wissen wir mehr.
Leider bekomme ich momentan die blöden Griffe oben nicht ab um das Gerät
komplett zu zerlegen. Hab gestern die Zeichnungen der Griffe in den
Patenten gefunden und muss sie jetzt genauer anschauen um raus zu finden
wie ich die ab mache.
Mode M. schrieb:> Ist das alles legal?>> Youtube-Video "Thermomix TM5 hacken - legal? | Rechtsanwalt Christian> Solmecke">> PS: Wir sind hier ein Hackerforum ;-)
Mode - so schauts wohl aus .. habe unter
http://tm5chip.com
ein Forum aufgesetzt da ich davon ausgehe das die uns hier den Hahn
abdrehen ...
Würde also die Beteiligten gerne dorthin moven ... lets go - lets hack
the castle
Mode M. schrieb:> @ Jörg> Hast du mal mit Andreas darüber gesprochen? Falls nein fände ich das> Schade... (milde ausgedrückt ;-) )
ja hab ihn kontaktiert
Sehr schön!
Bedienteil ist also über die 8 adrige Leitung mit dem Mainboard
verbunden. USB und der Reedkontakt geht direkt auf das Bedienteil. Ist
das Bedienteil sonst noch mit etwas verbunden? Sieht sehr vergossen
aus...
Ja es ist mit der hinten liegenden Platine verbunden.
Die Leitungen sind am gekennzeichneten BT Anschluss angeschlossen.
Reedkontakt habe ich aber nicht gefunden.
Es sind nur die 4 Adern für den Chip zu sehen.
Die hintere Platine habe ich jetzt mal ein Mainboard bezeichnet.
Sind in der geschrimten Leitung zum USB Port wirklich nur vier Adern?
Was machen die beiden rot/grüneren dickeren Adern?
Ich habe noch ein Patent gefunden was uns vieleicht helfen kann.
Ich persönlich glaube ja immer noch das der Chip mit Truecrypt
verschlüsselt wurde. Die Patente stammen aus der Zeit wo Truecrypt eines
der beliebtesten Verschlüsselungs-Software war. Zudem läuft Truecrypt
auch auf Linux.
Leider habe ich keine Grafikkarte die Cuda unterstützt um ein Angriff
mit Truecrack darauf laufen zu lassen.
Mode M. schrieb:> Die hintere Platine habe ich jetzt mal ein Mainboard bezeichnet.> Sind in der geschrimten Leitung zum USB Port wirklich nur vier Adern?> Was machen die beiden rot/grüneren dickeren Adern?
Die gehen zu diesen "Ambient" Leds, die je nach Temperatur des Kochtops
rot oder grün auf und abdimmen.
Versteh mich nicht falsch, aber das dort TrueCrypt zum Einsatz kam liegt
bei mir unterhalb von 1%.
TrueCrypt auf einem EmbeddedSystem habe ich noch nie erlebt oder
gesehen. Es ist viel wahrscheinlicher das andere Tools die sich länger
bewährt haben, oder eben bei Linux von Haus aus dabei sind, genutzt
wurden.
Denke da an LUKS oder PGP. Aber TrueCrypt? o.O denke fast nicht.
Die beiden rot/grüneren dickeren Adern laufen nach vorne an zwei so eine
art Seulen und sind für die Beleuchtung neben dem Display zuständig.
Damit wird visuell als Lichterspiel die Temeratur dargestellt.
Ambi=Ambilight (würde ich jetzt behaupten)
Und ja es sind nur vier Adern.
@ alle
Ich habe mal ein paar Fragen:
- Was macht dieses Gerät so besonders? (ganz kurze Erklärung)
- Welche Aktoren und Sensoren steuert die Hauptplatine alles an?
Meine Idee dazu:
Das Gerät ist doch eigentlich nicht kompliziert aufgebaut, man könnte
doch die Heizung, das Rühr-/Zerkleinerungswerk und vielleicht sogar das
Display mit einem eigenen Controllerboard ansteuern.
Vielleicht könnte man ein Upgrade-Set erstellen mit dem man die aktuelle
Hauptplatine einfach ersetzen kann.
Sobald man da etwas modifiziert verliert man eh die Garantie und alle
Ansprüche gegenüber dem Hersteller.
Besonderheiten? Naja, schau dir doch mal die Produktbeschreibung an?!
Halt 12 versch Funktionen bla. mit waage drin, kann heizen und kühlen,
mixen, hacken, halt alles was in der küche so notwendig ist. ++ eben die
fähigkeit rezepte einzuspielen ( mit besagtem chip) welche das gerät
ausführt und nur erinnert wann was einzuführen ist.
sensoren und platine : keine ahnung.
Wichtig war nur: Es war und ist sicherlich im Interesse der meisten
Leute hier, wenn die Garantie unberührt bleibt. Deswegen auch das
Reverse-Engeneering hier, damit man eigene Chips erstellen kann auf USB
Basis, die nicht vom originalen Chip zu unterscheiden sind.
Dabei sollen auch keine Rechte Dritter oÄ verletzt werden.
Kühlen kann er nicht ;-)
Der Reedkontakt schaltet wahrscheinlich einfach eine der vier USB
Leitungen zum Bedienteil. Ggfs ist dieser Mechanismus auch in dem USB
Konnektor verbaut, so dass er von außen nicht sichtbar ist.
Mode M. schrieb:> Kühlen kann er nicht ;-)
Mein Fehler, es rezitieren immer so viele Lobeshymnen auf Eis aus dem
Thermomix... da kam ich auf den Trichter dass er das könne. ;-)
Hans Georgi schrieb:> Versteh mich nicht falsch, aber das dort TrueCrypt zum Einsatz kam liegt> bei mir unterhalb von 1%.>> TrueCrypt auf einem EmbeddedSystem habe ich noch nie erlebt oder> gesehen. Es ist viel wahrscheinlicher das andere Tools die sich länger> bewährt haben, oder eben bei Linux von Haus aus dabei sind, genutzt> wurden.>> Denke da an LUKS oder PGP. Aber TrueCrypt? o.O denke fast nicht.
Hatte ich auch schon, meine Basis ist aber dm_crypt oder cryptosetup.
Vorteil von letzteren der "Angreifer" kann nicht erkennen, ob das
Verschlüsselt worden ist oder nictht. Der "Container" fehlt.
Es gab mal einen Windows Treiber, der das gleiche wie dm_crypt auf Linux
gemacht hat. Nur leider sind die Downloads verschwunden
http://www.heise.de/security/news/foren/S-Windows-Fork-kompatibel-zu-dm-crypt-LUKS-heisst-bzw-hiess-FreeOTFE/forum-280667/msg-25310158/read/
So zu dem Bedienteil, es ist das Mainboard
Die große Platine ist die Leistungsplatine bzw. für die
Meßwertaufbereitung zuständig.
Linke Seite :
Motorsteuerung Leistungsteil, schwarze Adern für die Wicklungen, bei den
blauen Aderen tippe ich auf einen Hallsensor als Rückführgeber.
Der linke vordere Stecker ist für die Arme.
Rechts vorne, ist die Anbindung zum Bedienteil inkl. Meßwertaufbereitung
und Steuerung für die Leistung.
Zu dem Reed Kontakt. Schon mal darüber nachgedacht das er nur die
Spannung vom USB Port abschaltet ? Den Rest kann ich per Software
machen.
Bei der Anbindung vom Bedienteil zum Mainboard würde ich auf USB1
tippen. Da gibt es glaube ich genug fertige ICs für die gesuchte
Anwendung
"Herr Maier, Sie waren jetzt drei Jahre und sechs Monate in einem
Kühschrank eingesperrt. Die Frage, die wir uns alle stellen: Geht beim
Schließen der Tür das Licht aus"
...Spaß bei Seite, jetzt wo das Ding auf ist, interessiert mich am aller
meisten ob irgendwas zu erkennen ist was nach drahtloser Kommunikation
aussieht, sprich WLAN oder Bluetooth!?
Ich kann mir immer noch vorstellen das man irgendwann Rezepte mit einer
App kaufen können wird. Alles andere wäre so 18. Jahrhundert...
Fabian O. schrieb:> "Herr Maier, Sie waren jetzt drei Jahre und sechs Monate in einem> Kühschrank eingesperrt. Die Frage, die wir uns alle stellen: Geht beim> Schließen der Tür das Licht aus">> ...Spaß bei Seite, jetzt wo das Ding auf ist, interessiert mich am aller> meisten ob irgendwas zu erkennen ist was nach drahtloser Kommunikation> aussieht, sprich WLAN oder Bluetooth!?>> Ich kann mir immer noch vorstellen das man irgendwann Rezepte mit einer> App kaufen können wird. Alles andere wäre so 18. Jahrhundert...
Hier wird ganz sicher ein WLAN oder BT Modul kommen!
Atmega8 Atmega8 schrieb:> Hans Ulli Kroll schrieb:>> Es gab mal einen Windows Treiber, der das gleiche wie dm_crypt auf Linux>> gemacht hat. Nur leider sind die Downloads verschwunden>> http://www.heise.de/security/news/foren/S-Windows-...>> http://sourceforge.net/projects/freeotfe.mirror/>> oder besser:> https://github.com/t-d-k/doxbox
Dann passt das ja mit meiner Annahme mit dm_crypt auf FAT32.
Zum Mainboard:
Der USB2 Anschluß für den Chip sieht man bei der Stiftleiste unten.
Ein 6 poliger USB ESD Chip. Spule und zwei Kondensatoren.
Wenn ich die Leiterbahnen vergleiche sehe ich noch einen zweiten USB2
Port, aber ohne ESD
Der Debugport (Serial) ist CN601. Sieht aber für meinen Geschmak nicht
nach seriell aus, weil das etwas zuviel "Lötstellen" sind. War da mal
ein Stecker geplant ???
UND ich kann einen 24MHz Quartzbaustein sehen, rechts neben dem SoC
Kann es sein das der Kerl auf dem Video (0:48 Minute) den Debugport
benuzt (siehe seine linke Hand)?
https://www.youtube.com/watch?v=3YmD0ziZ1rs
Oben Rechts hängt ein Bild was er zu machen hat und das zweite Bild von
oben sieht nach einem "Stecker" aus welchen er an den TM5 anschließen
soll.
Alexander Schäfer schrieb:> Kann es sein das der Kerl auf dem Video (0:48 Minute) den Debugport> benuzt (siehe seine linke Hand)?>> https://www.youtube.com/watch?v=3YmD0ziZ1rs>> Oben Rechts hängt ein Bild was er zu machen hat und das zweite Bild von> oben sieht nach einem "Stecker" aus welchen er an den TM5 anschließen> soll.
Meinst du das Bild wo er mit der rechten Hand zwischen den Griffen ist,
und mit der linken Hand ins "Förderband" greifen will ??
Das sieht für mich eher nach einem zu großen Rezeptchip nach dem der
greift.
Das was man hier sieht ist nur die Produktion für die ähem Grobmotoriker
...
Wenn ich mir das Video ansehe, wollen die wohl die Welt damit erobern
...
Auf dem Bild kann man auch noch "Sonniere" erkennen -> Klingelton ??
Ich habe so lange auf den Hintergrund geschaut dass ich nicht mal
gemerkt habe dass es eine Frau sein könnte. :-)
Hans Ulli Kroll schrieb:> Das sieht für mich eher nach einem zu großen Rezeptchip nach dem der> greift.
Mit so einem großen Rezeptchip könnte der Thermomix den Menschen
ersetzen.
Damit kann er nicht nur kochen sondern auch einkaufen und für dich zur
Arbeit fahren und Geld verdienen :-)
Ich hoffe nicht...
Er könnte mich relativ gut ersetzen :-(
Sieht so aus als wäre es ein Chip mit externem Testsystem ist von dem
gestartet wird sobald sie den Topf einsetzt.
Dann ist das Test-Menü sichtbar mit dem "SONNERIE" und rotem
"NOK"-Button.
Hm könnte natürlich auch ein "integritätstest" sein .. sieht wohl so aus
oder?
Ist mal jemand auf die Idee gekommen, a´la Laustärke down & Power beim
Starten des Thermomix einen/mehrere Knöpfe zu drücken?
Um mal bei der Verschlüsselung und der Seriennummer zu bleiben: Könnt
ihr bitte mal eure Seriennummern vom Chip und den Namen vom Kochbuch
hier posten?
Die SN von den Kochbüchern scheint nicht unique, sondern immer gleich zu
sein - zumindesten haben Alex und ich beiden die SN 1004000540010005
beim Gundkochbuch "Das Kochbuch".
Seriennummer als Schlüssel ??
http://linuxwiki.de/cryptsetup
Hier mal mein verwendetes Cryptosetup
Die LUKS Erweiterung geht ja nicht wegen den Metadaten, die da irgendwo
herumliegen sollen.
cryptsetup --cipher aes --key-file $KEYFILE create $NAME $BLOCKDEVICE
Damit erzeuge ich ein Cryptodevice, können die jetzt die Daten jetzt mit
"open" geöffnet werden ??
Hans Ulli Kroll schrieb:> Seriennummer als Schlüssel ??
Im Patent steht doch, das diese verwendet wird für einen Teilschlüssel
zu bilden blabla....
@Alex: Wie heißen den die Kochbücher? Ist doch kein Zufall das wir
beiden einen Chip mit gleicher SN haben. Ich gehe mal davon aus das alle
Kochbuchreihen die gleiche SN haben.
Danke für die hochauflösenden Bilder !
Die Leistungsplatine braucht uns wohl nicht weiter interessieren, das
spannende passiert mit Sicherheit auf der CPU-Platine (DSC00327-2).
Der linke der 3 Chips ist das Flash, der quadratische in der Mitte die
CPU und unten drunter das RAM.
Wahrscheinlich ein ARM, ohne diese Vergussmasse abzukratzen wird man
nicht rausfinden, von welchem Hersteller. Das Gehäuse ist ein BGA mit
ca. 250 Balls,kann also alles mögliche sein. Wie die Leiterbahnen auf
der Unterseite aussehen wirde ich auf DDR2-RAM tippen und 24Bit-TTL
Grafikschnittstelle zum Display tippen.
Vom Prozessor nach oben geht eine Leitungspaar (USB) zu einem nicht
bestückten Micro-USB (CN601). Wahrscheinlich hat die CPU 2 USB, der
unbestückte ist der zweite Port der bei der Entwicklung verwendet wurde,
weil man gleichzeitig über die andere USB-Schnittstelle das
Rezept-Auslesen entwickelt hat.
Der ganze Rest rechts ist Spannungsversorgung für die CPU und RAM.
Ich frage mich, ob die beiden USB-Ports sich aus Linux-Sicht überhaupt
unterscheiden. Hat jemand schonmal versucht an den Rezept-USB-Port eine
Tastatur anzuschließen ? Wird die initialisiert ?
Joerg W. schrieb:> Mode M. schrieb:>> Ist das alles legal?>>>> Youtube-Video "Thermomix TM5 hacken - legal? | Rechtsanwalt Christian>> Solmecke">>>> PS: Wir sind hier ein Hackerforum ;-)>> Mode - so schauts wohl aus .. habe unter>> http://tm5chip.com>> ein Forum aufgesetzt da ich davon ausgehe das die uns hier den Hahn> abdrehen ...>> Würde also die Beteiligten gerne dorthin moven ... lets go - lets hack> the castle
Was ich hier noch loswerden möchte:
Die Domain und ein Wordpress sind ja eine schöne Idee. Gleichzeitig hast
du damit aber der ganzen Aktion sehr viel Wind genommen.
Lass mich kurz begründen warum:
-Du hast das Wordpress selbst lesend nur für registrierte Nutzer
sichtbar gemacht -> Nicht gut. Wer sich erstmal nur über den
Kentniss-Stand informieren will geht direkt wieder, da er keine Infos
findet - es sei denn nur hier
- du erlaubst somit auch keine anonymen Postings --> Stell dir vor ich
bin ein Krypto-Experte, ich lese den Artikel auf golem.de, ich schau mal
hier rein , ich sehe sofort das das kein .... XYZ Algorithmus sein kann,
interessiere mich aber weder für Thermomix noch fir das gelingen der
Aktion
Vllt würde ich nen schnellen Posting da lassen, aber mich dafür
registrieren und dann ... "ach ne komm lass. habe auch eig genug zu tun"
.
außerdem will nicht jeder immer überall seinen nick-namen oÄ
preisgeben...
u know?
Ich empfehle dir den thread-ersteller und / oder einen moderator zu
bitten den thread nach einem letzten verweis auf t5mchip.com zu
schließen. dann öffne bitte deine webseite lesend, und teilweise
anonymen schreib-zugriff (captcha usw kann ja gern)
[(habe es selbst obwohl interssiert nicht geschafft / nicht gewollt mich
nochmal noch irgendwo zu registrieren) keine ahnung was auf deiner seite
steht ]
lg
Anhand der Posting zahlen würde ich nicht sagen, dass dort der Bär
steppt. Und die entsprechenden Pakete könnte man genauso gut auch über
github oder p2p verteilen.
Es ist auch unerheblich: wenn Vorwerk einen Verstoß anzeigen würde, so
würde sie die .com Domain nicht davon abhalten.
Hans Georgi schrieb:> Joerg W. schrieb:> Was ich hier noch loswerden möchte:>> Die Domain und ein Wordpress sind ja eine schöne Idee. Gleichzeitig hast> du damit aber der ganzen Aktion sehr viel Wind genommen.>> Lass mich kurz begründen warum:>> -Du hast das Wordpress selbst lesend nur für registrierte Nutzer> sichtbar gemacht -> Nicht gut. Wer sich erstmal nur über den> Kentniss-Stand informieren will geht direkt wieder, da er keine Infos> findet - es sei denn nur hier>> - du erlaubst somit auch keine anonymen Postings --> Stell dir vor ich> bin ein Krypto-Experte, ich lese den Artikel auf golem.de, ich schau mal> hier rein , ich sehe sofort das das kein .... XYZ Algorithmus sein kann,> interessiere mich aber weder für Thermomix noch fir das gelingen der> Aktion> Vllt würde ich nen schnellen Posting da lassen, aber mich dafür> registrieren und dann ... "ach ne komm lass. habe auch eig genug zu tun"> .>> außerdem will nicht jeder immer überall seinen nick-namen oÄ> preisgeben...>> u know?>> Ich empfehle dir den thread-ersteller und / oder einen moderator zu> bitten den thread nach einem letzten verweis auf t5mchip.com zu> schließen. dann öffne bitte deine webseite lesend, und teilweise> anonymen schreib-zugriff (captcha usw kann ja gern)>> [(habe es selbst obwohl interssiert nicht geschafft / nicht gewollt mich> nochmal noch irgendwo zu registrieren) keine ahnung was auf deiner seite> steht ]>> lg
Hans, danke für deine Kritik! Hab das ganze auf die schnelle gemacht und
musste Freitag abbrechen .. komme gerade nach einer Reise wieder ins
Büro. Ich werde mir das bis morgen vornehmen und Deine Wünsche gerne
Berücksichtigen ..!
Das mit der Registrierungspflicht kann man auch durchaus anders sehen.
Einen Nicknamen kann doch jeder frei wählen.
Mich würde interessieren wie die anderen das hier sehen ..
Wenn noch weitere Wünsche bestehen einfach hier abkippen ...
Joerg W. schrieb:> Mich würde interessieren wie die anderen das hier sehen ..
Solange der Thread hier nicht geschlossen wird, wovon ich auch nicht
ausgehe, bleib ich hier...
Vom Gefühl her, gehen fast alle "Forenprojekte", die auf einer anderen
Seite ausgelagert werden, den Bach runter, nicht nur in dem Forum
sondern auch auf der neuen Seite.
Joerg W. schrieb:> Mich würde interessieren wie die anderen das hier sehen ..
Dieses Forum hier existiert seit über 14 Jahren und in dieser Zeit
wurden schon einige andere Foren erstellt und wieder gelöscht.
Somit schließe ich mich meinen beiden Vorpostern Stefan und Fabian an.
Die Diskussion würde ohne Not in zwei Teile gerissen, das finde ich
nicht gut. Daher werde ich und wohl fast alle anderen hier bleiben.
Joerg W. schrieb:> Mode M. schrieb:>> @ Jörg>> Hast du mal mit Andreas darüber gesprochen? Falls nein fände ich das>> Schade... (milde ausgedrückt ;-) )>> ja hab ihn kontaktiert
Und, schon eine Antwort bekommen?
Mode M. schrieb:> Joerg W. schrieb:>> Mode M. schrieb:>>> @ Jörg>>> Hast du mal mit Andreas darüber gesprochen? Falls nein fände ich das>>> Schade... (milde ausgedrückt ;-) )>>>> ja hab ihn kontaktiert>> Und, schon eine Antwort bekommen?
Nein leider nein. Hab ich aber auch nicht erwartet wenn man den
technischen Zustand des Forums hier sieht gehe ich davon aus das es
nicht gemonitort und erst recht nicht gepflegt wird ergo ist das hier
auf dem Smartphone nicht nutzbar ... :-(
Joerg W. schrieb:> Mode M. schrieb:>> Joerg W. schrieb:>>> Mode M. schrieb:>>>> @ Jörg>>>> Hast du mal mit Andreas darüber gesprochen? Falls nein fände ich das>>>> Schade... (milde ausgedrückt ;-) )>>>>>> ja hab ihn kontaktiert>>>> Und, schon eine Antwort bekommen?>> Nein leider nein. Hab ich aber auch nicht erwartet wenn man den> technischen Zustand des Forums hier sieht gehe ich davon aus das es> nicht gemonitort und erst recht nicht gepflegt wird ergo ist das hier> auf dem Smartphone nicht nutzbar ... :-(
Nicht gemonitort, wirklich ???
Martin Schwaikert schrieb:> Apropos: nach dem Artikel auf golem weiß Vorwerk ohnehin schon von dem> Vorhaben hier ;-)
Und die müssen manchmal das Popcorn nachladen ...
SCNR
So jetzt zurück zum Thema :
Wisst ihr wie schwierig cypto ist ??
Macht mal eine Einstellung an eueren Browser, das er nur er (relativ)
starke crypto akzeptiert.
Und dann geht mal auf eure favorisierte Banking/Shop oder was auch immer
Seite. Dann werdet ihr staunen, das diese nach der Post Snowden Ära
nicht mehr funktioniert.
Ich habe es mal vor eins/zwei Jahren hemacht.
Wenn Vorwerk das sauber designt hat, das ist der Second Stage Bootloader
(der in dem Flash) schon verschlüsset. Der erset Bootloader im SoC ist
nicht verschlüsselt.
Sucht mal nach den Videos zu dem Sony Playstation, Microsoft XBox und
andere Hacks, da wird sowas erklärt.
Wenn ihr Glück habt, wird auf der seriellen Schnittstelle (soweit eine
vorhanden) was angezeigt.
Ich habe mal nur aus Spass und weil ich mal cryptetup
ausprobieren/verstehen wollte, mal die Seriennummern als Passphrase für
den Plain-Mode benutzt
z.B.
echo "6590000495530000" | cryptsetup open --type plain --cipher aes
THERMO.IMG plain
Das Mappt mit ein Devide in /dev/mapper/plain
Logischerweise hatte ich Müll als Inhalt.
Ich mach erstmal mit meinem WLAN Treiber weiter ...
Hans Ulli Kroll schrieb:> Wenn Vorwerk das sauber designt hat, das ist der Second Stage Bootloader> (der in dem Flash) schon verschlüsset. Der erset Bootloader im SoC ist> nicht verschlüsselt.
Wenn man mal wüsste, welcher Controller genau unter der Vergussmasse
steckt könnte man schonmal kucken, ob der überhaupt ein internes Flash
für einen Bootloader hat.
Ich glaube aber nicht, dass Vorwerk hier so viel Aufwand gemacht hat wie
Sony bei der Playstation, drum vermute ich, dass alles im externen Flash
steckt und der Controller nichts integriert hat. Ansonsten müsste Flash
und SoC vor der Bestückungs programmiert werden (ich sehe zumindest
keine ISP-Pads), das wäre zusätzlicher Aufwand, den man bestimmt sparen
wollte.
Karl Ranseier schrieb:> SoC vor der Bestückungs programmiert werden (ich sehe zumindest> keine ISP-Pads), das wäre zusätzlicher Aufwand
Wenn man nicht gerade nur eine Handvoll kauft bekommt man das SoC u.U.
auch schon vorprogrammiert vom Hersteller.
Dominik S. schrieb:> Karl Ranseier schrieb:>> SoC vor der Bestückungs programmiert werden (ich sehe zumindest>> keine ISP-Pads), das wäre zusätzlicher Aufwand>> Wenn man nicht gerade nur eine Handvoll kauft bekommt man das SoC u.U.> auch schon vorprogrammiert vom Hersteller.
In der Industriellen Fertigung ist das kein Problem den eMMC direkt an
der Linie vorm Bestücken zu flashen. Dafür gibt es ein Gerät welches
immer direkt mehrere Chips (auch BGA) kontaktiert, flasht und prüft. Die
Dinger stecken meist direkt im Bestückungautomaten.
Der Prozessor wird wahrscheinlich von Freescale kommen, zumindest steht
was von Freescale SDK im TM.
Fabian O. schrieb:> Vorwerk hat sich bei mir gemeldet und möchte mir die Sourcen schicken...
Wirst du sie dann irgendwo zur Verfügung stellen oder sollte besser
jeder selbst anfragen? ;)
Tobias C. schrieb:> Fabian O. schrieb:>> Vorwerk hat sich bei mir gemeldet und möchte mir die Sourcen schicken...>> Wirst du sie dann irgendwo zur Verfügung stellen oder sollte besser> jeder selbst anfragen? ;)
Also ich stehe dem etwas kritisch gegenüber.
Es kann sein dass es sich für die Firma Vorwerk lohnen würde wenn das
Interesse somit gesteigert wird und der Absatz der Geräte somit steigt.
Diese teuren Rezeptchips sind meiner Ansicht nach eh etwas unpassend da
das Gerät selbst schon recht teuer ist und diese zusätzlichen
Informationen WIE die Maschine etwas macht auch gleich in der Maschine
gespeichert sein könnte.
Diese Rezepte hätte man auch einfach aus dem Internet von der Webseite
oder von Fans runterladbar machen können, so dass viele Rezepte und
Arbeitsschritte gesammelt werden können und der Nutzer dann aus einem
breiten Reservoir schöpfen kann.
... aber so ist das meiner Ansicht nach kein so attraktives Angebot auf
welches ich mich stürzen würde.
Atmega8 Atmega8 schrieb:> ... aber so ist das meiner Ansicht nach kein so attraktives Angebot auf> welches ich mich stürzen würde.
Laut Youtube, macht es aber unglaublich guten Milchreis. Keinerlei
Vergleich mit dem aus einem schnoeden Topf. Das muss einem doch die 30.-
wert sein, oder etwa nicht ?
Aber ich sehe das auch so. Wenn Vorwerk die Rezepte "frei" verteilen
wuerde, meinetwegen auf deren Homepage, so dass man eigenes hinzufuegen
koennte, waere das Geraet an sich sicher deutlich attraktiver.
Allerdings verspreche ich mir von solch einem Ruehraparat nicht
sonderlich viel, so das da bei vielleicht 100 "Ruehrapplikationen" Ende
sein duerfte. Das ist doch wirklich nur was fuer Leute die nicht wissen
wie rum man den Pott auf die Platte stellen muss. Iss ja nichts
schlimmes, es gibt eben Menschen denen sogar die Nudeln anbrennen. Also
nicht so eng sehen.
Wenn ich Milchreis oder Grieß mache, dann muss ich immer mit dem
Holzlöffel über den Boden streichen damit sich dort nichts ansetzt und
dann anbrennt.
Ich hatte mir schon überlegt so einen Topf mit doppelter Wand und Wasser
dazwischen zu nutzen, aber das einfüllen des Wassers ist da immer so
doof gewesen, das Wasser ist recht schnell verdampft und so richtig
schön war es nicht.
Jetzt gab es noch die Möglichkeit ein elektrisches Rührwerk zu nehmen
und dort einen Holz-Schaber ran zu machen der den Boden abfährt, so dass
nichts anbrennt.
1000 Euro für einen Milchreiskocher ist etwas heftig für mich.
Vieleicht ein Linux Usb-Stick Virus
der alle Dateien auf den stick überträgt,
virtueller Linux pc
oder zwischen der Karte einen Logic analyser klemmen.
ich denke, mann kann dan den Start Code auslesen
Eine gefühlte Flasche Leiterplattenreiniger kombiniert mit
Etikettenentferner hat mir folgendes verraten:
IC100 ist ein MCIMX283DVM4B (Freescale i.MX283)
IC201 ist ein NT5TU64M16HG-AC (Nanya 64Mb*16 800Mbps)
IC302 ist ein MX30LF1G08AA-TI (Macronix 1Gb SLC)
Datenblätter verteilt Google ;)
Der Controller hat 2 USB Ports mit PHY. CN601 kann also sehr gut ein
zweiter USB Anschluss sein. Man sollte aber beachten, dass laut
Datenblatt einmal USB Host und einmal USB OTG zur Verfügung steht. Falls
der OTG Port auf CN601 liegt, könnte es auch sein, dass dieser Port als
Device eingerichtet ist. Außerdem kann es sich dabei auch genauso gut um
eine serielle Schnittstelle handeln. Grade bei Linux-Geräten ist das zum
Debuggen nützlicher als ein USB Port. Andererseits könnte ein USB Port
natürlich auch als CDC-Device eingerichtet sein.
Übrigens lässt sich der TM5 anscheinend im Transport-Modus am
leichtesten öffnen. Sobald die Klappe hinten entfernt ist, müssen die
silbernen Schrauben entfernt werden. Dann den Griff nach oben raus
ziehen. Die beiden Haltearme lassen sich etwas drehen und dann mit
leichten Drehbewegungen nach vorne aus der Befestigung ziehen. Als
nächstes muss der Knopf vom Encoder abgezogen werden (kann man
eigentlich auch machen wenn die Schrauben noch drin sind). Der kleine
Ring unter dem Knopf hat zwei kleine Rastnasen, die mit kleinen
Schraubendrehern oder Fingernägeln auseinandergedrückt werden müssen,
während man den Ring dreht. Nun lässt sich die Front lösen. Sie wird
dann nur noch von dem Stecker am Steuerboard gehalten, der leicht
entfernbar ist.
Ich hoffe, das hilft weiter.
Hallo Fellix H.
Klasse Arbeit von dir.
Ich hatte Bedenken den Lack zu entfernen da das Vorwerk bei einer
Reperatur sehen wird.
Zu deiner Anleitung der Demontage muss ich aber noch was sagen.
Die Haltearme lassen sich leichter und sicherer entfernen in dem man die
hintere Klappe entfernet, links und rechts die kleinen Schrauben am
Antrieb entfernt. Jetzt den Topf ohne Deckel in den TM5 setzen und ihn
an machen.
Sobald er an ist, die Mixstuffe auf 0,5 stellen und die Haltearme leicht
zu sich ziehen (Kraft ist hier absolut nicht notwendig). Wenn die
Haltearme anfangen sich zu bewegen springen die in einer ganz bestimmten
Posetion einfach um ca. 5mm raus (jetzt aufhören zu ziehen!). Der TM5
merk das kein Dekel drauf ist, stellt die Haltearme wieder in den
Urzustand und schmeißt eine Fehlermeldung (ich glaube so was wie: Bitte
Deckel auf den Topf setzen) aus. Jetzt kann man die Haltearme ohne große
Kraft raus ziehen.
Der Einbau der Haltearme erfolgt ganz genau so wie der Ausbau.
Haltearme wieder einsetzen bis auf die letzten 5mm, auf Stuffe 0,5
stellen und dabei leicht drücken. Ist die richtige Posetion erreicht
springen die wieder in den Antrieb.
erst einmal finde ich es klasse das ihr das teil benutzerfreundlich
machen wollt. ich könnte eine gui beisteuern welche
plattfprmübergreifend ist und natürlich open source. wäre nicht mein
erstes mysql/fltk/c++ projekt.
die diskussionen über sinn und unsinn von dem teil finde ich unnötig.
ist das gleiche bei allen geldintensiven hobbies wie tuning (egal ob pc,
auto, ...) urlaubsreisen etc.
milchreis macht man natürlich mit nem dampfgarer vom discounter für 29
€. michlreis und vanille-sojamilch rein, einschalten und vergessen.
für mich als aufgeklärten autoimmun patient wäre das teil mehr als ein
hobby. ich muss (wie jeder ai patient) alle tierischen bestandteile
meiden vor allem milchprodukte - weshalb es mich zensiert das ich da
nicht meine eigenen rezepte eintragen darf. es würde mir einiges an zeit
sparen bei meinen täglichen zubereitungen und ich würde zähneknirschend
den preis hinnehmen - aber nicht wenn das teil ein auf iphone macht: ich
kaufe es aber andere bestimmen was ich damit machen darf...
Andreas J. schrieb:> weshalb es mich zensiert das ich da nicht meine eigenen rezepte> eintragen darf.
Was ist denn das fuer ein Bloedsinn ? Wer zwingt Dich denn das Geraet
bzw. die Rezepte zu nutzen ? Einer der keine Moehren mag ist hier nun
zensiert oder wie ?
Weil Du eine Krankheit hast, machst Du nun Vorwerk dafuer verantwortlich
? Was ist mit Farbblinden ? Muss das Display nun geaendert werden, weil
sie sonst benachteiligt sind ? ZENSUR !
Was ist mit Grobmotorikern. Tasten viel zu klein, Vorwerk, aendert das
bitte. ZENSUR !
Kinder unter 6 Jahren haben an dem Geraet nichts verloren. ZENSUR !
Ich bin ein Fleisch*fresser* aber das Geraet macht keine Steaks ! Das
muss ein Verstoss von Vorwerk sein !
Andreas J. schrieb:> aber nicht wenn das teil ein auf iphone macht: ich> kaufe es aber andere bestimmen was ich damit machen darf...
Es gibt genuegend die mit einem EiFone zufrieden sind und garnichts
anderes wollen, sonst wuerden sich nicht so viele davon verkaufen.
Und wieso bestimmen andere was Du damit machen darfst ? Wenn das Geret
das nicht kann, kann es das eben nicht. Wenn Vorwerk das so will,
bitteschoen, dann ist das so.
Du kannst Dir das Geraet ja kaufen und umbauen, Windows 8 drauf bauen
und Deine eigenen Rezepte schreiben. Da kann Dich keiner dran hindern.
Es schreibt Dir also niemand was vor.
Sry, aber solch einen Schwachfug habe ich noch nie gehoert !
Barney Geroellheimer schrieb:> Was ist mit Farbblinden ? Muss das Display nun geaendert werden, weil> sie sonst benachteiligt sind ?
Darüber sollte man mal nachdenken. Sehbehinderte konnten vorher die
Bedienelemente und deren Einstellung ertasten. Das geht beim Touchscreen
nicht mehr. Wenn man eine Sprachausgabe hätte, dann könnten
Sehbehinderte das Gerät wieder nutzen denke ich. Evtl. ginge das sogar
mit den Rezepten auf einem Chip.
Genau, Sprachausbgabe ! Mit mindestens 20 Stimmen, fuer Lesben, Schwule,
Hetro - Herrn und Damen. Sprache natuerlich nicht zu vergessen.
Behinderte Auslaender wollen das Geraet sicher auch nutzen. Und fuer
Rollstuhlfahrer das Geraet flacher und Bodentauglich machen, weil sie
sonst nicht rein gucken koennen. Fuer Kinder werden die Messer stumpf
geschliffen, da viel zu gefaehrlich und ueberhaupt 230V an einem
Kuechengeraet !
Die Sticks muessen natuerlich ohne PC zu programmieren sein, denn nicht
jeder hat einen PC und kann diesen dann auch noch bedienen. Also muss
natuerlich auch eine Sprach*ein*gabe her. ZENSUR !!
Eigentlich sollte man das Ding komplett verbieten ! Pfui Vorwerk !!
Sacha Vorbeck schrieb:> Darüber sollte man mal nachdenken.
Sehbehinderte (BL) in NRW bekommen ueber 600.- jeden Monat an
Blindengeld. Was denkst Du wofuer das da ist ?
Die Welt ist nun mal nicht Behindertengerecht und man kann auch nicht an
alles denken, weil es garnicht machbar waere.
hm, das "*zensiert*" ist ne angewohnheit von einem anderen forum wo die
moderatoren heftig auf wörter reagieren die sie als unfein betrachten.
ich hätte wohl den vorschau button nutzen sollen... mal sehen was
passiert wenn ich "angepisst" schreibe, was da eigentlich hin sollte.
zu der firma mit dem apfel sag ich jetzt nicht mehr - will hier keinen
flame-krieg starten.
>Weil Du eine Krankheit hast, machst Du nun Vorwerk dafuer verantwortlich
ich mache auch vorwerk nicht für meine krankheit verantwortlich sondern
mich stört es wenn ich etwas für teuer geld kaufe was ich nicht wirklich
besitze. das ist für mich als ob ich beim autoradio die senderfrequenzen
einzeln zukaufen müsste.
ich dachte es geht hier um den hack und ich wollte meine hilfe anbieten.
das angebot steht - meine meinung auch.
Andreas J. schrieb:> mal sehen was passiert wenn ich "angepisst" schreibe
Nix, was soll da passieren ? Die Moderatoren hier sind sehr moderat,
kommt halt darauf an wie man das "angepisst" denn meint. Wenn man
niemanden angreift, ist das meist okay. Redefreiheit und so..
Einen Unterschied sehe ich aber trotzdem nicht wirklich, denn..
Andreas J. schrieb:> ich mache auch vorwerk nicht für meine krankheit verantwortlich
Das war so von mir nicht gemeint. Vorwerk kann aber nichts dafuer das Du
irgendeine Krankheit von x-Millionen hast. Die koennen nun mal nicht
alles beruecksichtigen. Die Rezeptchips sind nun mal nur so kaeuflich,
so hat sich Vorwerk entschieden und das finde ich voelleig okay so. Das
ist deren Ding und wer es nicht will oder nicht nutzen kann, wie z.B.
ein Sehbehinderter oder eben Du, hat Pech gehabt. Klingt hart, aber so
ist es nun mal.
Andreas J. schrieb:> sondern> mich stört es wenn ich etwas für teuer geld kaufe was ich nicht wirklich> besitze. das ist für mich als ob ich beim autoradio die senderfrequenzen> einzeln zukaufen müsste.
Aber sicher, es ist doch komplett Deins, damit kannst Du machen was Du
willst. Wie geschrieben, baue Dein eigenes Linux drauf, schreibe Deine
eigenen Sticks voll, kann Dich niemand dran hindern und ist nicht
verboten.
Dein Radio ist ein prima Beispiel. Das Radio kann nix dafuer das Du kein
Jazz magst. Das liegt aber doch nicht am Radio ! Die Musik gehoert Dir
deswegen ja auch nicht. Passt Dir das nicht, musst Du eben das Radio
gegen einen CD-Player tauschen und nur das hoeren was DU magst.
Mit Sicherheit gibt es auch ein paar Rezepte von Vorwerk, die auch Du
verwenden kannst. Es mag ja auch nicht jeder Milchreis.
So koennte ich jetzt hingehen und sagen, ich fuehle mich "angepisst",
weil auf meinem Stick 28 Rezepte sind die ich nicht mag und nur 3 die
einfach genial sind. Aber so ist das nun mal. Im Radio laeuft ja auch
nicht staendig das was ich hoeren will. Dann muss man es halt aus
machen.
Das Vorwerk das so macht finde ich auch nicht sooo dolle, das haette man
schoener loesen koennen. Allein schon um den Muell von den Chips zu
loeschen, den man eh nie ruehren will und um Rezepte zu "taushen".
Deswegen bin ich aber lange nicht "angepisst". Ich brauche sowas nicht
und gut. Gaebe es die Rezepte frei, wuerde ich evtl. anders denken. Denn
wenn man mal Milchreis gemacht hat, weiss man das es nicht so einfach
ist wie man denkt. Und wenn die Maschine das wirklich so gut macht wie
im Video, dann lohnt solch ein Ruehraparat auch. Auch wenn der Preis
unverschaemt ist.
hm, letzter versuch. dann lassen wir unser meinungen so stehen, ok?
meine kochbücher und meine fachliteratur ist voll mit persönlichen
vermerken. wenn ich nun das rezeptbuch für das teil kaufe will ich für
mich wichtige dinge ändern. stell dir vor du bist nussallergiker und
willst einfach wallnussöl gegen sesamöl im kochbuch ändern. wenn du
einen nussalergikern (nicht unverträglichkeit!) kennst wirst du
verstehen warum ihm das wichtig ist.
übrigens hast du ins schwarze getroffen. ich mag keinen jazz, aber ich
kann mein radio so einstellen das da etwas läufz was mir gefällt.
wenn ich mir den tm5 kaufe dann wegen der neuen funtion mit dem
interaktiven kochbuch. doch das kann ich nicht so einstellen wie es mir
gefällt - damit wird es UNBRAUCHBAR für mich.
ich hoffe es ist jetzt klarer geworden was mein problem mit dem teil
ist...
Andreas J. schrieb:> ich hoffe es ist jetzt klarer geworden was mein problem mit dem teil> ist...
Mir ist schon klar was Du meinst, aber wo liegt Dein Problem ? Tausche
halt Nuss- gegen Sesamoel, das hat doch mit den integrierten Rezepten
nichts zu tun.
Du schreibst ja auch nicht Deine Kochbuecher neu, sondern schreibst eine
Randbemerkung hin, weil da "zufaellig" ein Rand ist. Versuche das mal
bei einem Hoerbuch oder einem Rezept auf dem Monitor. Da mussst Du auch
umschreiben / kopieren. Kann ja Vorwerk nix fuer.
Wie gesagt, ich sehe da kein Problem drin. Vorwerk will das so, also ist
das so. Wem das nicht gefaellt der kauft es halt nicht, ODER er baut
seine eigenen Rezepte auf die Chips, was hier ja genau aus dem Grund
versucht wird, naja, wurde, ist ja ziemlich tot hier.
Ist ja alles nicht wirklich verboten, so lange sich keiner dran
bereichert. Also baue das Geraet um, so wie Du es moechtest und alles
ist gut.
Vorwerk wird hier ja mitlesen. Evtl. kommt da ja irgendwann wirklich so
eine Version mit Internetanbindung. Wuerde mich nicht wundern.
Andreas J. schrieb:> aber ich> kann mein radio so einstellen das da etwas läufz was mir gefällt.
Siehst Du und bei den Chips von Vorwerk sind ganz sicher auch 2-3
rezepte bei, die auch was fuer Dich sind. Den Rest musst Du halt
"ueberspringen", wie beim Radio.
Alexander Schäfer schrieb:> Ich hatte Bedenken den Lack zu entfernen da das Vorwerk bei einer> Reperatur sehen wird.
Ich finde sowas nicht okay.
Ihr seid mit dem Geraet nicht zufrieden, was die Chips betrifft, wollt
es deswegen "hacken" wenn man es so nennen kann, erhebt aber
gleichzeitig Anspruch auf Gewaehrleistung.
Di naechsten Generationen von Vorwerk sollte man also komplett
versiegeln, innen und aussen und da drueber nochmal ein Siegel.
Sowas ist unverschaemt !
Sorry Jungs aber das was hier ihr schreibt ist total am Thema vorbei.
Solange ihr nichts beitragen könnt würde ich euch bitten diese
Kommunikation wo anders zu führen.
Alexander Schäfer schrieb:> Sorry Jungs aber das was hier ihr schreibt ist total am Thema vorbei.> Solange ihr nichts beitragen könnt würde ich euch bitten diese> Kommunikation wo anders zu führen.
Danke! Seit tagen kommt hier nur noch Offtopic Bullshit. Wenn ihr über
den Sinn und Unsinn von dem Gerät diskutieren wollt dann nur zu, aber
bitte nicht hier.
PS: Oben ist ben Link zu Golen, da sind gleichgesinnte die alle was
gegen den TM haben und andere die ihn verteitigen. Einfach mal da rum
flamen und trollen…
@Fabian O.: Hast du Mittlerweile schon was neues von Vorwerk gehört?
Wenn sie dir die Source schicken, wirst du sie bei Github o.Ä. hochladen
oder sollte lieber jeder selbst bei Vorwerk anfragen?
Genau endlich mal wieder zurück zum Thema :
der i.MX28 hat ein one-time-programmable on-chip ROM mit "unique-ID,
customer-programmable cryptography key, and storage of various ROM
configuration bits".
Der Chip ist genau dafür gemacht, sowas sicher hinzubekommen. In diesem
ROM Bereich liegt vermutliche ein Bootloader inklusive AES-Dekoder und
geheimen Passwort, der alle weiteren Daten im externen Flash
entschlüsselt und dann läd. Diesen ROM-Bereich kann man auch per
Fuse-Bit vor auslesen schützen. Da erst das Betriebssystem die USB-Daten
dekodiert kann man höchsten hoffen, dass man dort irgendwie eingreifen
kann.
Also wenn da keine groben Fehler gemacht wurde ist es ziemlich sicher.
Ich glaube nicht, dass Vorwerk da viel selbst machen musste, bestimmt
gibt es schon fertige und getestete Referenz-Implementierungen von
Freescale.
Kann vielleicht jemand mit nem Oszilloskop an CN601 nachmessen, was da
jetzt für ein Signal anliegt? Dann wissen wir hoffentlich, ob da USB
oder UART drauf liegt. Falls es UART ist, könnte man eventuell so in das
Linux kommen. Dann wäre der Bootloader erstmal egal.
Ich habe mein Oszilloskop leider grade nicht hier und kann es frühestens
in einer Woche in die Nähe des TM5 bringen. Und ich will da ungern etwas
anschließen bevor ich weiß, was da auf den Pins für Spannungen anliegen.
> Ich fände es super, wenn du dich mit deinen kompletten OT Beiträgen hier> im Thread zurückhalten würdest. Vielen Dank!
Das geht zum Beispiel hier:
https://www.facebook.com/groups/thermomixhoelle/
Moin liebe Gemeinde,
vorweg: ich habe leider noch keinen TM, habe ihn meiner Frau aber zu
Weihnachten geschenkt. Wir waren in einer Vorführung in einem Vorwerker
Laden. Dort hatte die Dame irgendwas von 'Netz für später geplant'
gemurmult als wir danach fragten. Musste - als alter Linux Admin -
natürlich gleich im Laden schon unter ,Menü' mal nach System/Update etc.
schauen - und hatte über die hinterlegten GPL Hinweise geschmunzelt.
Dort war mir auch schon der DHCPd aufgefallen. Auf dem Heimweg grübelte
ich über die Kiste - Netzwerk, Rezeptchips, usw. Die Anschlussmulde
hatte ich gesehen, und mir gedacht 'Die haben da bestimmt propr. USB
drinn'. Dann stiess ich auf diesen Thread - und siehe da: es ist
nichtmal propr. :D
Der Anlass vorab mal ein bischen rumzupuhlen, war eigentlich die Aussage
meiner Schwester: "Bloed das man nicht eigene Rezepte/Änderungen
speichern kann".
Nun es ist wohl noch nicht soweit (wie ich gehofft hatte) :(
Aber mithelfen das zu ändern würde ich gerne ;)
Erstmal dickes Lob an euren Eifer und wie weit ihr schon seid!
Ein paar Dinge waren mir aufgefallen, die vlcht wieder
aufgegriffen/kombiniert werden können.
Zunächst eine kleine Warnung, da das ja bald aktuell sein könnte - wenn
ich mich recht entsinne war in den GPL Lizenshinweisen auch 'logrotate'
nebst einer Kompressions-Bib erwähnt. Das könnte bedeuten das sehr lange
die Versuche am Debug Port o.ä. nachvollziehbar bleiben...
Die Patent Anträge - obwohl ich sie nicht komplett durchgekaut habe -
sind doch aufschlussreich. Leider aber auch 'nur' eine Beschreibung von
Ideen wie es sein könnte - nicht wie es tatsächlich ist.
Was aber auffällt, ist das die zu speichernden Daten aus mind. 2 Teilen
bestehen (könn(t)en). Eine Idee welche Vorwerk hatte, war das nakte
Rezept (also 300g Mehl, TL Salz,... verrühren, 3h kochen,...) klar
lesbar zu speichern, und die Anweisungen (an den Mikrocontroller -
Rührwerk 2s an) geschützt abzulegen. Mindestens so geschützt, das TM die
Anweisungen nur befolgt, wenn nicht kopiert & manipuliert. Das
'Klar-Rezept' ist oft als (4) ref., während die Anweisungen als (5)
bezeichnet werden. Dies scheint sinnvoll - man stelle sich vor, 'wilde'
Chips fahren die Maschine ausserhalb der Betriebsparameter... Evtl.
wollten sie die Steuerbefehle dann auch noch nicht nur auth. lassen,
sondern auch noch verschlüsseln - um uns o. d. Konkurenz - nicht zu viel
zu verraten. Wie gesagt, es sind Ideen welche sie hatten, aber nicht
'wir haben in den TM Variante 2 verbaut'... Aber was ich hier gelesen
habe, legt den Verdacht von versteckten Daten nahe - immerhin hat der
4GB ,Stick' dann doch nur 2,xGB als CDFS. Sollte wirklich der Stick
Daten verstecken, so ist ein 'dd if=...' leider
unvollständig/unbrauchbar.
Ich habe leider kein Windows, um den Log der Kommunikation zw. Chip<->TM
unter die Lupe zu nehmen, aber man sollte vielleicht - nach lesen des in
der Mitte irgendwo geposteten 'Exploid' (danke übrigens - sehr
lesenswert!) - mal schauen ob die in der Abhandlung erwähnten Befehle
auftauchen - denn wenn wir eigene Rezepte/Änderungen wollen, brauchen
wir auch diesen Teil der Infos. Die Daten könnten dann leider immernoch
verschlüsselt sein, aber im Moment macht es evtl. erstmal wenig Sinn den
ganzen 4GB Dump kryptologisch zu untersuchen.
Auch das bisherige Scheitern am Klonen - trotz der vielen guten Ideen
die bisher hier probiert wurden - könnte ein weiterer Hinweis auf durch
den ,Stick' versteckte Daten sein - oder noch fehlende Teile der
Signatur - UUID der Partion/des Sticks nach klonen identisch?
Nach dem Patent könnte das 2,xGB grosse CDFS Image Klartext oder auch
verschlüsselt sein - das Patent gibt hier aber mögliche Hinweise wie das
Ding aufgebaut sein könnte - es soll da eine Signatur von Dateien drin
sein (am Ende? Gesamt/pro Datei?), (evtl.) der klartext Teil einer
Datei/Rezept (was nicht heisst das man den Text dort gleich lesen können
muss - eine kompr. SQLight-DB würde wohl kaum das Wort 'Milch' einfach
so rumfliegen haben - auch PDFs können Schrift 'malen' statt in ASCII
schreiben).
Jetzt weis ich allerdings wieso man für ein 7MB grosses Rezeptbuch 4GB
Sticks benutzt - in dem Heuhaufen eine kleine Signatur zu finden ist
echt stressig - wenigstens haben sie Leerbereiche nicht mit /dev/random
betankt...
Jedenfalls kann ich es kaum erwarten den eigenen Chip bald in den Händen
zu halten ;) - bis dahin kann ich leider nur ein paar Ideen/Anregungun
in die Welt setzen - vielleicht helfen sie ja...
VlG,
K.
Ein kurzer Nachtrag noch zu Ideen und so...
Weiter oben hatte jemand mal Bad-USB und Duck-Key erwähnt. Ich glaube
das ist ein MC der am USB hängt und da viel Schweinkram anrichten kann.
Evtl kann man diese Idee nutzen um mit TM o. dem Chip zu reden und
dumpen was die da so jeweils von sich geben, und entsprechend darauf
reagieren. Sprich den MC am TM stöpseln und so tun als ob man ein
SMI53XX ist, und die Anfragen speichern. Dann nachschauen, und sich eine
Antwort überlegen. Dann den Chip am MC anschliessen, die gleiche Anfrage
des TMs senden, usw...
Und hoffentlich hat hier keiner sich einen Bad-USB eingefangen, der
würde den Chip dann wohl für den TM unbrauchbar machen (als leeren Chip
erscheinen lassen, obwohl man nur gelesen hat?).
VlG,
K.
P.S.: die Idee eine Tastatur an die Chip-Mulde zu stecken ist auch cool
- könnte ebenfalls ein DuckKey(-Clone) machen...
@Kevin: RA Solmecke hat es schon klar gesagt: das umgehen der
Verschlüsselung stellt in Deutschland - Dank unserer unpolitiker - eine
Straftat dar. Hier ist es so gut wie tot.
@Kevin K
Der Trick von BadUSB und Co ist recht einfach:
Man nehme eine USB Speicherstick und programmiere den Mikrocontroller
dort so um, dass er den Stick als USB HID Gerät ausgibt.
Diesen steckst du jetzt an deinem PC, weil im Betriebssystem (fast) alle
Treiber installiert sind, wird dieser auch als Tastatur/Maus erkannt
(obwohl es ein Speicherstick ist). Danach wird dann halt der Schadcode
geladen/ausgeführt.
Wenn aber im embedded System der HID Treiber nicht drin ist, passiert
gar nichts
HID -> Human Interface Device, Tastatur/Maus o.a.
Martin Schwaikert schrieb:> @Kevin: RA Solmecke hat es schon klar gesagt: das umgehen der> Verschlüsselung stellt in Deutschland - Dank unserer unpolitiker - eine> Straftat dar.
Naja, da bin ich mir nicht so sicher - mMn war es bisher immer eher in
der Richtung '...wer zum Vervielfaeltigen geschuetzter Werke, geeignete
Massnahmen umgeht...' macht sich strafbar. Hier will aber offensichtlich
keiner "...einfach alle bisherigen hochpreisigen Chips auf einem
einzigen zu speichern, um den einen Chip gegen ein geringes Entgelt
anzubieten", sondern "...Vorwerk wird aber große Probleme haben, Bastler
von der Nutzung eigener USB-Anschlüsse und Speichermedien abzuhalten,
sobald das Rätsel um die Chips gelöst ist". Genau genommen hat Solmecke
glaube ich 'Verschluesselung' gar nicht erwaehnt - wohl aber
eingeschraenkt, das man das Linux auf dem TM5 nicht aendern duerfe ;)
(Meine Meinung zu so etwas ist klar: Ich hab' das Ding fuer viel Geld
gekauft, und nicht geleased! Solange ich keine 'Raubkopierten Chips'
herstelle, beschaffe o. verkaufe ist das nicht strafbar. Meine Rezepte
auf meinem Chip mag ein Garatieproblem sein, mehr aber nicht).
> Hier ist es so gut wie tot.
Das waere schade...
Hi Ulli,
merci fuer deine Antwort!
inline ein paar Ausfuehrungen:
Hans Ulli Kroll schrieb:> @Kevin K> Der Trick von BadUSB und Co ist recht einfach:
Swmb, nistet BadUSB (Mythos Virus) sich im USB Controller ein, versucht
von dort aus weitere zu erwischen, und spielt dem OS evtl. ein HID vor,
um weiteren boesen Kram nachzuladen. Einmal drin, hilft nichtmal saubere
Neuinst - er ist etwa im USB-Contr. des ext. CD-LWs, oder sonstwo...
egal. Dem Mythos nach jedenfalls wird er versuchen weitere MC
angestoepselter USB Geraete zu befallen.
Duckkey & Co dagegen sind eher 'Scherzartikel' - sieht von aussen aus
wie ein Stick, meldet aber HID am Rechner und tippt dann drauf los.
>> Man nehme eine USB Speicherstick und programmiere den Mikrocontroller> dort so um, dass er den Stick als USB HID Gerät ausgibt.> Diesen steckst du jetzt an deinem PC, weil im Betriebssystem (fast) alle> Treiber installiert sind, wird dieser auch als Tastatur/Maus erkannt> (obwohl es ein Speicherstick ist). Danach wird dann halt der Schadcode> geladen/ausgeführt.
Genau - fast zumindest ;)
Das ganze kann man evtl. folgend nachstellen: man nehme die SMI Tools
und stelle bei einem Stick VId/PId von einer Tastatur ein (HID Class),
und schon ist der Stick eine Tast. Nur sendet ein Stick halt keine
Tast-Befehle - also nutzlos. Jetzt kommt der eigentliche Trick: auf den
Duckkeys & Co sitzt ein recht schneller Mikrocontroller (mit embedded
Skriptinterpreter) welcher dann einfache Befehle in Tastaturcodes
umwandelt und sendet. Oder er spielt Hub an dem HID & Storage
angeschlossen sind - so taucht dann auch nach einstecken wirklich ein
Speicher auf (auf dem er dann z.Bsp. geklaute Daten ablegen kann).
Um den Bogen zum Topic nun zu schliessen (war ein grosser - sorry!) -
ich dachte in diesem Board muessten sich Leute finden lassen, welche
dieses Konzept vielleicht umsetzten koennten.
Ich stell mir das so vor:
Man nehme einen MC, stoepsel die USB Datapins an Digital-I/O des MC
(etwa D1 an TM & D2 an Chip), betanke ihn mit einer USB lib, und lasse
ihn abwechselnd mit TM und Chip reden. Dem TM schickt er Vend-/Prod-ID
eines Chips, nebst Serienn. etc. und logged mal welche Datenbereiche der
TM dann anfordert. Wenn das Ding schnell genug sein sollte, koennte er
parallel die Anfragen an D2 rauspusten und schauen welche Antworten
kommen, usw...
>> Wenn aber im embedded System der HID Treiber nicht drin ist, passiert> gar nichts
Hat denn schon jemand bestaetigt das dem so ist? Etwa Tast anschliessen
und STRG-ALT-Entf gedrueckt - o. 'root' ENTER 'reboot' ENTER eintippen?
>> HID -> Human Interface Device, Tastatur/Maus o.a.
Sorry, wollte euch nicht vollabern, sondern nur helfen im Endeffekt auch
meiner besseren Haelfte zu ermoeglichen spaeter die eigenen Rezepte zu
speichern, damit sie nicht trotz Chip die meiste Zeit am iPhone/Pad
rumscrollen muss...
VlG,
-K
Kevin K. schrieb:> Martin Schwaikert schrieb:>> @Kevin: RA Solmecke hat es schon klar gesagt: das umgehen der>> Verschlüsselung stellt in Deutschland - Dank unserer unpolitiker - eine>> Straftat dar.>[...]
P.S.: Laut Patenten ist aber auch nur ein Teil evtl. verschluesselt...
Fabian O. schrieb:> "Open Source CD" von Vorwerk ist heute angekommen. Folgendes ist auf der> CD:
Wäre es möglich, dass du die Inhalte irgendwo online zur Verfügung
stellst? Oder sollen wir selbst bei Vorwerk nachfragen? Gerne auch Link
per privater Nachricht... ;)
Matthias Lohr schrieb:> Fabian O. schrieb:>> "Open Source CD" von Vorwerk ist heute angekommen. Folgendes ist auf der>> CD:>> Wäre es möglich, dass du die Inhalte irgendwo online zur Verfügung> stellst? Oder sollen wir selbst bei Vorwerk nachfragen? Gerne auch Link> per privater Nachricht... ;)
Da ich nicht weiß, ob die Daten personalisiert sind, würde ich euch
bitten, dass ihr euch selber an Vorwerk wendet.
Fabian O. schrieb:> Matthias Lohr schrieb:>> Fabian O. schrieb:>>> "Open Source CD" von Vorwerk ist heute angekommen. Folgendes ist auf der>>> CD:>>>> Wäre es möglich, dass du die Inhalte irgendwo online zur Verfügung>> stellst? Oder sollen wir selbst bei Vorwerk nachfragen? Gerne auch Link>> per privater Nachricht... ;)>> Da ich nicht weiß, ob die Daten personalisiert sind, würde ich euch> bitten, dass ihr euch selber an Vorwerk wendet.
da glaube ich jetzt nicht dran, weil Opensource.
Aber was hat ein Paket names lrzsz-0.12.20.tar.gz auf der Kiste zu
suchen ??
X- Z-Modem auf einem Mixer ??
Mir fehlt irgendwas mit Verschlüsseung, oder die machen das wie ich
vermute mit dm-crypt und Co. im Kernel
Matthias Lohr schrieb:> Wäre es möglich, dass du die Inhalte irgendwo online zur Verfügung> stellst? Oder sollen wir selbst bei Vorwerk nachfragen? Gerne auch Link> per privater Nachricht... ;)
Die Dateien im Ordner unmodified_packages sollten ja die Originale sein.
Ich habe mal von entsprechenden Dateien aus dem Internet die MD5
Checksumme gebildet:
Kannst du, Fabian, die bitte mit den Checksummen von deinen Dateien
vergleichen?
Interessanter sind natürlich die Dateien im Ordner modified_packages,
aber so können wir zumindest sichergehen, dass die Dateien im
unmodified-Ordner wirklich nicht bearbeitet wurden.
Hans Ulli Kroll schrieb:> Aber was hat ein Paket names lrzsz-0.12.20.tar.gz auf der Kiste zu> suchen ??> X- Z-Modem auf einem Mixer ??
Aus meiner Sicht deutet das darauf hin, dass CN601 wirklich UART ist.
Dann könnte man mit Z-Modem Dateien auf den Mixer kopieren. Vermutlich
noch zum Debugging drin gelassen, drin vergessen, oder versehentlich
mitgeschickt.
Felix H. schrieb:> Die Dateien im Ordner unmodified_packages sollten ja die Originale sein.>> Ich habe mal von entsprechenden Dateien aus dem Internet die MD5> Kannst du, Fabian, die bitte mit den Checksummen von deinen Dateien> vergleichen?
dhcp-3.0.3b1.tgz und zlib-1.2.3.tar.gz stimmen als einzige nicht mit
deinen überein. Ich schreib Vorwerk mal an ob ich die Sourcen verteilen
darf.
Felix H. schrieb:> Aus meiner Sicht deutet das darauf hin, dass CN601 wirklich UART ist.> Dann könnte man mit Z-Modem Dateien auf den Mixer kopieren. Vermutlich> noch zum Debugging drin gelassen, drin vergessen, oder versehentlich> mitgeschickt.
Leute.. Jetzt hört doch mal auf jemanden der sich auskennt. Das ist eine
USB Schnittstelle, ich kenne den Footprint.
Debug Schnittstellen werden bestenfalls mit Pin Headern bestückt, wenn
nicht sowieso nur mit Testpunkten versehen.
Normalerweise werden die bei der Kundenversion dann auch entfernt.
Es könnte allerdings sein, das über den USB-ID Pin eine Art one-wire
Interface realisiert ist. So haben wir das jedenfalls immer gemacht ;-).
Ich sage ja gar nicht, dass es so eine Schnittstelle nicht gibt. Aber
ich würde mal nach Testpunkten Ausschau halten.
Bis denne
Knochi
David N-K schrieb:> Leute.. Jetzt hört doch mal auf jemanden der sich auskennt. Das ist eine> USB Schnittstelle, ich kenne den Footprint.
Wenn du dich so gut auskennst, dann zeig mir bitte mal den USB-Anschluss
mit 1mm Pitch und VIER! Pins. Die, die ich kenne haben fünf, um den von
dir genannten ID-Pin unterzubringen. Micro- und Mini-B haben
üblicherweise einen kleineren Pitch und eben 5 Pins. Und eine grosse
USB-B Buchse, die man eventuell auf die Kontakte löten könnte (vier
Pins) kann man aus meiner Sicht (abgesehen davon, dass sie nicht in die
markierte Fläche passt) nicht mit den zwei kleinen Lötpunkten an der
Seite halten.
Fabian O. schrieb:> dhcp-3.0.3b1.tgz und zlib-1.2.3.tar.gz stimmen als einzige nicht mit> deinen überein. Ich schreib Vorwerk mal an ob ich die Sourcen verteilen> darf.
Danke! Bei dhcp-3.0.3b1.tgz war ich mir nicht sicher, weil ich die auf
die Schnelle nur als .tar.gz gefunden hab und dann davon ausgegangen
bin, dass die Datei einfach umbenannt wurde. Zlib-1.2.3.tar.gz hätte ich
andererseits als identisch vermutet, weil ich dachte, dass die Datei
eventuell von Frescale kam (wie mtd-utils-201006.tar.bz2).
Falls Vorwerk das erlaubt ist es natürlich einiges einfacher.
@all: Was macht avrdude auf einem Mixer? Sitzt da irgendwo ein kleiner
Atmel-Prozessor, der sich vom Freescale neu programmieren lässt?
Felix H. schrieb:> @all: Was macht avrdude auf einem Mixer? Sitzt da irgendwo ein kleiner> Atmel-Prozessor, der sich vom Freescale neu programmieren lässt?
Vielleicht der (Steuer)-Chip auf der Leistungsplatine.
Da sind ja die Waage, Heizung, Motor usw. angeschlossen,
Fabian O. schrieb:> Da ich nicht weiß, ob die Daten personalisiert sind, würde ich euch> bitten, dass ihr euch selber an Vorwerk wendet.
Ich bin kein Anwalt, aber ich verstehe §1 der GPL so, dass man die
Quellen weiterverbreiten darf:
>> §1. Sie dürfen auf beliebigen Medien unveränderte Kopien des Quelltextes>> des Programms, wie sie ihn erhalten haben, anfertigen und verbreiten.http://www.gnu.de/documents/gpl-2.0.de.html
Ich vermute aber mal, dass uns die Quellen nur bedingt weiterhelfen,
z.B. bei der FritzBox steckt die meiste Intelligenz in
Userspace-Programmen die nicht offengelegt sind.
Felix H. schrieb:> Wenn du dich so gut auskennst, dann zeig mir bitte mal den USB-Anschluss> mit 1mm Pitch und VIER! Pins. Die, die ich kenne haben fünf, um den von> dir genannten ID-Pin unterzubringen. Micro- und Mini-B haben> üblicherweise einen kleineren Pitch und eben 5 Pins. Und eine grosse> USB-B Buchse, die man eventuell auf die Kontakte löten könnte (vier> Pins) kann man aus meiner Sicht (abgesehen davon, dass sie nicht in die> markierte Fläche passt) nicht mit den zwei kleinen Lötpunkten an der> Seite halten.
Ok.. du hast Recht. :-)
Ich hatte mir noch nicht die neuen "zerlegt" Bilder angeguckt und ja
klar, microUSB hat 5 Pins.
Ne USB-B dürfte wirklich nicht passen. Und so Oldschool wird noch nicht
mal Vorwerk sein.
Also Asche über mein Haupt. Dann kann das alles Mögliche sein, eventuell
auch ein Debug Interface.
Hans Ulli Kroll schrieb:> Felix H. schrieb:>> @all: Was macht avrdude auf einem Mixer? Sitzt da irgendwo ein kleiner>> Atmel-Prozessor, der sich vom Freescale neu programmieren lässt?>> Vielleicht der (Steuer)-Chip auf der Leistungsplatine.> Da sind ja die Waage, Heizung, Motor usw. angeschlossen,
Würde ich auch vermuten - der Kernbereich ( messen, steuern) des TM ist
ja klassischerweise eigentlich mehr MC, das überraschende ist eher das
doch eher üppige Linux ;)
Somit können sie 2 Baustellen abfackeln: das OS, und den MC ;).
Könnte auch eine Erklärung sein, wo der 2. USB Anschluss steckt.
Würde dies Sinn machen (bin nicht zu tief in der Materie):
Chip via OTG (killt die Mögl. Tast. anzuschliessen?)
MC via Host (übl. serial2USB im Atmel?)
Allerdings könnte der Host auch mehr als 1'en ,Anschluss' haben, wenn
man noch Hub dazulötet...
Liesse immernoch Platz für den 'echten' TTL Serial Port...
VlG,
-K
Alles seltsam
Ich habe mir nochmal die Leistungsplatine angesehen.
Darauf ist ein MIP2K5, ein Batterielade IC von Panasonic.
Und dabei wollte ich nur wissen wie die Ansterung des Motors ist.
Der ATMEL MC kann sich im 44 pol. SMD IC befinden, kann mich aber auch
irren.
Für die drei Dehnungmessstreifen habe ich das 14 pol. IC neben dem Atmel
in verdacht.
Kleines Update von meiner Seite:
Bin heute endlich dazu gekommen meine 1:1 Kopie vom Rezeptchip an den
Thermomix zu klemmen.
Und siehe da: er ließt die Kopie einwandfrei!
Habe den selben SMI Chip in einem USB Stick ausfindig gemacht, mit dem
Image des original überschrieben (die ganzen 4GB) und sowohl
Seriennummer des Chips, als auch alle anderen Daten im smi_mptool vom
original Chip übernommen. Und ganz wichtig: die Magnete nicht vergessen,
denn die schalten die Versorgungsspannung des USBs, wenn nicht sogar
auch die Datenleitungen frei.
Das soll jetzt keine Anleitung zum Raubkopieren darstellen! Der Schritt
war nötig, um den Klon für weiteres Probing zu verwenden. Sonst müsste
ich mir ständig neue Rezeptchips kaufen um meine Tests durchzuführen...
Übrigens, der passende Chip ist aus einem Verbatim 4GB Stick, der wie
eine Büroklammer aussieht. Der Chip ist etwas länger, als der original,
dafür ist er auf das Byte genau so groß.
Als nächstes prüfe ich, ob ich ein Teil des Speicherbereichs auf dem
Stick mit Nullen überschreiben kann, ohne das der Thermomix meckert...
Hi liebe Gemeinde,
ich hab' mir ebenfalls die Bilder genauer angeschaut. Hut ab - ich
glaub' ich werd' noch eine gaaaanze Weile warten müssen, bevor ich den
TM soweit zerlegen kann...
Da wir zudem immernoch auf die Lieferung warten (haben die wirklich
gerade die Lieferzeit auf 13 Wochen angehoben??), hab' ich leider auch
nicht wirklich ein ,Gefühl' für was wo liegt, bzw wie das Photo
geschossen wurde.
Aber im groben würde ich mein Bauchgefühl (ohne auf Anspr. auf
Richtigkeit) wie folgt beschreiben:
Auf Bild *33-6 ist von der Mitte ein Dreieck nach jeweils unten aussen
(orient. Bild). In diesem Bereich ist schweres Gerät und klassisches
(passives) unterwegs. Mittig ist ein Relais, Sicherunges, dicke Kondens.
etc. pp... jedenfalls alles was man braucht um Motoren zu betreiben,
dicke Ströhme für Heizungen zu lenken und so... Riecht nach der
Spielwiese eines Mikrocontrollers - dann wird sein Zuhause auch nicht
weit sein...
Rechts oben sieht schon wie ein Dorf aus - da sind die Lötpunkte
kleiner, aber noch keine allzuhohe Besiedlungsdichte.
Links oben dagegen ist schon fast eine Stadt - viele kleine Gassen,
Lötpunkte allenthalben...
Bild *39-9 scheint dieses zunächst zu unterstreichen. Was zunächst ins
Auge springt ist das 'Dorf' - dort ist BT (BedienTeil?) mit einem SMD IC
davor - guter Kandidat für den MC. Die Pin-Zahl ist irgendwie komisch,
fast schon zuviel für reinen MC (aber nur fast), jedoch wohl viel zu
wenig für den Haupt-SoC. Wenn Atmel, dann wohl 'feature-rich'. Aber
wichtig sind hier auch 2 weitere Sachen:
1. die Kabel dorthin (BT-Stecker) sind 2x Rot,Gelb,Blau & Weis - sind
das 2x USB (wovon 1'er zum Chip geht, der andere zum Bedienteil?)?
2. Direkt 'vor' dem IC ist auf dem gleichen Bild und auf 40-10
ebenfalls, ein Feld aufgedruckt, in dem noch Anschlüsse frei sind - in
der gleichen Form und Anzahl (& Grösse?) wie der weiter oben erwähnte
'Debugging-Port' (CN601 glaub').
Die 'Stadt' ist leider nirgendwo wirklich schön von oben zu sehen, aber
auf *39-9 kann man links unten bei den Steckern gerade so bevor da die
'Nase' aufsteigt am Rand die Beschriftung für einen IC sehen, welcher
ebenfalls als 'Haupt-' o. 'Neben-' MC in Betracht käme - es sieht aus
wie IC2 - könnte aber ein unscharfes 102 sein... Da sind noch IC410,
IC401, IC402, IC411...
Bild *49-17, zeigt glaub' unseren Hauptgewinn, jedenfalls Ni(ckel)-Gold
:D (ein bisschen)...
Das ist wohl das Display (das Eingepackte ;) ). Da ist ein typischer Bus
für solche Dinger (unten rechts) und die 'Logic' dazu - der IC oben
rechts unter diesem gelb/orangenem alles-Paketkleber ;). Falls jemand
das Ding erkennt: Wie meldet das/so ein Ding/Modell einen 'Touch' (USB
(-HID? hoff', hoff'!) o. seriell, o. ...?)
Die IC's aus *27-2 sind ja inzw. bekannt (Chapeau!). Die vielen
QA-Testpunkte wecken aber Hoffnung auf weiteres Debuggen - oberhalb von
CN501 oder unterhalb von CN601 geht's zum Display (& Maus!?).
Hat jemand eine Ahnung was, wo auf CN701 reinkommt (Z.Bsp. Pin 2 USB
(blau 2. von 'BT' Stecker auf 'Mess/Steurerplatine',....)?
Naja, wenn jemand mutig ist, würde mich ein Dump mit möglichst vielen
Infos (SerN,PId,VId,...) des lt. Patent unverschl. 'öffentl.' CDFS Teils
eines Chips interessieren - gerne PM und Link zu kompr. Archiv. Was A.S.
am 16.12 postete, weckt Begierde nach mehr.
Da ist (Termi.):
- disk1s0 - 4,6GB, disk1s1 2,4GB
- disk2s0 2,4GB
Würde 'dd if=/dev/disk1s1 of=./1.img bs=1M && dd if=/dev/disk2s0
of=./2.img bs=1M && diff -b 1.img 2.img' zu "Dateien sind identisch
führen"?
Irgendwie 'fühlt' sich das 'falsch' an - 2,4*2=4,6 (wer rundet da
denn?)?
Wäre der 2. Datenteil - wie evtl. beschrieben - versteckt, dürfte man
ihn nicht sehen ( :D ), aber wenn nicht, dann hätte ich vermutet, er
taucht als disk1s2 auf - möglich das das 'nur' so ein Apple Ding ist (2
CDs in einem LW? Geht nicht...) - Linux meinte glaub' irgendwo einfach
nur '/dev/ScsiR1' - ohne was mehr/cdfs zu erwähnen?
Hat jemand noch von den SM3257ENLT eine/+ zuviel rumliegen und möchte
sich davon trennen? PM
VlG,
-K
Mode M. schrieb:> @Carlos> Hast du mit diesem Stick erfolg gehabt?:> http://www.reichelt.de/USB-Sticks/VERBATIM-43900/3/index.html?ACTION=3&GROUPID=4798&ARTICLE=126899&OFFSET=500&WKID=0&
>> Dann existiert ja kein Kopierschutz auf dem Chip?!?
Genau das ist der Stick!
Einfach so zu kopieren ist der aber nicht.
Wie gesagt, ich habe mit WinHex die gesamten 4GB auf Platte kopiert,
dann mit alle Daten des original-Chip mit dem smi mp-tool notiert und
auf den neuen Stick übertragen. Dabei habe ich das Image als
Autorun-Image auf den Stick geflasht und den als CD-Partition
eingestellt (Einstellungen siehe Bild).
Was genau davon ausschlaggebend ist und was nicht, werde ich in nächster
Zeit testen. Ich denke mindestens die Seriennummer sollte stimmen. Ich
hoffe, die CD-Partition ist nicht zwingend. Dann kann man auch später
noch mit WinHex einzelne Bytes überschreiben und muss nicht immer den
gesamten Chip flashen.
Hallo Carlos,
könntest du bitte deine .ini Datei hier zur Verfügung stellen?
Und was für ein smi mp-tool (version) hast du verwendet?
Kannst du bitte auch noch die Passwörter nennen die dafür (Debug, usw.)
nötig sind?
Alexander Schäfer schrieb:> Hallo Carlos,> könntest du bitte deine .ini Datei hier zur Verfügung stellen?> Und was für ein smi mp-tool (version) hast du verwendet?> Kannst du bitte auch noch die Passwörter nennen die dafür (Debug, usw.)> nötig sind?
Hi Alle,
ich will nicht paranoid oder so sein, aber vielleicht kurz nochmal
darauf hinweisen - dieser Thread ist in die Öffentlichkeit gezerrt
worden, und somit sollten wir etwas Vorsicht walten lassen was allzu
Detailreiche Beschreibungen angeht, die es einem techn. unversiertem
Richter evtl. erlauben würden jemandem daraus einen Strick zu drehen.
Techn. gesehen ist tatsächlich noch kein 'Kopierschutz' sichtbar
geworden - aber Anleitungen nach dem Motto benutze Passwort 123 und
meine ini Datei von HIER - könnten für Unbedarfte als Beihilfe gelten
(wird wohl im weiteren Verlauf (hoffentlich) keinen Bestand haben, aber
der Schaden ist zunächst da).
Dies ist nicht persönlich an Alexander - seine Beiträge sind wertvoll
und helfen dem eigentlichen Ziel - lernen und verstehen - ungemein.
Die Infos sind verfügbar (der Screenshot verrät die Version und auch wo
die ini-Datei liegt) für Leute die lernen und verstehen wollen - aber
eben noch nicht für 'Fachfremde' die einfach nur eine Möglichkeit
wittern schnell und einfach (illegal) Geld zu machen.
Was meint ihr? Übertreibe ich? Ehrliche Antworten - das war weder
rethorisch noch ironisch gemeint...
LG,
-K
meine Meinung: so lange die Quell-Dateien nicht öffentlich sind, könnt
ihr Anleitungen schreiben was ihr wollt. Nur wer einen Originalen Chip
in händen hält, kann sich diesen, meinetwegen als Sicherungskopie,
kopieren. Kopierschutz ist ja anscheinend keiner drauf.
Kevin K. schrieb:> Was meint ihr? Übertreibe ich?
Ich wuesste nicht was hier bisher illegales passiert sein soll.
Ich wuesste auch nicht was daran so falsch sein soll, dass Carlos
Programmversion nennt und sein *.ini hier rein stellt.
Was das fuer Passwoerter sind die da verlangt wurden weiss ich nicht,
kann daher auch nichts dazu sagen.
Kevin K. schrieb:> die einfach nur eine Möglichkeit wittern schnell und einfach (illegal)> Geld zu machen.
Na das ist ja nun deren Bier. Keine Ahnung warum Du Dir ueber Andere den
Kopf zerbrichst.
Kevin K. schrieb:> Was meint ihr? Übertreibe ich? Ehrliche Antworten - das war weder> rethorisch noch ironisch gemeint...
Man muss schon sauber differnzieren:
§202 StGB spricht eindeutig von "nicht für ihn bestimmt".
D.h. prinzipiell steht das knacken einer Verschlüsselung unter Strafe,
soweit dies mit Daten geschieht, die einen fremden betreffen. §202 StGB
regelt interessanterweise das Briefgeheimnis.
Hier stellt sich die Situation für mich dar, dass die Daten, nämlich die
Rezepte, sehr wohl für den Endanwender gedacht sind.
Soweit also keine kommerzielle Absicht dahintersteht, und jeder nur an
seinen eigenen Datensticks herummanipuliert, ist das meiner Auffassung
nach nicht durch §202c StGB abgedeckt.
Schwierig wird es allerdings, wenn jemand selbst geknackte Sticks und
einen Programmer auf den Markt wirft. Es könnte sein, dass hierdurch
Patente verletzt werden und horrende Schadenersatzklagen nachsich
ziehen.
Prinzipiell: Vorwerk hat viel Geld investiert und durch technische
Maßnahmen ein einfaches Kopieren verhindert. Es wird ihnen unfassbar
gegen den Strich gehen, wenn hier Leute deren "sicheres" Konzept
auseinandernehmen. Das Linux mussten sie veröffentlichen, weil es die
GPL so vorsieht, aber der Rest ist Geschäftsgeheimnis. Und da lassen die
sich garantiert nicht in die Suppe spucken.
http://www.gesetze-im-internet.de/urhg/__95a.html
2) Technische Maßnahmen im Sinne dieses Gesetzes sind Technologien,
Vorrichtungen und Bestandteile, die im normalen Betrieb dazu bestimmt
sind, geschützte Werke oder andere nach diesem Gesetz geschützte
Schutzgegenstände betreffende Handlungen, die vom Rechtsinhaber nicht
genehmigt sind, zu verhindern oder einzuschränken. Technische Maßnahmen
sind wirksam, soweit durch sie die Nutzung eines geschützten Werkes oder
eines anderen nach diesem Gesetz geschützten Schutzgegenstandes von dem
Rechtsinhaber durch eine Zugangskontrolle, einen Schutzmechanismus wie
Verschlüsselung, Verzerrung oder sonstige Umwandlung oder einen
Mechanismus zur Kontrolle der Vervielfältigung, die die Erreichung des
Schutzziels sicherstellen, unter Kontrolle gehalten wird.
Hans Ulli Kroll schrieb:> http://www.gesetze-im-internet.de/urhg/__95a.html>> 2) Technische Maßnahmen im Sinne dieses Gesetzes sind Technologien,> ...> Schutzziels sicherstellen, unter Kontrolle gehalten wird.
Das UrhG gilt hier aber nicht, da es nicht darum geht, auf die
bestehenden Daten zuzugreifen (das macht der Thermomix ja schon selbst),
sondern darum, eben jene Blockade zu umgehen, um EIGENE Inhalte auf das
Gerät zu bringen.
Urheber ist dann entsprechend derjenige, der selbst die Daten dort
aufspielt.
Naja, jetzt wo bekannt ist wie die Daten auf den Stick zu bekommen sind
(ich war auch soweit, aber habe vergessen die SN jedes mal
zurückzusetzen) werden nur noch die Dumps benötigt und schon wirds
illegal. Daher würde ich empfehlen das wir diesbezüglich keinen Satz
mehr zu erwähnen. Wir wollten uns ja um das erstellen von eigenen
Rezepten kümmern.
Barney Geroellheimer schrieb:> Na das ist ja nun deren Bier. Keine Ahnung warum Du Dir ueber Andere den> Kopf zerbrichst.
Der Beihilfe wegen. Sollte jemand sich die Infos in Kleinarbeit
zusammensuchen 'investiert er kriminelle Energie' in sein Vorhaben.
Schriebe ich einfach: 'mach das so und nimm dieses' helfe ich ihm
dabei... (Bin aber kein Jurist - war so ein Bauchgefühl).
LG,
-K
P.S.: @Fabian - volle Zustimmung - jetzt beginnt der spannende Teil ;)
Moin,
ja, ist schon hard an der Grenze, was wir hier so treiben. Aber ich
wollte es nicht für mich behalten, sonst bräuchten wir hier auch gar
nichts auszutauschen.
Wie Kevin gesagt hat, die Programmnummer ist im Screenshot zu sehen.
Habe auf nem bekannten russichen Forum die Programmnummer & Download
gefunden passend zu dem Verwendeten Chip.
Die .ini Datei brauchst du nicht, da alle Einstellungen die ich
geändert habe auf dem Screenshot sichtbar sind.
Passwort für das Settings Menü des Programms hatte Fabian weiter oben
genannt: 320
Danke nochmals!
Und wie gesagt: Was bringt es einem Kopien von den Chips auf den Markt
zu bringen, wenn man hinterher auf jeden Fall vor Gericht gezerrt
wird...
P.S. Spätestens bei Dumps oder Teilen davon haben wir die Grenze
überschritten. Also lassen wir das lieber.
Barney Geroellheimer schrieb:> Mich wuerde mal interessieren wo genau steht, dass es grundsaetzlich> verboten ist, irgendwas zu entschluesseln.
Im UrhG. Und im StGB. Die Frage ist nur, ob es Anwendung findet.
Carlos B. schrieb:> P.S. Spätestens bei Dumps oder Teilen davon haben wir die Grenze> überschritten. Also lassen wir das lieber.
Na das interessiert hier ja auch niemanden, die kann man ja kaufen.
Martin Schwaikert schrieb:> Im UrhG. Und im StGB. Die Frage ist nur, ob es Anwendung findet.
Ja wie jetzt, steht das da oder nicht ?
So wie ich das verstehe, geht es nur darum das man nicht an die Daten
kommt und den Schluessel umgeht. Urheberrecht und so.
Ich habe aber nirgendwo etwas gefunden das es grundsaetzlich verboten
waere, etwas nur zu entschluesseln.
Gut, der Gedanke ist jetzt irgendwie unsinnig. Wenn ich einen Schluessel
nachmache, hat es meist auch den Grund damit irgendwas zu oeffnen. Aber
gerade hier in DE ist doch alles so peniebel geregelt. Deswegen wundert
es mich das nirgendwo steht, zumindest finde ich nichts, dass es
verboten ist einfach so, ein Schloss zu oeffnen.
Hallo,
wegen der Diskussion um eine mögliche illegalität kann ich nur noch mal
auf http://tm5chip.com verweisen.
Ich hatte ja bereits vor einiger Zeit angeregt, das ganze NICHT in der
Öffentlichkeit breit zu treten. Mitlerweile haben Sich dort fast 100
Leute registriert aber es passiert dort nichts.
Ich könnte die Registrierungen zurücksetzen und NEU Registrierungen nur
auf Empfehlung von bereits "freigeschalteten" Nutzern zulassen. Auch
könnte man für neue Mitglieder eine Art "Bewerbungsformular" einbauen.
So könnte man den Kreis von Anfang an kleiner halten ...
Weis zwar auch nicht ob das ein guter Vorschlag ist aber ich denke
besser als hier ist es allemal. Sorry Andreas Schwarz ... aber dafür
kannst Du nun wirklich nichts.
Wat nu?
Joerg W. schrieb:> Mitlerweile haben Sich dort fast 100> Leute registriert aber es passiert dort nichts.
Die wollten wohl einfach nur wissen, worum es in diesem super geheimen
Forum geht.
Und haben dann gemerkt, daß sie das nicht interessiert.
Ein Forum ohne erkennbares Thema ist schon recht strange.
Barney Geroellheimer schrieb:> zumindest finde ich nichts, dass es> verboten ist einfach so, ein Schloss zu oeffnen.
Das ist das große Problem, dass auch der CCC (unter anderem) bemängelt.
Das Bundesjustizministerium hat eine Richtlinie herausgegeben, die sagt,
was "gutes" und "böses" Hacken ist.
Leider sagt diese Richtline aber nichts darüber aus, ob ich das bei
meinen eigenen Daten im stillen Kämmerchen darf.
Das UrhG sieht das Recht der Privatkopie vor - zumindest solange keine
technische Schutzmaßnahme das Kopieren verhindert.
Aber es sieht auch die Verbreitung vor, und diese liegt wiederum nicht
vor.
Es ist verzwickt, und ich würde es nicht darauf anlegen.
Hallo,
wegen der Diskussion um eine mögliche illegalität kann ich nur noch mal
auf http://tm5chip.com verweisen.
Ich hatte ja bereits vor einiger Zeit angeregt, das ganze NICHT in der
Öffentlichkeit breit zu treten. Mitlerweile haben Sich dort fast 100
Leute registriert aber es passiert dort nichts.
Ich könnte die Registrierungen zurücksetzen und NEU Registrierungen nur
auf Empfehlung von bereits "freigeschalteten" Nutzern zulassen. Auch
könnte man für neue Mitglieder eine Art "Bewerbungsformular" einbauen.
So könnte man den Kreis von Anfang an kleiner halten ...
Weis zwar auch nicht ob das ein guter Vorschlag ist aber ich denke
besser als hier ist es allemal. Sorry Andreas Schwarz ... aber dafür
kannst Du nun wirklich nichts.
Wat nu?
le x. schrieb:> Joerg W. schrieb:>> Ja ne is klar ... ohne erkennbares Thema? kopfschüttel>> Lets hack the castle...>> Sorry, ich erkenns immer noch nicht.
Sorry meinerseits .... falsches Topic im falschen Forum:
Beitrag "Thermomix Rezeptchips"
Barney Geroellheimer schrieb:> Carlos B. schrieb:>> [...]> Ja wie jetzt, steht das da oder nicht ?> [...]
Konnte mir das jetzt doch nicht verkneifen:
Wenn UrhG. geschützt vervielfältigen && entschlüsseln == 2x böse...
Wenn bei AND nur eines zutrifft dann FALSE
Steht also drinn, kann aber nicht angewendet werden (?).
@Martin:
>Es ist verzwickt, und ich würde es nicht darauf anlegen.
War auch meine Meinung die mich zur Erinnerung an Vorsicht trieb. Wohl
auch die Erkenntnis, das hier nicht direkt was illegales gemacht wird,
aber andere die geneigt sind dieses hier zu unterbinden evtl. was
konstruieren könnten was bei allzu sorglosem Umgang doch zumindest für
eine Weile für Ärger sorgen könnete. Wenn sich das einfach vermeiden
lässt, sollten wir das tun...
So, nun wieder zurück an die Arbeit.
Ich hatte mir mehrere Sticks bestellt, weil man tatsächlich schwer an
Daten kommt welche denn brauchbar sind. Wäre cool wenn man nicht an die
4GB gebunden wäre - oder auch nur an den SMI-Contr. Es gibt andere
Sticks die ähnliche Features anbieten. Der erste Stick ist nun da - aber
leider noch kein TM um ihn anzustecken :(
Ich habe aber mal in den Protodump reingeschmökert. Noch ist mein
Wissensstand über Low-Level USB u. SCSI eher nicht vorhanden, wenn man
aber in dem AnalyseTool (weiss jemand wie man das zu Wireshark konv.
kann?) erstmal das Hintergrundrauschen ausstellt, kommt doch ein recht
einfach zu lesendes Ding zusammen.
Irgendwie müsste da doch schonmal die 'Signatur' auftauchen. Der TM wird
zuerst ja mal schauen wollen ob er die angebotenen Daten verarbeiten
darf. Was uns hier helfen könnte, sind Protodumps von 2 versch. Chips.
Im ersten Schritt sogar nur das 'initialisieren' - also soweit bis der
TM meint er darf die Infos benutzen...
Cool wäre auch ein Dump während das SMI Tool einen 'leeren' Stick
ausliest (nur Infos zieht, nicht einen kompl. Dump macht), bzw. die
SNr/PId/VId & Modi setzt.
Der USB dump wimmelt nämlich von SCSI Command 'FE' (glaub' ich - war
heute spaet in der Nacht dran...) - was sowas wie 'pro Gerät zu
implementierende freie Befehle' sind. Die von Knochi gefundene
Abhandlung über den SMI3254 ist da ab Seite 141ff sehr interessant.
Vielleicht hilft's ja. Komisch ist das der Dump ohne solche Klimmzüge
tut...
Wer schon die geänderten Sourcen in den Händen hält, könnte mal in den
SCSI & USB Treibern schmökern - evtl findet man dort was hilfreiches...
@Joerg: das ist cool und gut - sollten wir es brauchen (be prepared!) -
hat allerdings den Haken, dass es hier öffentlich verlinkt ist. Ist also
gleich das nächste Ziel; hier - in der Öffentlichkeit - kann jeder auch
gleich nachlesen, das wir zwar basteln, aber nichts illegales tun - das
sollte einen Gewissen Schutz vor Übereifer bieten... Andererseits könnte
es später nötig sein, gewisse Sachen in einem 'geschlossenem Kreis' zu
besprechen, um (schneller) vorwärts zu kommen, sowas nach dem Motto
"beim Bier im Freundeskreis kommen die besten Ideen" - also gut das wir
das schon haben, und nicht wenn das Kind im Brunnen ist, erst kopflos
rumrennen...
LG,
-K
In den Sourcen wird man wahrscheinlich nicht viel finden.
Den Teil mit dem Kopierschutz dürften die herausgenommen haben.
Bei den Kernelquellen ist es fast genauso.
Wenn die eine Kernelconfig mit kopiert haben wäre es gut, aber die kann
auch falsch sein.
Im SCSI Befehlsatz gibt es glaube ich einen Befehl, wo man nur einen
binary Blob an den Mikrocontroller zum ausführen schickt. Auf der Basis
dürften die SMI Tools laufen.
Mich würde interressieren ob Vorwerk es bedacht hat, das der Hersteller
seine Chips nicht mehr produziert. Oder die legen sich auf USB Sticks
fest wo dieser Controller verbaut ist.
Hans Ulli Kroll schrieb:> In den Sourcen wird man wahrscheinlich nicht viel finden.> Den Teil mit dem Kopierschutz dürften die herausgenommen haben.>> Bei den Kernelquellen ist es fast genauso.> Wenn die eine Kernelconfig mit kopiert haben wäre es gut, aber die kann> auch falsch sein.>> Im SCSI Befehlsatz gibt es glaube ich einen Befehl, wo man nur einen> binary Blob an den Mikrocontroller zum ausführen schickt. Auf der Basis> dürften die SMI Tools laufen.>> Mich würde interressieren ob Vorwerk es bedacht hat, das der Hersteller> seine Chips nicht mehr produziert. Oder die legen sich auf USB Sticks> fest wo dieser Controller verbaut ist.
Ich glaube der USB-Chip selber wird irrelevant sein.
Die Seriennummer und die Flashdaten sind das wichtige.
Die Daten werden sicherlich auf dem Thermomix entschlüsselt.
Der Chip muss nichts besonderes können um darauf Rezept-Daten zu
speichern.
Ich hatte mir vor längerer Zeit ja mal den USB Mitschnitt angeschaut.
Mir ist da auf jeden Fall aufgefallen, dass die Seriennummer an den
Thermomix gesendet wird. Habe es leider aber beim nochmaligen suchen
nicht mehr gefunden.
Zusätzlich habe ich die Teile welche später noch übertragen worden sind
auch im Hexdump des USB Images finden können.
Carlos B. schrieb:> Ich glaube der USB-Chip selber wird irrelevant sein.> Die Seriennummer und die Flashdaten sind das wichtige.> Die Daten werden sicherlich auf dem Thermomix entschlüsselt.> Der Chip muss nichts besonderes können um darauf Rezept-Daten zu> speichern.
Davon gehe ich auch aus.
weil ich komme an die Datei vom dem SMI Tool nicht dran.
Die meisten Progranme die irgendwo zu finden sind, laufen auf Windows.
Für Windows gibt es auch ein Programm, wo ich die daten auf der USB
Protokollebene mitschneiden kann.
Die Seriennummer fragt Lnux per default ab, habe es gerade nochmal
getestet
Jonas W. schrieb:> Ich hatte mir vor längerer Zeit ja mal den USB Mitschnitt> angeschaut.> Mir ist da auf jeden Fall aufgefallen, dass die Seriennummer an den> Thermomix gesendet wird. Habe es leider aber beim nochmaligen suchen> nicht mehr gefunden.> Zusätzlich habe ich die Teile welche später noch übertragen worden sind> auch im Hexdump des USB Images finden können.
Hi Jonas,
obwohl ich das Log ja angefertigt habe, muss ich zugeben, dass ich mich
noch nicht so eingehend damit beschäftigen konnte. Die parallelen
zwischen dem Image und den zu übertragenden Daten finde ich Interessant.
Könntest du das mal irgendwie dokumentieren?
Hat jemand mal versucht die ersten paar Mb mit dem "Schlüssel" aus dem
Bereich XOR zu verknüpfen, den wir als 0-Daten annehmen?
Wie woanders schon mal angenommen, könnte ich mir aber auch gut
vorstellen, das es sich hier nur um Testdaten aus der Fabrik des Flash
Speichers handelt, die einfach noch nicht überschrieben wurden.
Wenn man nur mal die Dateistruktur hätte, die der TM5 braucht. Die
Originalchips interessieren mich ja noch nicht mal.
Bis denne
Knochi
Hi David,
David N-K schrieb:> Hi Jonas,>> obwohl ich das Log ja angefertigt habe, muss ich zugeben, dass ich mich> noch nicht so eingehend damit beschäftigen konnte. Die parallelen
könntest du noch mehr Dumps erstellen? Z.Bsp. von einem 'falschem' Chip?
Würde gerne sehen bei welchem Befehl/Antwort die Kiste aussteigt...
> zwischen dem Image und den zu übertragenden Daten finde ich Interessant.> Könntest du das mal irgendwie dokumentieren?
Dito - lt. der 'wünsch dir was Liste von VW' (Patent) könnten die Infos
2 geteilt sein - finden wir also alle Daten wieder, oder nur z.Bsp.
welche innerhalb des vorderen Bereichs?
>> Hat jemand mal versucht die ersten paar Mb mit dem "Schlüssel" aus dem> Bereich XOR zu verknüpfen, den wir als 0-Daten annehmen?>> Wie woanders schon mal angenommen, könnte ich mir aber auch gut> vorstellen, das es sich hier nur um Testdaten aus der Fabrik des Flash> Speichers handelt, die einfach noch nicht überschrieben wurden.
Denke ich auch - eine Signatur über die gesamten 2,6 o. 4GB zu prüfen
würde zu lange gehen. Wer lange Weile hat, kann in einem Image mal einen
Solchen Bereich mit hallo123 vollschreiben ;)
VlG,
-K.
Kevin K. schrieb:>> Wie woanders schon mal angenommen, könnte ich mir aber auch gut>> vorstellen, das es sich hier nur um Testdaten aus der Fabrik des Flash>> Speichers handelt, die einfach noch nicht überschrieben wurden.> Denke ich auch - eine Signatur über die gesamten 2,6 o. 4GB zu prüfen> würde zu lange gehen. Wer lange Weile hat, kann in einem Image mal einen> Solchen Bereich mit hallo123 vollschreiben ;)
Bin ich gerade bei ***grins*** ...
Also...
Habe nun mehrere Verbatim Clip-it Sticks getestet.
Bisher habe ich mit dem 4GB mit SM3257ENLT Chip gearbeitet.
Nun habe ich einen 4GB mit SM3257ENAA, der funktioniert genau so gut.
Einen 2GB mit SM3211BC1 Chip habe ich nun auch testen können.
Funktioniert genau so gut!
An den SMI Tool Einstellungen habe ich heute auch herrum gespielt:
Das einzige was vom Thermomix geprüft wird, ist die Seriennummer.
Habe den Rest der Einstellungen vor dem beschreiben eingelesen und in
die .ini Datei eingetragen (und somit unverändert gelassen) um dies zu
testen.
Desweiteren habe ich die Imagegröße auf erst auf 1GB geschrumpf und den
Rest mit Nullen überschrieben...hat er auch einwandfrei gelesen.
Danach habe ich die magische Adresse 0x808000 gefunden, die weiter oben
im Thread schonmal angesprochen wurde. Vor dieser Adresse befindet sich
ein Block voll Nullen. Danach folgen Daten, die sich ständig auf dem
Rest des Stick mehr oder weniger zufällig wiederholen.
Und siehe da: Dem Thermomix reichen die 8.421.376 bytes!
Der Rest ist Datenmüll auf dem Stick.
Was leider nicht geht, ist irgendwo Daten zu ändern. Die 8MB werden
ständig auf ihre Konsistenz geprüft und es folgt sofort eine
Fehlermeldung.
Wow das sieht ja richtig klasse aus.
Woraus hast du denn die Sachen gebaut?
3D Drucker?
Ach übrigens Amazon verkauft auch die Sticks.
Leider funktionieren die nicht.
Es handelt sich bei den Sticks um Appotech DM233 Controller.
Der Chip ist aber ganz genau so groß wie der im Thermomix Chip.
Darf ich fragen wie du deine her hast?
Alexander Schäfer schrieb:> Wow das sieht ja richtig klasse aus.> Woraus hast du denn die Sachen gebaut?> 3D Drucker?>> Ach übrigens Amazon verkauft auch die Sticks.> Leider funktionieren die nicht.> Es handelt sich bei den Sticks um Appotech DM233 Controller.> Der Chip ist aber ganz genau so groß wie der im Thermomix Chip.>>> Darf ich fragen wie du deine her hast?
Die Teile habe ich an der 2,5D Fräse gemacht aus PVC.
Meine Sticks habe ich von eBay. Reichelt hat die auch. Ich habe mir die
Modelnummern notiert:
Verbatim#43905 1010-177 für den 2GB Stick in Oliv
Verbatim#43910 1103-177 für den 4GB Stick in Pink
Hast du mal auf dem Russischen Forum geschaut, ob du eine Software für
den Controller findest? Wie gesagt, du musst nur Seriennummer ändern
können und eine Autostart Image drauf flashen.
Auf der russischen Seite hatte ich nichts gefunden.
Auf einer chinesischen Seite war eine Software für den Chip.
Da aber mein Chinesisch sich in Grenzen hält, habe ich es nicht mal
runter geladen bekommen.
Das hatte ich aber gestern schon probiert und wusste nicht dass es auch
mit anderen funktioniert. Daher hatte ich auch nicht ganz so viel Mühe
rein gesteckt. Werde es aber noch mal probieren und wenn ich Glück hatte
berichten.
Da mein Rezept Chip ganz sicher defekt ist wäre es klasse wenn ich nur
den Chip tauschen könnte. Ich habe mir auch schon überlegt einen
günstigen Rezept Chip zu bestellen (ebaykleinanzeigen) und ihn dann zum
basteln zu benutzen. Hab zwar schon drei hier liegen, kann aber diese
nicht noch mal riskieren kaputt zu machen.
Hallo Leute,
danke erstmal an alle in dem Thread für die Infos und Hartnäckigkeit an
dem Thema!
Ich habe auch heute meinen Thermomix bekommen. Gleich auch damit
gekocht. Genial das Teil. Ich habe mit meiner Frau 50/50 gemacht so sind
das nicht so viel Geld für jeden. Egal - Sparen dann geht sichs aus.
Das mit dem USB ist cool. Auch die Neuigkeiten, dass anscheinend dass
das Modell des Sticks relativ egal zu sein scheint.
Hat schon jemand mit einem anderen Modell mal das gleiche versucht?
Anscheinend scheint es ja nur die Daten am Stick bis zur Adresse
0x808000 und die Seriennummer wichtig sein.
Weiter oben wurde ja mal über WLAN usw.. diskutiert. Hat schon jemand
mal versucht einen WLAN Stick an den Thermomix zu hängen?
Mit dem Adapter unten von Carlos B. würde das ja gut klappen. Auch
Tastaturen usw... oder auch einen USB/RS232 Wandler?
Ein Freund hat einen 3D Drucker, wir werden mal versuchen sowas in 3D zu
printen und dann kann ich auch mit etwas USB - Material testen.
Einstweilen kann ich euch nur danken und das Thema weiter verfolgen ;-)
gruss aus Österreich
Alexander Schäfer schrieb:> Auf der russischen Seite hatte ich nichts gefunden.> Auf einer chinesischen Seite war eine Software für den Chip.> Da aber mein Chinesisch sich in Grenzen hält, habe ich es nicht mal> runter geladen bekommen.> Das hatte ich aber gestern schon probiert und wusste nicht dass es auch> mit anderen funktioniert. Daher hatte ich auch nicht ganz so viel Mühe> rein gesteckt. Werde es aber noch mal probieren und wenn ich Glück hatte> berichten.> Da mein Rezept Chip ganz sicher defekt ist wäre es klasse wenn ich nur> den Chip tauschen könnte. Ich habe mir auch schon überlegt einen> günstigen Rezept Chip zu bestellen (ebaykleinanzeigen) und ihn dann zum> basteln zu benutzen. Hab zwar schon drei hier liegen, kann aber diese> nicht noch mal riskieren kaputt zu machen.
Wie hattest du deinen Chip kaputt gekriegt?
Falsches ISP aufgespielt, oder Inhalt gelöscht?
Carlos B. schrieb:> Wie hattest du deinen Chip kaputt gekriegt?> Falsches ISP aufgespielt, oder Inhalt gelöscht?
Wie ich oben gelesen habe mit dem Hersteller Tool von SMI. Beim Auslesen
wenn ich mich nicht irre...
Aber wie es scheind könnte er ja mit dem Dump oben den Stick wieder
reparieren ;-)
Ich habe ihn zuerst gelöscht und danach frittiert.
Als du geschrieben hast das man es wieder hin bekommt, habe ich mich
wieder an den Rechner gesetzt und den Chip mit meinen selbstgebautem
Clip verbunden. Irgend was ging aber schief und der Chip wurde
kurzgeschlossen. Nach kurzer Zeit roch es relativ komisch....
Na ja ich werde mir wohl eine bessere Lösung für das auslesen des Chips
bauen müssen.
@Knochi
In den Log werd ich bei Zeiten nochmal rein schauen!
Carlos B. schrieb:> Hier übrigens mein Setup.
was sind das für Kontaktstifte die du da verwendet hast? Bekomm ich die
bei Reichelt?
Alexander Schäfer schrieb:> [...]> Ach übrigens Amazon verkauft auch die Sticks.> Leider funktionieren die nicht.> Es handelt sich bei den Sticks um Appotech DM233 Controller.> Der Chip ist aber ganz genau so groß wie der im Thermomix Chip.
Hier das Gleiche - hatte mir von Reichelt je einen weissen und einen
schwarzen ClipIt Stick schicken lassen beide hatten den Appotech 8233 -
dachte zuerst mein virt. XP wuerde Aerger machen... Scheint wohl nicht
so.
Werde mir die Appotech spez. Tools (DM8233_QCTool o. DM_UDiskAP)
besorgen und ein bischen rumpielen - waere cool, wenn der TM nichtmal
auf einen SMI besteht...
Schoenes WE!
-K
Carlos B. schrieb:> Also...>> [...]> Nun habe ich einen 4GB mit SM3257ENAA, der funktioniert genau so gut.> Einen 2GB mit SM3211BC1 Chip habe ich nun auch testen können.> Funktioniert genau so gut!> [...]Das einzige was vom Thermomix geprüft wird, ist die Seriennummer.
Richtig geil! Der *ENAA ist inzw. glaub' leichter zu finden als der
ENT...
Gute Arbeit - you just made my day!
> Desweiteren habe ich die Imagegröße auf erst auf 1GB geschrumpf und den> Rest mit Nullen überschrieben...hat er auch einwandfrei gelesen.> [...]> Und siehe da: Dem Thermomix reichen die 8.421.376 bytes!> Der Rest ist Datenmüll auf dem Stick.
Kann man eine 2. Part. (CDFS o. HDD) auf dem Stick anlegen und da was
ablegen? :D
>> Was leider nicht geht, ist irgendwo Daten zu ändern. Die 8MB werden> ständig auf ihre Konsistenz geprüft und es folgt sofort eine> Fehlermeldung.
Leider, aber das sollte auch noch zu schaffen sein ;)
Nochmal dickes Lob fuer dieses Etappenziel!
-K
Kevin K. schrieb:> Kann man eine 2. Part. (CDFS o. HDD) auf dem Stick anlegen und da was> ablegen? :D>
2. Partition kann als Flashspeicher genutzt werden, solange der TM die
Daten auf der ersten Partition findet.
Leider muss die erste Partition als CDFS angelegt werden. Was anderes
ließt er nicht! Dummerweise ist diese dann schreibgeschützt und kann
nicht mit WinHex o.Ä. nachbearbeitet werden (soweit ich testen konnte).
Ein weiteres interessantes Detail:
Bevor die Fehlermeldung auftritt, wird der Splashscreen des Rezeptchips
angezeigt. Erst dann folgt die Fehlermeldung, kurz bevor der Rezeptindex
angezeigt werden würde.
Ich habe die Daten erst ab Adresse 0x408000 (also etwa die 2. Hälfte)
manipuliert. D.h. er ließt zumindest den Splashscreen ohne die folgenden
Daten zu prüfen. U.U. habe ich auch Teil des Rezeptindex überschrieben.
Wer weiss...
Weiss einer von euch zufällig die Auflösung des Displays des TM5?
Ich finde unter der Modellbezeichnung des Bildschirms nichts.
Habe mal ein wenig rumgerechnet:
Der Chip "Kochen hat Saison" hat von seinen 8.421.376 byte nur 3747840
byte an Daten. Der Rest sind Nullen.
Auf dem Chip sind laut Rezeptindex 93 Rezepte. Das sind im Durchschnitt
40,3KB an Daten pro Rezept.
Bei jedem Rezept ist mindestens ein "Vorschaubild" dabei. Falls das
Display 800x480 pixel groß ist ist das Bild etwa geschätzte 250x250
Pixel groß.
Ich habe mal gerade ein Foto auf diese Größe verkleinert und in
verschiedenen Formaten konvertiert. Selbst bei 256 Farben ist das BMP
62,5KB, das GIF hat 34,5KB, das JPG hat 21,3KB, das PNG 31,9KB. Das ist
mindestens die Hälfte der Daten.
Hallo morpheus128,
20 Kb an Daten ist für ein Rezept mehr als ausreichend (inkl.
Motorteuerung).
Ich habe spasseshalber mel ein Rezept von der Rezeptwelt in einen
Texteditor kopiert. Ich habe die komplette Seite, also alles was auf der
Seite so rumsteht (ohne Bilder), kopiert - das sind gerade mal 5 KB an
Daten. Dann wird ja noch die Steuerung des TM benötigt. da sind weitaus
weniger Daten nötig als im geasmten Rezept stehen.
Groszügig gerechnet werden das wohl nie mehr als 5 KB an Daten für
Rezept + Steuerung sein.
LG
richi
Zu den SW-Paketen: Wenn da ein AVR auf der Steuerungseinheit sitzt
(finde das Foto der Platine nicht mehr...), könnte avrdude für ein
In-System-Update genutzt werden.
Moin,
ich habe mal rumgespielt - und jetzt einen sehr seltsamen ClipIt - muss
wohl noch mehr spielen ;)
Ich muss dazu sagen, das mein XP eine VM ist - das koennte beim
Auswerfen des Sticks am Bus Aerger machen...
Das Tool welches 'tat' war das Partitionierungstool von einer rus. Seite
fuer den DM8233. Das will bei 'Settings' ein Passwort - man findet es in
der partition.cfg als Kommentar.
Das Ding hat nur mehrere Nachteile.
- Die SerNr ist buggy - musste den Haken bei Dec. wegmachen, weil sonst
nur Muell entsteht.
- Das Partitionieren ist 1.Part norm. Stick 2.Part CD (oder nur CD)
- Macht unter VM komische Sachen - schreibt den Controller, aber das
Image nicht - kann man sich vorstellen was das im Ergebnis bringt ;) -
Genau, ein READ-Only-FS mit nicht korrigierbarem Datenmuell...
- Das ganze Tool bleibt weit hinter den Moeglichkeiten des SMI - sollte
der Chip Wurst sein, wuerde mir das trotzdem Wurst sein ;) SMI ist
stressfreier ;)
-K
Es sind anscheinend nur die weißen und schwarzen Modele mit dem Appotech
DM8322 bestückt (meine unbestätigte Vermutung).
Da fängt die Modellnummer mit einer 5 an (siehe Foto).
Hier noch der Link zu dem Model:
http://www.amazon.de/Verbatim-Clip-4GB-Speicherstick-weiß/dp/B00440D0G8/ref=pd_sim_sbs_computers_1?ie=UTF8&refRID=1K1351K2T5RH421DDZH3
Sicher ist aber das der Verbatim ‘Clip-It’ in zwei verschiedenen
Varianten zu kaufen gibt. Der Stick mit dem Appotech DM8322 hat ein
wesentlich kleineren Chip verbaut als die Variante mit dem sm3257enlt.
Zur besseren Verständnis habe ich noch zwei Fotos erstellt.
Hoffe ich konnte helfen ;-)
Alexander Schäfer schrieb:> Es sind anscheinend nur die weißen und schwarzen Modele mit dem Appotech> DM8322 bestückt (meine unbestätigte Vermutung).> Da fängt die Modellnummer mit einer 5 an (siehe Foto).
Bei reichelt.de war die P/N (auf Packung) 43900 (weiss - schwarz 43901)
Ein von amazon.de heute angekommener hatte P/N 97555 (schwarz) - der
hat aber leider auch keinen SMI, sondern einen 'ITE IT1176 A1BA' :( -
bei diesem ClipIt sind allerdings die mitteleren 2 USB Kontakte schmaler
als die Aeusseren - Chip gleich gross wie SMI...
Die Verpackung ist anders:
- Appo reichelt, kleiner Chip, kleinere Verpackung, das grosse Feld mit
'Clip-it' 'USB DRIVE' ist weiss
- Amazon ITE, 'groesserer' Chip, groessere Verpackung, grosses Feld ist
hier rot
> Hier noch der Link zu dem Model:> http://www.amazon.de/Verbatim-Clip-4GB-Speicherstick-weiß/dp/B00440D0G8/ref=pd_sim_sbs_computers_1?ie=UTF8&refRID=1K1351K2T5RH421DDZH3>> Sicher ist aber das der Verbatim ‘Clip-It’ in zwei verschiedenen> Varianten zu kaufen gibt.
Leider min. 3 jetzt...
Bei den Appos schauen zudem noch diese 2 winzigen Kontakte gerade so an
der Kante vom Buegel raus - die fehlen beim SMI (oder sind weiter
hinten? - der Appo hat da noch 2 groessere versteckt).
> Zur besseren Verständnis habe ich noch zwei Fotos erstellt.
Werde auch noch welche nachreichen...
> Hoffe ich konnte helfen ;-)
Ironie des Schicksals - ich hatte mir zum rumspielen einen 'Verbatim
PinStripe 4GB' (schwarz) besorgt. Wollte mal andere Chips als den SMI
probieren. Nun, die ClipIts waren dann Appo, aber der PinStripe stellte
sich als 'SMI SM3257 ENLT'heraus :D (Verba. P/N ist 49061 ). Da ich mit
'rumspielen' wollte, war mir der klassische 'Schiebestick'-Formfaktor
egal...
Ein Verbatim 'Micro USB Drive 4GB' (P/N 44048) - entpuppte sich als
Phison PS2251-67 (PS2267) - die Phison hatte ich als Zweitwahl gesetzt,
weil deren Tools auch brauchbar aussahen.
-K
Ich kenne einen 'USB Stick Importeur' direkten Kontakten nach Asien. Bei
Ihm kann man Sticks direkt mit Wunschchip bestellen. Soll ich mal
anfragen? Welche Menge?
Da es wohl keinen Hersteller gibt der nur den einen Chip sondern immer
wieder neue Chips je nach momentanen Preis verbaut ist eine genaue
Aussage über die USB Sticks nicht möglich.
Entweder man bestellt eine große Menge über einen Importour oder man
bestellt sich direkt einen Chip von Vorwerk.
Da ich absolut kein Interesse an Raubkopien habe werde ich mir einen von
Vorwerk bestellen. Der Vorteil ist das man kein Gehäuse bauen muss und
der Chip 100% richtig ist. Der günstigste Chip ist für 27€ zu bekommen.
Weitere Suche nach einen funktionierenden USB Stick wird mich wohl mehr
Geld kosten.
Alexander Schäfer schrieb:> Da es wohl keinen Hersteller gibt der nur den einen Chip sondern immer> wieder neue Chips je nach momentanen Preis verbaut ist eine genaue> Aussage über die USB Sticks nicht möglich.> Entweder man bestellt eine große Menge über einen Importour oder man> bestellt sich direkt einen Chip von Vorwerk.> Da ich absolut kein Interesse an Raubkopien habe werde ich mir einen von> Vorwerk bestellen. Der Vorteil ist das man kein Gehäuse bauen muss und> der Chip 100% richtig ist. Der günstigste Chip ist für 27€ zu bekommen.> Weitere Suche nach einen funktionierenden USB Stick wird mich wohl mehr> Geld kosten.
An dieser Stelle sei noch mal darauf hingewiesen, dass unser Ziel ist
eigene Rezepte zu schreiben. Das Kopieren dient nur dazu, um
herauszufinden welche Parameter stimmen müssen, damit der TM den Chip
als Original erkennt. Also z.B. Seriennummer, Chipsatz etc.
IMHO lohnt sich das Kopieren auch nicht wirklich, wenn man bedenkt, dass
man sich erst einen Adapter für USB Sticks bauen muss. Und die anderen
Kochbücher fallen erfahrungsgemäß sowieso gegenüber dem Grundkochbuch
stark ab.
Bis denne
Knochi
Ich stimme Alexander zu.
Da jetzt klar ist, woran man rumschrauben darf und woran nicht, kann man
direkt an dem Originalchip arbeiten.
Eine Docking Möglichkeit braucht man so oder so. Entweder um den Stick
an den TM zu bringen, oder halt um den Chip mit dem PC zu verbinden.
Das eine versteckte Partition o.Ä. noch auf dem Chip ärger bereitet, ist
jetzt ausgeschlossen.
Also auf gehts: Verschlüsselung knacken!
Übrigens habe ich mir mal das vollständige Patent genau durchgelesen.
Dort ist bereits alles erklärt womit wir es hier zu tun haben.
Allerdings haben sie viele Möglichkeiten erwähnt und tatsächlich nur
eine Kombination daraus umgesetzt. Die Frage ist nun welche und kann man
diese umgehen/reproduzieren?
Ich tippe auf eine Kombination aus SHA-256 für die Hash Berechnung und
RSA-Algorithmus für die Chifrierung.
Eigentlich war geplant, einen Teil des Sticks am PC lesbar zu machen.
Das haben sie anscheinend geknickt, da man sonst super über eine
Plaintext-Attacke den Code hätte knacken können...
Carlos B. schrieb:> Ich tippe auf eine Kombination aus SHA-256 für die Hash Berechnung und> RSA-Algorithmus für die Chifrierung.
ich tippe eher auch AES.
Das können aktuelle SoC's in Hardware
Ich habe auch noch (alten) einen SoC gesehen, der konnte DES bzw. 3DES.
Und dann noch SHA für MAC, uch in HW
Fabian O. schrieb:> Ich kenne einen 'USB Stick Importeur' direkten Kontakten nach Asien. Bei> Ihm kann man Sticks direkt mit Wunschchip bestellen. Soll ich mal> anfragen? Welche Menge?
Hi Fabian - schön zu wissen; aber aus anderem Grund als vermutet...
Ein paar Chips herumliegen zu haben um zu testen und evtl. später
strukturiert kochen zu können ist das eine (etwa einen Chip mit 'Menüs
zum testen', einen mit 'lieblings Rezepten',...). Wie Knochi and Andreas
aber schon meinten, sind Mengen einer Lieferung eines Importeurs
allerdings wohl weit jenseits selbst einer grosszügigen Bestellung von 5
Chips/User.
Ein paar Fehlkäufe kann man noch nutzen um zu lernen (Features anderer
Hersteller, überhaupt den Umgang mit Controllerchips auf Sticks und
damit verbundene Themen,...) - und wie die Beschreibungen zu den ClipIt
Sticks wohl nicht zu vermeiden. Rein ökonomisch gesehen hat Andreas
recht - mit ca. 20% Markanteil von SMI muss man so viele Sticks kaufen
um Glück zu haben, das es sich tatsächlich eher lohnt gleich den Vorwerk
Chip zu kaufen (min. 5 Käufe zu min. 8 Euro > billigster Chip).
Wenn aber der Importeur Tools besorgen kann, mit denen man am PC mit den
Stickcontrollerchips direkt reden kann, dann wird's spannend
('production tools'). Die meisten auf der russischen Seite(n) taugen für
wenig mehr als die Ser/VId/PId zu setzen und evtl. ein ISO-Image
hochzuladen. Firmware runterladen z.Bsp. ist meist nicht vorgesehen.
Lustig wäre es etwa auch auf einem Stick 2 CDs zu haben. Oder die Daten
der HDD als ISO zu exportieren - das würde einem ersparen jedes Mal ein
ISO Image komplett hochzuladen wenn man nur ein paar Werte ändern will.
Wenn das nicht öffentlich geht - schick mir einfach eine PM - solche
Tools wären nicht nur für dieses Projekt für mich von Interesse.
Ich habe leider immer noch keinen TM, so das im Moment (noch) mehr Zeit
für Grundlagenforschung bleibt ;)
Eine Erkenntnis eben derer: bei verschiedenen Sticks sind erhebliche
Schwankungen in der Leitungsaufnahme am USB Port gemeldet worden -
nichts gefährliches, aber bei der Entscheidung welchen der Clonechips zu
benutzen vielleicht mit zu beachten.
So, da nun anscheinend klar das Seriennummer = legitimer Stick(?) ist,
fehlt der nächste Schritt: ??? = legitime Daten.
Ich gehe davon aus, das entw. eine Prüfsumme abgelegt wird (wäre für uns
cool) oder eine Signatur erstellt wird (erhebl. Aufwand das
nachzustellen).
Evtl. kann man dann aus dem ??? schliessen was gemacht wird
(md5,sha,..). Ich würde nochmal den Busmitschnitt durchgehen - ist da
irgendwo ein Hinweis auf eine ziemlich kleine Menge Daten entw. gleich
zu Anfang oder zum Ende zu finden?
Grüsse,
-K
Versteht mich nicht falsch, ich hatte dir den eindruck das sich hier
viele mit der auswahl passender "Probiersticks" beschäftigten und wollte
daher anbieten mich mal nach passenden Sticks mit garantiert richtigem
Chip zu schauen - mehr nicht.
Ich denke die Verschlüsselung ist im Patent beschrieben. Privat und
Puplic Key. Also einen Art PGP mit Zusätzlichem Salt in Form der Stick
SN und damit wirds verdammt schwer. :'(
Nun, ich habe SHA-256 und RSA nicht ohne Grund genannt.
Im Patent werden zwar diverse Möglichkeiten erwähnt, aber explizit auf
die beiden hingewiesen!
Es ist die Rede von der Verschlüsselung des Datenpakets bestehend aus
der Seriennummer (2), der Rezeptdaten (4) und der Prozessdaten (5) für
den TM, mit einer public/private Key fähigen Verschlüsselung. Und später
wird noch ein Hash berechnet und zusätzlich auf dem Stick abgelegt.
Mal ne andere Sache die mir aufgefallen ist:
Ich habe mittlerweile drei verschiedene Chips analysieren können ("Das
Kochbuch", "Wertvoll geniessen", "Kochen hat Saison"). Beim Vergleich
sind mir zwei Blöcke aufgefallen, die bei allen drei Chips Identisch
sind.
Der erste Block geht von 0x200 bis 0x89F und der zweite von 0xA00 bis
0xBD7.
Auf den ersten beiden Chips sind die Blöcke jeweils um 16 Bytes länger
und unterscheiden sich nur im Vergleich zum letztgenannten Chip.
Jemand eine Idee, was das für Daten sein könnten?!
Ich meine gelesen zu haben, das die Sticks von "Silicon Power" direkt
von "Silicon Motion" gefertigt werden. Auf der russischen Seite wurde
der "Silicon Power Touch T01" Stick erwähnt der den SM3257ENLT drin
haben sollte. Daraufhin habe ich mir einen 8GB T01 gekauft. Der hatte
aber einen anderen SMI Chip verbaut (ich meine SM3255AA o.Ä.).
Wäre unwahrscheinlich einen "Silicon Power" Stick mit nem Chip von einem
anderen Hersteller drin zu finden, oder?!
Carlos B. schrieb:> [...]
Irgendwie musste ich beim lesen eben dieser Stelle spontan an das alte
Mac-OS Dateisystem denken:
> der Seriennummer (2), der Rezeptdaten (4) und der Prozessdaten (5) für
Die Rezeptdaten (4) sind der 'Resource fork' (klar lesbar auf CDFS)
Die Prozessdaten (5) der 'Programmcode' auf versteckt/verschl. Teil (was
die SMIs hergegeben hätten).
Haben sie aber schlussendlich nicht so umgesetzt (anscheinend) - was
wieder Hoffnung weckt.
So ist nämlich eben doch bekannter Klartext im Chiffrat enthalten
(solange das vorher nicht komprimiert wurde...).
> den TM, mit einer public/private Key fähigen Verschlüsselung.
Ich glaube irgendwo auch sowas wie eine Anzahl an 'mitzuführenden'
Schlüsseln gelesen zu haben. Das waren ziemlich viele - nur auf Vorrat
um kompromittierte widerrufen zu können, oder stehen die im Zusammenhang
mit etwa der Anzahl der gültigen Seriennummern?
> Und später> wird noch ein Hash berechnet und zusätzlich auf dem Stick abgelegt.
Über diesen Punkt war ich ebenso gestolpert - wenn das Buch in einem
Rutsch gelesen wird, ist wohl das Buch signiert/'hashed' (ich glaube
weiter oben hatte jemand schon nur einzelne Bytes geändert und Fehler
bekommen...). Allerdings haben wir diese Prüfsumme mWn noch nicht
gefunden - kann man eigentlich die Seriennummer etwa des 'Saison' Chips
in einen Stick packen, der mit 'Das Kochbuch' betankt wurde? Wäre schon
mal eine Variable weniger ;)
VlG,
-K
Hi alle,
noch kurz: vielleicht sollten wir auch die zweite Front nicht ganz aus
den Augen verlieren: der TM5 selbst.
Wenn tatsächlich starke Verschlüsselung mit ordentlich langen Schlüsseln
benutzt werden, wäre es u.U. einfacher dem Gerät einen selbst
generierten Schlüssel unterzujubeln. Allerdings müssten wir dann aber
auch nach einem anderem Weg suchen, uns die Infos über den Aufbau eines
Rezeptes und die passenden Steuerbefehle zu verschaffen. Könnte aber
auch dort zu finden sein, wo man den Schlüssel einschleust - dort sind
die Daten evtl. dann offen... Will heißen: Debugport etc ;)
Wir sollten an beiden parallel arbeiten - den Aufbau des Buches (wie
Hashwert berechnen - und/oder wo Sign. ablegen) brauchen wir - wenn
tatsächlich stark verschl. kommen wir evtl. am Gerät direkt schneller
voran.
Zum Schluss was zum schmunzeln : ich habe irgendwo (in SoC-Beschr.?) was
von OTG gelesen - sollte das implementiert sein, könnte es erlauben den
TM5 als Gerät an etwa einem PC anzuschließen (auch für Debug? - TM5 ist
dann Slave) sprich er wäre dann der
Thermo-Nukleare-RIESEN-USB-Stick :D ).
VlG,
-K
Carlos B. schrieb:> [...]> Auf den ersten beiden Chips sind die Blöcke jeweils um 16 Bytes länger> und unterscheiden sich nur im Vergleich zum letztgenannten Chip.>> Jemand eine Idee, was das für Daten sein könnten?!
Brainstorming (bin immer noch ohne TM :( )
Gemeinsamkeiten:
Logo's?
Vor/Nachwort?
Eigenwerbung/Eula/Disclaimer/Warnung/...?
Tabellen-header/Dictionary?
* 2 Tabellen - Rezept und Steuerung
- SQLite-Files?
- Rezept Datei hat viele Felder (0x200 bis 0x89F)
- Steuerung weniger Felder (0x0a00...)
- Wo sind die Bilder zu Rezept dann?
1. Block 1695 bytes
2. Block 471 bytes
Pub/Priv Key?
16Byte = 128bit
Letzteres brachte mir einen langen Ausflug ein. Julien hatte
ggaaaannnzzz weit oben ein paar gute Links und darauf fussend AES128b
vermutet.
Klingt leider plausibel - leider, weil AES-128b im Prinzip sicher ist :(
Features:
- No 'brute-force' - Rechenleistung eines sehr schnellen 2010 gebauten
Rechners ist um Exponenten zu lahm um den Schlüssel innerhalb der
bisherigen Lebenszeit des Universums zu berechnen
- Klartext Attacken wirkungslos
Mögliche Angriffsflächen:
- Schlechte Passwörter - Mensch 'erstellt' sie - hier eher nicht
- Es ist symetr. also kein pub/priv key - das was zum verschl. benutzt
wurde ist das was man zum entschl. braucht
- Klartext möglich wenn mehrere bekannte Klartexte mit dem selbem
Schlüssel (hier: versch. Chips)
- Es gibt inzw. 'indirekte' Angriffe - lauschen/timing in Prozessor
cache etwa
Lichtblicke:
Konsequenz aus symtr. Verschlüsselung ist: sowohl bei der Produktion,
als auch in dem TM5 muss der gleiche Schlüssel sein - einmal geknackt
ist das Game-over - alle Chips alle TM5 haben denselben Schlüssel. Sehr
riskant - aber zu umschiffen, indem man den Schlüssel asymetrisch
verschlüsselt, und einfach beilegt
Blöderweise werden Klartext o. Cache Angriff nur möglich mit Zugang zum
OS. für letzteres braucht man nicht einmal mehr root Rechte - bin aber
noch nicht dahinter gestiegen, ob das auf für Dateien entschl. klappt -
(Funk-)Netze ja...
Kommt man eingelogged an die Klardaten, so haben wir zusammen wohl
bestimmt alles Sorten v. Chips
Cool wäre auch irgendwie einen OS-Dump zu bekommen...
Genug Zeit verdaddelt - ab ins Bett,
bis Bald,
-K
Hi all,
I'm interested in your work but I'm not familiar with german language at
all (I'm french).
So I try to follow your work using google translate but the translation
is very bad. I don't own a tm5 for the time being so i can't do any
test.
Before modifying an existing recipe chip I would like to make a copy of
it. Copy on which I could work without taking the risk of bricking the
original one.
So I made some searches on goole to find the most appropriate usb
flashdrive and, like Carlos.B, I found the Silicon Power T01 key on a
russian web site.
Here is the partnumber you can find on Amazon : SP008GBUF2T01V1K
http://www.amazon.de/Silicon-Power-Touch-801-Speicherstick/dp/B00689HXA2/ref=sr_1_4?ie=UTF8&qid=1424425601&sr=8-4&keywords=silicon+touch+t01
The picture attached show the flashdrive properties using ChipGenius
And here under using ChipEasy :
Logical drive : E:\ Capacity: 7.5G
Device ID : VID = 090C PID = 1000
Device SN : 02501072159000000829
Device version : 1100
Device vendor : UFD 2.0
Device model : Silicon-Power8G
Protocol : USB2.0
Max power : 500mA
Partition type : FAT32 Device active : OK
Aligned state : 28 KB, Have been Aligned
Controller : SMI
Controller model: SM3257ENLT
Flash Vendor : SanDisk, Type: TLC, Single channel
Flash ID : 45DE9493
Score : 38 (Normal Score >= 30)
Firmware : ISP 130506-AA-
Tools : http://www.upan.cc/tools/mass/SMI/
OS Version : Windows 7 Professional Service Pack 1
Update Status : The current version is the latest version!
VID, PID and controller model seem to be the same than the recipe key
but flash vendor is SanDisk whereas it should be Samsung.
Hope this will help.
Regards
Also noch mal ein paar Gedanken von mir.
Die Verschlüsselung findet im TM5 statt und ist somit nicht von dem
Chipsatz des Speichermediums abhänging. Leider ist ist so auch nicht an
die Originaldaten heranzukommen.
zur Verifikation des Gerätes reicht dem TM5 eine gültige Seriennummer.
Die Daten für das Grundkochbuch sind in den ersten 8Mb des
Speichermediums abgelegt und werden ständig auf Konsistenz geprüft.
Vielleicht braucht man die Verschlüsselung auch gar nicht knacken,
wenn..
1. ..der TM auch unverschlüsselte Daten akzeptiert
2. ..man das Dateiformat herausfindet, z.B. über Zugriff auf die
Hardware
Ich denke mal die Verschlüsselung zu knacken ohne eine Sicherheitslücke
oder eine fehlerhafte Implementierung ist nahezu unmöglich.
Bis denne
Knochi
Alexander Schäfer schrieb:> Hab heute mal ein neues Lesegerät für den Chip gebaut.> Man kann die Verpackung die mit dem Chip mit geliefert wird wunderbar> dazu missbrauchen.
Wow! Respekt - da wird jeder Vorwerker Labormitarbeiter bestimmt blass
vor Neid ;) - Und das aus 'Müll' (der Großteil des sichtbaren
jedenfalls...) - bin gespannt wie viele 'flüchtig Reinschauer' jetzt auf
ebay.de oder amazon.de verzweifelt danach suchen :D
VlG,
-K
Mano Galino schrieb:> Hi all,>> I'm interested in your work but I'm not familiar with german language> [...]
Welcome aboard - my French is rather rusty, but it seems as if we have a
common foreign language ;)
>> VID, PID and controller model seem to be the same than the recipe key> but flash vendor is SanDisk whereas it should be Samsung.>
I don't think the flash vendor matters - if any at all, then the
controller chip, or rather the chip you plan on using should be capable
of offering similar features as the SMI. That one you've got seems right
(assuming the Chipgenius info was taken from your stick, that you've
already bought).
The flash chips probably will have differences in available bytes, power
consumption, speeds,... - but to the TM5 all this doesn't seem to
matter.
You'll need some SMI tools from where you pulled the infos on the
fitting stick (Russian site), and use it to upload an iso. Since you
don't have a TM5, you won't even need to bother with other settings...
> Hope this will help.>> Regards
Alexander Schäfer schrieb:> Hab heute mal ein neues Lesegerät für den Chip gebaut.> Man kann die Verpackung die mit dem Chip mit geliefert wird wunderbar> dazu missbrauchen.
Sehr geil! Gefällt mir!
Kevin K. schrieb:> 1. Block 1695 bytes> 2. Block 471 bytes
Sorry, die Blöcke sind jeweils ein byte länger (1696 und 472 bytes), da
das letzte Byte mitzählt (mein Fehler).
Kevin K. schrieb:> Letzteres brachte mir einen langen Ausflug ein. Julien hatte> ggaaaannnzzz weit oben ein paar gute Links und darauf fussend AES128b> vermutet.
Ja, das hat mir die letzten Tage auch Kopfzerbrechen bereitet. Habe mir
die drei Images mal genauer angeschaut u.a. auch die Entropie. Die Daten
sind innerhalb des Images so sauber verteilt, dass man daraus auf das
Verschlüsselungsverfahren schließen können muss.
Zusätzlich haben die Datenblöcke so schön gerade längen, das müsste
eigentlich als Indiz zu gebrauchen sein.
Hier mal die Daten, die ich zusammengetragen habe
1
"Das Kochbuch"
2
Datenlänge 0x639000 von 0x808000
3
Entropy = 7.999974 bits per byte.
4
Optimum compression would reduce the size of this 6524928 byte file by 0 percent.
5
Chi square distribution for 6524928 samples is 232.29, and randomly would exceed this value 84.31 percent of the times.
6
Arithmetic mean value of data bytes is 127.4850 (127.5 = random).
7
Monte Carlo value for Pi is 3.140989142 (error 0.02 percent).
8
Serial correlation coefficient is 0.000288 (totally uncorrelated = 0.0).
9
10
"Wertvoll geniessen"
11
Datenlänge 0x360000 von 0x808000
12
Entropy = 7.999950 bits per byte.
13
Optimum compression would reduce the size of this 3538944 byte file by 0 percent.
14
Chi square distribution for 3538944 samples is 245.46, and randomly would exceed this value 65.47 percent of the times.
15
Arithmetic mean value of data bytes is 127.4955 (127.5 = random).
16
Monte Carlo value for Pi is 3.141350640 (error 0.01 percent).
17
Serial correlation coefficient is 0.000449 (totally uncorrelated = 0.0).
18
19
"Kochen hat Saison"
20
Datenlänge 0x393000 von 0x808000
21
Entropy = 7.999949 bits per byte.
22
Optimum compression would reduce the size of this 3747840 byte file by 0 percent.
23
Chi square distribution for 3747840 samples is 263.67, and randomly would exceed this value 34.12 percent of the times.
24
Arithmetic mean value of data bytes is 127.4706 (127.5 = random).
25
Monte Carlo value for Pi is 3.141355020 (error 0.01 percent).
26
Serial correlation coefficient is 0.001010 (totally uncorrelated = 0.0).
Carlos B. schrieb:> [...]> Ja, das hat mir die letzten Tage auch Kopfzerbrechen bereitet. Habe mir> die drei Images mal genauer angeschaut u.a. auch die Entropie. Die Daten> sind innerhalb des Images so sauber verteilt, dass man daraus auf das> Verschlüsselungsverfahren schließen können muss.
zumindest in Teilen.
>> Zusätzlich haben die Datenblöcke so schön gerade längen, das müsste> eigentlich als Indiz zu gebrauchen sein.
Vielleicht - aber wenn man durchfließende Datenströme komprimieren will,
braucht man auch Blöcke ('cat file |gzip' etwa).
MMn ist die Datenmenge aber leider am unterem Rand des brauchbaren für
100%-ige Aussagen - es bleibt ein Restrisiko, und ein gewisser
Unsicherheitsfaktor. Meiner Meinung nach ist der groß genug, um den
Aufwand den Du schon betrieben hast auch zu rechtfertigen.
Ausdrückliches Danke hier nochmal dazu!
pi-error tendiert zu kleiner .02 -> encr.
Chi-quadr. allerdings eher um 250 -> kompr.
Allerdings sind die identischen Bereiche von verschiedenen Rezeptchips
ein klarer Ausschluss des 'ganzes Image in einem Rutsch (AES-)
verschlüsselt'. Das bedeutet mindestens das an den Stellen von neuem
begonnen wird (sogar explizit exclusive dieser Bereiche).
Ich bin nicht der AES Profi - bitte korrigieren wenn ich Blech rede -
aber eine saubere Impl. moderner krypt. Verfahren sollte folgende
'Features' erlauben:
- 2 Durchläufe des identischen Klartextes mit gleichem Schlüssel ergeben
2 völlig verschiedentlich aussehende Ergebnisse (dank 'IV' o. 'Salt')
- Da meist das Ergebnis der Operation auf einem Block (teilw.) wieder in
die Berechnung des nächsten Blockes einfließt, sollten bei
unterschiedlichen Klartexten mit aber teilweisen deckungsgleichen
Passagen diese nicht als solche in den resultierenden Ergebnissen
erkennbar sein.
Ob gerade Letzteres auch für AES gilt, wenn z.Bsp. ein genügend langer
Block aus 0x00'ern mittendrin an gleicher Stelle anfängt würde ich
vermuten, kann es aber nicht beschwören. Auf jeden Fall wäre das nur
dann überhaupt möglich, wenn kein InitialisierungsVektor benutzt wird
(sollte - ne, DARF nicht sein ;) ).
Vielleicht sollten wir so lange XOR auf eben diese Stellen exerzieren,
bis was brauchbares rauskommt (Sern. anwenden?). Wir werden aber leider
erst wissen was 'brauchbar' ist, wenn wir's sehen ;)
Hat jemand mal nach dem 'header' von dem CDFS gesucht? 'In meiner
Jugend' war das mal der String 'CD001' glaub - ab dem 2. Byte oder so -
weiss nicht ob Joliet/UDF sowas noch haben...
Aber xor sollte die Entropie nicht ändern - also doch lzma o.ä. kompr.?
Frohes Grübeln,
-K
Carlos B. schrieb:> [...]> Sorry, die Blöcke sind jeweils ein byte länger (1696 und 472 bytes), da
Zumindest 1696 sind 106x 128b oder 53 256bit Blöcke - jedenfalls eine
auffällige Grenze/Größe...
LG,
-K
Kevin K. schrieb:> Vielleicht sollten wir so lange XOR auf eben diese Stellen exerzieren,> bis was brauchbares rauskommt (Sern. anwenden?). Wir werden aber leider> erst wissen was 'brauchbar' ist, wenn wir's sehen ;)
:-D
Habe gerade mal aus Spaß die Seriennummer als AES-128 Schlüssel auf das
Image losgelassen...kam nur Müll bei raus. Aber ein Versuch war es wert!
Kevin K. schrieb:> Allerdings sind die identischen Bereiche von verschiedenen Rezeptchips> ein klarer Ausschluss des 'ganzes Image in einem Rutsch (AES-)> verschlüsselt'.
Das stimmt so nicht. Beim "Electronic Code Book Mode" (ECB-Modus) werden
gleiche Eingangsdaten durchaus in gleiche Ausgangsdaten verschlüsselt.
Meist ist dies ein Fehler bei der Anwendung der Verschlüsselung. Und
alles sieht danach aus, dass es hier so ist. Dass sich das 4GB große
Image auf 6,3 MB komprimieren lässt ist ein eindeutiger Hinweis darauf.
Hier gibt es mehr dazu:
https://de.wikipedia.org/wiki/Betriebsmodus_%28Kryptographie%29> - 2 Durchläufe des identischen Klartextes mit gleichem Schlüssel ergeben> 2 völlig verschiedentlich aussehende Ergebnisse (dank 'IV' o. 'Salt')
Den Initialisierungsvektor (IV) gibt es beim ECB-Modus nicht.
> Aber xor sollte die Entropie nicht ändern - also doch lzma o.ä. kompr.?
Doch. Ein XOR mit mit einer Zufallsfolge, oder einer Pseudozufallsfolge,
wie sie beim Verschlüsseln vorkommt, erhöht die Entropie auf ihr
Maximum.
Habe mir heute mal in Ruhe den Trace von knochi angeschaut.
Ich klasse, was da alles wiederzufinden ist.
Der TM lässt sich erst die Chip-Informationen ausgeben inkl.
Seriennummer! Darunter seltsamerweise den Hersteller und Produkt-String
die ihm eigentlich egal sind.
Darauf ließt erst die ersten 16KB (0x00-0x4000), dann springt er ans
Ende der Daten und ließt da die letzten 4KB (0x638000-0x639000). Danach
ließt er die 12KB davor (0x635000-0x638000) und anschließend die 8KB vor
denen (0x633000-0x635000).
Ich denke, das in den ersten 16KB die Datenlänge und der Splashscreen
des Buches gespeichert ist. Die 4KB am Ende wird wohl der Hash sein.
Warum er anschließend im Nullen Bereich (am Ende der Daten) rumließt
verstehe ich nicht (erst 24KB, dann 82KB).
Darauf ließt er mal hier, mal da Datenblöcke ein:
0x625000 - 0x629000 16KB
0x629000 - 0x631000 32KB
0x631000 - 0x633000 8KB
0x5E9000 - 0x5ED000 16KB
weiter bin ich noch nicht.
Hmmm...die Pausen zwischen den Lesezugriffe sollten Aufschluss darüber
geben, wann knochi auf dem Display was gedrückt hat. Schaue ich mir
morgen an...
Alexander Schmidt schrieb:> [...]> Das stimmt so nicht. Beim "Electronic Code Book Mode" (ECB-Modus) werden> gleiche Eingangsdaten durchaus in gleiche Ausgangsdaten verschlüsselt.
Du hast recht - das hatte ich mehr oder weniger nicht beachtet - nach
dem Motto 'so bloed koennen sie doch nicht gewesen sein' ;)
In dem genanntem Wiki Artikel steht dann auch "Von der Verwendung des
ECB-Modus wird daher abgeraten, es sei denn, es soll nur einmal ein
einziger Nachrichtenblock verschlüsselt werden."
Ist aber von mir bloed gewesen, sowas gleich auszuschliessen - diese
Moeglichkeit also weiter im Hinterkopf behalten.
Da wollte ich nun mal nachbohren was FreeScale denn genau implementiert
hat - bin aber nicht so wirklich schlau geworden, schnell und grob so:
- sie haben 1280 bit "einmal-schreib-speicher" um Seriennummern o.
Schluessel abzulegen
- Sie haben einen integrierten 'Co-Proz' der Sicherheitsfeatures bietet
um folgendes zu ermoeglichen:
"Read-only unique ID for Digital Rights Management (DRM) algorithms,
Secure boot using 128-bit AES hardware decryption, SHA-1 and SHA256
hashing hardware, High assurance boot (HAB4)"
Der max 10Schluessel fassende 1xSchreibspeicher macht Sinn um Schluessel
zum entschl. des IC302 abzulegen. Aber die Rezeptchips? Sollte das
AES128b sein, und der Schluessel auftauchen, wuerde nichtmal ein
FirmwareUpdate das Problem loesen koennen - scheint mir riskant...
Laesst die Hoffnung das sie im OS irgendwo rumliegen koennten ;) (die
stirbt ja bekanntlich ... ;) )
> Und> alles sieht danach aus, dass es hier so ist. Dass sich das 4GB große> Image auf 6,3 MB komprimieren lässt ist ein eindeutiger Hinweis darauf.
Das ist ein Hinweis dessen Konsequenzen ich bisher ausser acht gelassen
hatte - danke!
Will ich einzelne Teile eines verschl. Ganzen herauspicken, ist ECB
tatsaechlich eine angenehme Moeglichkeit (aber nicht die Beste). Will
heissen, das wenn ich nicht alles einlesen will, sondern in der Mitte
anfangen, ist ECB besser als Verfahren, bei denen man sich durchhangeln
muss.
Soweit ich das aber ueberblicken kann, hilft das zwar nicht den
Schluessel zu erlangen, aber vielleicht den Code zu brechen ;)
Gleiches wuerde immer gleich kodiert werden. Sind die Bloecke klein
genug, kann man etwa die Milch aus Rezept 1 in Rezept 4 packen :D - man
muss nur finden wie der kodierte Block Milch aussieht...
>>> - 2 Durchläufe des identischen Klartextes mit gleichem Schlüssel ergeben>> 2 völlig verschiedentlich aussehende Ergebnisse (dank 'IV' o. 'Salt')>> Den Initialisierungsvektor (IV) gibt es beim ECB-Modus nicht.>>>> Aber xor sollte die Entropie nicht ändern - also doch lzma o.ä. kompr.?>> Doch. Ein XOR mit mit einer Zufallsfolge, oder einer Pseudozufallsfolge,> wie sie beim Verschlüsseln vorkommt, erhöht die Entropie auf ihr> Maximum.
Ich meinte einfaches XOR statt verschluesseln - sowas wie "Kochbuch XOR
Seriennummer". Fuege ich der Seriennummer noch einen Zufallswert hinzu,
erhoet sich natuerlich die Entropie - da hast du vollkommen recht. Was
ich allerdings meinte, ist das die beobachtete Entropie wiederum gegen
einfaches XOR spricht.
Bin vorhin hierrueber gestolpert - etwas OT, aber mal 'ne semi-lustige
Anwendung des TM:
http://www.modernmummymayhem.com/2013/04/thermomix-helped-clean-couch/
LG,
-K
P.S.: @Carlos - merci! Ich hatte ebenfalls schon das Rueckwaertslaufen
gesehen, aber nicht beachtet das ein Block 2048 Bytes sind, und vorne
bei 0x0cXX rumgewuehlt, und mich gefragt was er da denn wieder will...
Aber watt'n 'Rauschen' bevor das eigentliche losgeht... Bist du aus dem
'Get TOC' schlau geworden?
P.P.S: Wenn man die Features des SoC sieht, fragt man sich wozu
eigentlich noch den Atmel? Aber das Projekt fuer uebernaechstes Jahr
steht schon: Hack den TM5! Der Soc hat soviele Zusatzfeatures, das man
bloed waere ihn nicht voll in die Heimautomation zu integrieren :P
Aber Spass beiseite - da war (auch fuer unser Model) eine 10/100Mbs Eth.
Schnittstelle - und eine Warnung: die Datenports des USB koennen max.
24h lang 5V Level vertragen - max war glaub' mit 3.6V angegeben...
Kevin K. schrieb:> Will ich einzelne Teile eines verschl. Ganzen herauspicken, ist ECB> tatsaechlich eine angenehme Moeglichkeit (aber nicht die Beste). Will> heissen, das wenn ich nicht alles einlesen will, sondern in der Mitte> anfangen, ist ECB besser als Verfahren, bei denen man sich durchhangeln> muss.
Man muss sich bei keinem Modus durchhangeln, im Sinn von alle Daten
einlesen um Daten vom Ende zu erhalten. Beim "Cipher Block Chaining
Mode" und "Cipher Feedback Mode" muss man zwei verschlüsselte Blöcke
einlesen. Beim "Counter Mode" nur einen, ebenso beim "Output Feedback
Mode". Wobei bei letzterem die Verschlüsselungsfunktion so oft berechnet
werden muss, wie die Zahl der vorhergehenden Blöcke.
Bei typischen Blöcken von 128 Bit oder 256 Bit und einer Gesamtlänge von
hier nur 8 MB ist dies kein Problem, das wären 64 mal die
Verschlüsselungsfunktion, die hier sogar in Hardware implementiert ist.
> Gleiches wuerde immer gleich kodiert werden. Sind die Bloecke klein> genug, kann man etwa die Milch aus Rezept 1 in Rezept 4 packen :D - man> muss nur finden wie der kodierte Block Milch aussieht...
So ist es. Das ist auch ein Ansatzpunkt.
> und eine Warnung: die Datenports des USB koennen max. 24h lang> 5V Level vertragen - max war glaub' mit 3.6V angegeben...
Das mit den 24 h halte ich für ein Gerücht. Solche langen Angaben
betreffen meist nur Elektronenmigration, da passiert bei 100 h auch noch
nicht viel.
Viele Grüße,
Alexander
PS: Bitte kürze beim zitieren mehr.
Alexander Schmidt schrieb:>>[...] kann man etwa die Milch aus Rezept 1 in Rezept 4 packen :D - man>> muss nur finden wie der kodierte Block Milch aussieht...> So ist es. Das ist auch ein Ansatzpunkt.
Da hier jemand vor einer Weile eine franz. Version eines KB erwähnte -
wäre das evtl. schon der erste Ansatz - angenommen Texte sind
verschieden aber die Steuerbefehle gleich - mit Glück sind sie weit
genug von einander entfernt um sie auseinander halten zu können...
Versuch wär's Wert - wenn ich vorherige Posts korrekt verstanden habe,
hätten wir durch den USB Mitschnitt schon Stellen an denen konkret
Rezepte stehen...
>> [...] die Datenports des USB max. 24h 5V> [...] da passiert bei 100 h auch noch nicht viel.
Das Datenblatt hatte max. 3,6V für USB-Data angegeben, und dann mit *
auf die 24h bei 5V hingewiesen - wollte nur nicht das jemand da böses
erlebt. Sie hatten auch explizit darauf verwiesen, das die im SoC
integrierten A/D Wandler für die Dauer der 5V am USB evtl. unkorrekte
Ergebnisse liefern.
Konnte mich zudem an Warnungen zu Port CN602(?) erinnern, dort einfach
USB anzuklemmen. Anscheinend sollte man an diesem Gerät aber nicht
einmal mit 5V an den echten USB Port gehen (oder zumindest nicht über
Nacht stecken lassen) - ich würde also auf keinen Fall den vermuteten
Debugport 1:1 mit USB verbinden, sondern tatsächlich warten bis jemand
beim Booten einen Oszi dran hatte.
Irgendwie müssen die da geschummelt/gepennt haben - USB sollte
eigentlich min. 4,4V und höchstens 5,25V vertragen.
> PS: Bitte kürze beim zitieren mehr.
Werde es versuchen - schon alleine weil ich irgendwie das Gefühl habe,
hier immer ganze Tapeten oder Romane zu schreiben - hoffe ich nerve euch
nicht (zu sehr?) damit...
VlG,
-K
Carlos B. schrieb:>> Bist du aus dem 'Get TOC' schlau geworden?
Ich hatte irgendwie öfter als vermutet einen 'get table of contents/...'
(TOC und ein paar weitere Arten von Inhaltsverz. waren in dem SCSI-Cmd
genannt - HDD,Speicher,...) gesehen, aber leider auch kein einziges mal
ein brauchbares Listing als Antwort gesehen. Evtl. waren das jeweils für
HDD/CDFS um das richtige zu suchen... aber irgendwie doch ein paar mehr
als man erwartet hätte... Schien mir jedenfalls so.
Kevin K. schrieb:>>> [...] die Datenports des USB max. 24h 5V>> [...] da passiert bei 100 h auch noch nicht viel.> Das Datenblatt hatte max. 3,6V für USB-Data angegeben, und dann mit *> ...
Dies gilt nur für die Datenports, nicht für die USB Versorgungsspannung.
Die Datenports D+ und D- am USB sollten immer zwischen 3,0V und 3,6V
liegen. Hier ein Zitat vom Datenblatt des ATmega32U4:
"To comply with the USB Electrical specification, USB buffers (D+ or D-)
should be powered within the 3.0 to 3.6V range"
Kevin K. schrieb:>>> Bist du aus dem 'Get TOC' schlau geworden?
Oh, mir ist gerade aufgefallen, das ich entweder andere Einstellung habe
als ihr, oder ihr habt das falsche Programm. Bei mir sehen die Pakete
ganz anders aus als im obigen Screenshot.
Ich benutze das "USB Mobile HS / USBMobile T2 Protocol Suite" aus dem
Link von knochi's Post.
Von SCSI Befehlen sind bei mit keine Spur.
Carlos B. schrieb:> [...]> Von SCSI Befehlen sind bei mit keine Spur.
Das sind bestimmt die Einstellungen. Ich glaube rechts oben kamen die
her. Die Einstellungen das Hintergrundrauschen auszublenden hilft auch -
das sind die 'Hide NAKs' o. 'Hide Chirps' - die Kästchen in denen sich
kleine gelbe Kreuze unten rechts in rote wandelen, nach dem "2 only".
Sollten die kleinen Icon-Schalter über dem Dump fehlen, kann man sie
auch unter View finden.
Ich hoffe das die Bytes die im 'Stacking view' zusammenfassend angezeigt
werden, auch wirklich in einem Rutsch gelesen werden. Es sieht nach
einem gewissen Muster aus, wo erstmal 4-8K gelesen werden, denen dann
meist ein oder mehrere grössere Blöcke folgen (bis zu 120K). Wenn der
Data-View an ist, kann man die Daten aus so einem Schwung auch einfach
in einem an hexdump ähnlichem Format speichern. Da kommen dann Dateien
wie im letztem Screenshot bei rum. Ich hatte
lesenummer-groesse-adresse-zeit immer als Namen genommen. Wobei die
Adresse mit Vorsicht zu genießen ist - meine olle Büchse mit dem
Virt-Win hat einen üblen Font in dem Tool - da sind 8, B und so ziemlich
blöd...
Hallo zusammen,
ich habe ein Feature in der USB-Prot-View-Soft gefunden, die sich
'Decoded fields view' nennt - dort werden die bits in den SCSI Paketen
recht gut aufgedröselt.
Diese gehäuften 'Get TOC's waren mir ja schon vorher mal als seltsam
aufgefallen - mit den SCSI-decoder sind sie noch seltsamer geworden.
Wenn ich mich recht entsinne war das ausgehendes Jahrtausend eine
Methode CDs zu schützen - einfach mehrere (un-)gültige TOCs anlegen, und
lesen - wenn's Fehler gab -> orig, bei fehlerfreiem Müll lesen -> Kopie
oder so ähnlich.
Evtl. ist das folgende nur heiße Luft, und darauf zurückzuführen, das
die Controller nur ein CDFS haben statt auch noch 1 HDD & 1 sec.HDD
haben, aber im Prinzip meldet der Chip 3 mögliche Geräte auf 'Request
Mode Sense' oder 'Get Config' anfragen (alles so um Zeitstempel 12sec -
transf#22 nach transa#58210). Ich glaube 'Get Config' liefert nackte
Bytes, nämlich 12, 24 o. 32 - während der 'mode sense' das zwar
ausschmückt, aber im Grunde die gleichen Bytes aneinander reiht.
Der Controller liefert zunächst 3 'Beschreibungen' - Nummer, LBAs und
deren Größe. Die scheinen allesamt erstmal Schrott - da ich ins Bett
will, hier meine Notizen:
1
Descriptor 1:
2
Byte #Block Length Size
3
MSB 180707 772923 12.297.039.385.845 12,2TB
4
LSB 070718 232977 1.061.321.385.000 1TB
5
6
2A 180707 71 772923
7
8
9
Descriptor 2:
10
Byte #Block Length Size
11
MSB 140100 002114 11.101.344.768 11GB
12
LSB 000114 142100 364.090.368 364MB
13
14
21 140100 08 002114
15
16
17
Descriptor 3:
18
Byte #Block Length Size
19
MSB 002114 140000 11.099.176.960 11GB
20
LSB 142100 000014 26.383.360 26MB
21
22
00 002114 21 140000 (00 00)
23
24
Reply 1 TOC of Track0?
25
00 120101
26
00 140100
27
00 000200
28
29
Reply 2 TOC of Track1?
30
Illegal...
31
32
Resulting Re-request possibly introd. Descr0:
33
MSB 000500 00000A 12.800 12K
34
LSB 000500 0A0000 838.860.800 838MB
35
36
70 000500 00 00000A
37
38
changes Descr. 1 to:
39
00 000000 20 000000
40
leaving Descr. 2&3 as are, minus trailing 2 0x00
Die Zahlenfolge unter einem 'Gerät' (Descriptor) ist jeweils so, wie sie
im Dump steht. Interessant ist hier die Zahl zwischen Anzahl der Blöcke
und Blockgröße - das Feld ist angeblich 'reserved' und sollte '0'
betragen. Das erste Byte ist jeweils der 'mode sense' (=ID?).
Interessant scheint hier, das die Werte irgendwie alle zwar Hex-Bytes
sind, aber keine Buchstaben darin vorkommen (A-F).
Er versucht dann nacheinander(?) den Inhalt der 'Geräte' zu lesen - das
erste Ergebnis führt wiederum nur zu Ziffern.
Das 2. platzt erwartungsgemäß. Danach fängt der Spaß an, kurz und
einfach: der Fehler führt zu reset, nach 1. reset wird vorne ein Gerät
eingefügt, und eines geändert (0 Blöcke mal 0 Größe) aber wiederum mit
'illegaler' Zahl dazwischen. Das Spiel geht dann weiter - TOC lesen,
reset, mal mehr, mal weniger Geräte,... bis es sich dann irgendwo vor
dem 'XOR Write' bei ca. 13s Zeitstempel einpendelt, und danach alles
glatt läuft - richtige Größe, komisches springen beim lesen - was Carlos
weiter oben beschrieben hat.
Vielleicht Zufall, aber 4 'Phantasie' Geräte sind 32Byte - oder 2
Schlüssel oder 2 Werte die XOR 1 Schlüssel ergeben - es könnte auch
sein, das die Anzahl der Geräte am Ende ein vielfaches von 32Byte
ergeben...
Springt jemandem da was ins Auge? (Meine sind schon halb zu... ;) )
-K
Moin,
leider ist das ja ziemlich eingeschlafen hier.
Ich habe mir den weiter oben verlinkten USB Stick (Silicon Power Touch
801 8GB Speicherstick USB 2.0) von Amazon bestellt. Dieser hat
tatsächlich den SM3257ENLT als Chip verbaut.
hallo zusammen,
Ich discution dieses Thema, da es sehr interresant sein, aber ich frage
mich fragt MEHRERE ca Ich bin französisch, und ich versuche zu
übersetzen, was nicht offensichtlich ist auch bei Google-Übersetzung
allem etwas technisch.
-kann haben actuelement MEHRERE Clef Rezept eine Taste, die verhindern
würde mich beschäftigt viele Schlüssel gestellt wird alles sehr
praktisches Rezept auf derselben Taste es.
-sait actuelement irgendwelche leeren Schlüssel Kauf 4 oder 8 GB?
- Möglicherweise müssen Sie ein Schaltbild, um erzeugt ein USB-Laufwerk
wie diese haben?
https://www.mikrocontroller.net/attachment/247694/CIMG1688.JPG
-Muss Ich installierte Linux zwingend, um den Schlüssel Rezept TM
extrahieren oder kann ich es in Win 7?
vielen Dank für Ihre reponce
Hallo zusammen,
habe seit letzter Woche auch einen Thermomix TM5 und wollte einfach mal
nachfragen, obs inzwischen Neuigkeiten zur Verschlüsselung der Chips
gibt.
Ich hoffe, dass der Thread nicht eingeschlafen ist, sondern es noch
aktive Versuche gibt, eigene Chips zu programmieren.
Guten Abend,
meine Frau hat heute ihren Thermomix bekommen und mir gleich die Frage
gestellt, ob es möglich ist eigene Rezepte einzuspeichern. Da habe ich
mich an diesen Thread erinnert, den ich mal aus Interesse gelesen habe.
Gibt es mittlerweile Fortschritte? Es wäre ein gutes Feature :-)
Hallo,
ich habe nun seit einer Woche auch einen TM5.
Folgendes zu mir:
- ich kann Elektro
- ich kann Krypto
- ich kann nicht gut (PCs) programmieren
Ich habe mich hier durch den Thread gewurschtelt und festgestellt, dass
die Aussagen Krypto betreffend - ich will niemanden beleidigen - aber
fast alle falsch sind.
Das ganze Halbwissen hier aufzugreifen und richtigzustellen ist mir
nicht möglich, aber ich würde gerne, sofern sich jemand findet der
mitarbeitet die Sache mal professioneller angehen.
Wie gesagt, ich kann Krypto, weil ich das studiert habe und seit 2005
beruflich mache. Zusammen mit jemandem der programmieren kann, sollte
man schon ein gutes Stück weiter kommen.
Ich selber habe mal eine Datei (ich glaube das französische Kochbuch
wars) hier heruntergeladen und angefangen mit meinen schlechten
PC-Programmierkenntnissen diese zu analysieren. Zuerst habe ich ein
Muster gesucht, das sich wiederholt. Dabei bin ich darauf gestoßen, dass
die Bytefolge: c8 85 b8 03 12 24 b6 67 7a 7b fe 2c eb 87 05 76 genau
224200 Mal vorkommt.
Das Erstaunliche dabei ist, dass der Abstand zwischen dem 1, und 2.
Vorkommen und zwischen dem 3. und 4. Vorkommen und so weiter immer genau
8192 (0x2000) Byte beträgt. Die anderen Abstände zwischen 2. und 3.
Vorkommen, und zwischen 4. und 5. Vorkommen sind immer unterschiedlich.
Hier die ersten und die letzten Vorkommen, damit Ihr seht, was ich
meine:
Gesucht: c8 85 b8 03 12 24 b6 67 7a 7b fe 2c eb 87 05 76
Gefunden ab + Abstand + Abstand
Adresse: + Hex + Dec
------------+---------+---------
0x0080c44c; 80c44c; 8438860
0x0080e44c; 2000; 8192
0x00810c5e; 2812; 10258
0x00812c5e; 2000; 8192
0x0081526b; 260d; 9741
0x0081726b; 2000; 8192
0x00821f55; acea; 44266
0x00823f55; 2000; 8192
0x00824f3b; fe6; 4070
0x00826f3b; 2000; 8192
0x00828a39; 1afe; 6910
0x0082aa39; 2000; 8192
0x0083ce5a; 12421; 74785
0x0083ee5a; 2000; 8192
0x0085d805; 1e9ab; 125355
0x0085f805; 2000; 8192
0x00860077; 872; 2162
0x00862077; 2000; 8192
0x008658c0; 3849; 14409
0x008678c0; 2000; 8192
...
0xeffec1ce; 1f75; 8053
0xeffee1ce; 2000; 8192
0xefff1e56; 3c88; 15496
0xefff3e56; 2000; 8192
0xefff4409; 5b3; 1459
0xefff6409; 2000; 8192
0xefff931c; 2f13; 12051
0xefffb31c; 2000; 8192
0xefffd680; 2364; 9060
0xeffff680; 2000; 8192
Bevor ich jetzt anfange Krypto zu erklären, stelle ich erstmal die Frage
ob hier jemand in der Lage und willens ist, zusammen mit mir das Problem
anzugehen, dann würde ich mal aufschreiben, was man versuchen könnte.
In erster Linie, würde man alle Muster finden wollen. Als ich angefangen
habe, hoffte ich, dass es 8196 Byte gibt, die sich immer wiederholen und
nur am Anfang etwas anderes steht, aber das scheint ja nicht der Fall zu
sein.
Schritt 1 wäre daher zu klären: Welche Bytefolgen wiederholen sich immer
wieder, wo sind die und wie oft wiederholen sie sich und was bleibt über
an Daten, die nur einmal vorhanden sind.
Wenn sich jemand meldet, erkläre ich auch die verschiedenen
Kryptoverfahren und wieso einige nicht in Frage kommen (z.B.: AES-ECB)
Ach so, eventuell kann mir jemand sagen, welche Images es schon alles
gibt und wo man die findet. Zudem könnten Images von einem leeren 4GB
Stick, der mit unterschiedlichen Dateisystemen formatiert wurde auch
weiterhelfen.
Grüße aus Bochum, wo es die beste Currywurst gibt,
Dario
Dario C. schrieb:> Folgendes zu mir:> - ich kann Elektro> - ich kann Krypto> - ich kann nicht gut (PCs) programmieren
[...]
Klingt doch gut. Soll das per PN ablaufen oder darf da jeder mitlesen?
Ich möchte nicht unbedingt der auserwählte Programmierer sein (außer es
meldet sich sonst niemand), aber interessieren tut es mich doch sehr was
du zu erzählen hast.
(ich weiß, ist OT) aber wie zum Teufel kann man "Krypto" können, aber
nicht programmieren?
naja, egal: was ist dein (erstes) Ziel?
herausfinden welche Verschlüsselung es ist (ausgeschlossen hast ja schon
ein paar)?
nachdem der (teil) des Schlüssel wohl im Thermomix selber ist, wird
>Schritt 1 wäre daher zu klären: Welche Bytefolgen wiederholen sich immer>wieder, wo sind die und wie oft wiederholen sie sich und was bleibt über>an Daten, die nur einmal vorhanden sind.
muss man, wenn man "Krypo kann" nicht auch schon mal was von B-Tree,
Hashtabelle oder ähnlichem gehört haben? (oder verwechsle ich hier
verschlüsseln und komprimieren..) auf jeden fall wäre es damit wohl
schnell gelöst, und da muss man auch nix selbe erfinden, gibts fix
fertig für alle sprachen.. auch wenn ich den sinn dahinter nicht sehe..
>Das Erstaunliche dabei ist
wirklich? ein Header-Satz und dann eine Daten-Satz, wieder ein Header,
wieder Daten.. ja, sehr ungewöhnlich...
Ein Ziel könnte ein Konverter-Programm sein, welches eine
Rezepte-Datenbank in ein Thermomix-USB-Image konvertiert, was dann am
Thermomix verwendet werden kann.
Vom Prinzip her kann man eigene Thermomix-Rezepte in "jeder"
Rezeptverwaltung pflegen. Daher sollte man hier auf eine offene
Rezeptverwaltung mit Exportmöglichkeiten setzen. Das Export-Format ist
dann Grundlage für den Konverter.
Bisher kenne ich nur die üblichen Thermomix Online-Portale, die aber
keine Exportfunktion unterstützen. Ich kann mich diesbzgl. aber mal
umsehen, welches Format da geeignet erscheint. Dann braucht man sich um
einen Rezept-Editor nicht weiter kümmern. Grundlage wäre das
Export-Format.
Projektziele wären dann beispielsweise ein TM-USB-Adapter (Hardware) und
ein Konverter (Software). Für die Hardware sollten wir hier genug Leute
finden. Ein Layout würde ich auch erstellen können, wenn die Schaltung
klar ist.
Bevor hier angefangen wird über die Entwicklung von "Konvertern" oder
Ähnlichem zu sprechen müssen erstmal die Probleme gelöst werden die
Rezepte von dem Chip zu lesen, eigene Rezepte im selben Format zu
schreiben und sie vor allem so auf einen Chip zu schreiben, dass sie vom
TM 5 akzeptiert werden.
Wenn das alles "manuell" funktioniert, dann ist der richtige Zeitpunkt
um über die Entwicklung von "Konvertern" nachzudenken, vorher ist es nur
vergeudete Zeit und Ablenkung im Thread.
>Ein Ziel könnte ein Konverter-Programm sein
das ist schon klar,
ich meinte eher was das ziel ist, den USB-Stick (weiter) zu untersuchen,
wo doch für jemanden der "krypto kann" klar sein dürfte, dass es ohne
Daten vom Thermomix (key), zu nix führen kann...
Robert L. schrieb:>>Ein Ziel könnte ein Konverter-Programm sein> das ist schon klar,
Das ist ja auch schon mal was.
Die Rezepte haben ja Namen, die man auf dem Display sehen kann. Wäre
dies nicht ein guter Ansatzpunkt?
Annahmen:
1) Rezepte sind zu Datensätzen zusammengefasst, wobei ein Datenfeld den
Rezeptnamen als Inhalt hat.
2) Datenfelder sind durch Trennzeichen getrennt. (Welche?)
3) Datensätze sind in einer Reihenfolge (z.B. alphabethisch) abgelegt
Ansatz:
Länge der Datenfelder in den Datensätzen mit den Längen der Rezeptnamen
vergleichen.
Sorry, bin kein Krypto. Mir fielen noch weitere Ansätze ein, falls das
was hergibt. Sicherlich muß man erstmal Verschlüsselung und Kompression
klären, da muß ich aber passen.
Hallo Zusammen,
t'schuldigung, jetzt ist es doch etwas länger geworden:
@Fabian O. (fabiiian)
> Soll das per PN ablaufen oder darf da jeder mitlesen?
Ich bin eigentlich immer für öffentlich.
@Robert L. (lrlr)
> (ich weiß, ist OT) aber wie zum Teufel kann man "Krypto" können,> aber nicht programmieren?
Zum einen liegt es an meinen Qualitätsansprüchen an mich selbst zum
anderen an meiner Erfahrung. Ich habe einige Zeit Krypto auf
eingebetteten Systemen programmiert (8 Bitter und so) und dann war ich
lange Projektleiter, jetzt gebe ich nur noch Schulungen zu IT-Sicherheit
(z.B. im Linuxhotel).
C Programmieren geht gerade so, und ich habe mich mit meine obrigen
Analyse schon schwer getan, hier mein (schlechter) Code.
> egal: was ist dein (erstes) Ziel?> herausfinden welche Verschlüsselung es ist
Naja, sagen wir mal so: Zuerst herausfinden OB es eine Verschlüsselung
ist.
Dazu bräuchte man idealerweise den Plaintext, den wir nicht haben.
Es handelt sich bei dem Chip ja um ein Blockdevice, auf das (da nehme
ich mal kühn an) nur lesend zugegriffen wird. Wollte ich das
verschlüsseln hätte ich sowas gemacht, wie es auch Truecrypt macht. Also
so, dass man gar kein einziges Byte Klartext (auch keinen Header) mehr
hätte.
Eine weitere Annahme ist, dass der Chip ja von allen Thermomixen gelesen
werden muss, also die Information, die man benötigt um einen Chip zu
entschlüsseln, muss in jedem Thermomix drin sein. Teile können natürlich
auch auf dem Chip sein.
Kommen wir zu der Frage: Warum ist das Verschlüsselt.
1.) Weil niemand sehen soll, was da drauf steht.
2.) Als Kopierschutz
Als Kopierschutz wäre aber quatsch, denn wenn man den Chip kopiert, kann
man die verschlüsselten Daten mit kopieren. Ein Kopierschutz kann daher
nur funktionieren, wenn man nicht alles kopieren kann (z.B. die
Seriennummer)
Dann würde man das aber richtigerweise mit einer kryptographischen
Signatur lösen. Etwas nach der Art: "Signatur von Seriennummer des Chips
erzeugt mit dem Private Key vom Hersteller" Der TM5 braucht zum Prüfen
nur den Public Key.
Das bedeutet, selbst wenn ein Angreifer alle Chips und alle TM5 hätte,
könnte er immer keine Chips kopieren, wenn er die Seriennummer des Chips
nicht kopieren kann.
Typische Fehler sind dann zum Beispiel: Man verschlüsselt den Chip mit
einem kryptographischen Schlüssel, der aus der Seriennummer des Chips
und einem weiteren Geheimnis (das im TM5 gespeichert ist) gebildet wird.
Wenn in dem Fall ein Angreifer dieses Geheimnis aus EINEM TM5
rausbekommt, kann er munter Chips erzeugen, die von allen TM5 angenommen
werden.
Aber wie ich schon schrieb, ob es sich überhaupt um eine Verschlüsselung
handelt ist noch nicht gesichert.
> muss man, wenn man "Krypo kann" nicht auch schon mal was von B-Tree,> Hashtabelle oder ähnlichem gehört haben? (oder verwechsle ich hier> verschlüsseln und komprimieren..)
Ich kenne vollständig balancierte Bäume und auch Hashtabellen aus der
Datenbanktheorie, wie uns das hier weiterhelfen sollen müsstest Du mir
aber erklären.
> auch wenn ich den sinn dahinter nicht sehe..
Die einzige Möglichkeit, die ich sehe, ohne den TM5 zu öffnen ist es
Paare aus Klartextdaten und den dazugehörigen verschlüsselten Daten zu
finden um dann zu klären, wie "verschlüsselt" wird. Dazu sollte man
klären:
1. Sind die Daten auf unterschiedlichen Chips der selben Kochbücher
identisch?
2. Was sind die Klartextdaten, oder was könnten die sein?
Wenn sich unterschiedliche Blöcke wiederholen, nehme ich an,
dass sich die Klartextdaten auch wiederholen. Zusammen mit weiteren
Infos, zum Beispiel wie das Dateisystemen ausgebaut ist, könnte ,
man dann darauf kommen, was die Klartextdaten zu diesen Blöcken sind.
Und dann kann man mal überlegen, wie das "verschlüsselt" wurde
> wirklich? ein Header-Satz und dann eine Daten-Satz, wieder ein Header,> wieder Daten.. ja, sehr ungewöhnlich...
Ich finde es ungewöhnlich, dass 224200 Datensätze ein 399 Seiten dickes
Kochbuch abbilden? Und warum kann 7zip diese 224200 Datensätze auf 7MB
packen?
> ich meinte eher was das ziel ist, den USB-Stick (weiter) zu untersuchen,
ACK
> wo doch für jemanden der "krypto kann" klar sein dürfte, dass es ohne> Daten vom Thermomix (key), zu nix führen kann...
Wie ich oben schon schrieb, das ist nicht unbedingt der Fall.
Wenn ich es designed hätte könntest Du auch den Thermomix untersuchen
und
würdest trotzdem nicht zum Ziel kommen. Die könntest dann nur "gewinnen"
wenn:
a) Du es schaffst die Seriennummer mit dem Chip zu kopieren, aber dann
kopierst Du auch immer meine Kochbücher und kannst keine eigenen
Rezept-
Chips erstellen.
b) Du die Daten in jedem Thermomix änderst, der Deine Chips akzeptieren
soll.
Das wurde zum Beispiel einmal bei einen Angriff auf die PS3 so
gemacht.
Ein USB-Dongle hat einen Buffer-Overflow-Error im Gerät ausgelöst und
so eigenen Code eingeschleust, der das Betriebssystem verändert und
so den Kopierschutz entfernt hat.
Aber, aus Erfahrung weiß ich, dass es selten der Fall ist,
das Krypto richtig genutzt und implementiert wurde,
die Chancen stehen daher nicht schlecht.
Ein Beispiel, wie man es hätte falsch machen können:
Verschlüsselt wird jeder Block mit AES im CounterMode [1] als Nonce wird
die Seriennummer des Chips verwendet und der Schlüssel ist im TM5
gespeichert.
Dann könnten wir einen Chip schnell entschlüsseln, wenn wir den Klartext
von einem einzigen Block kennen würden.
Ich hoffe ich konnte einiges klären.
Zusammenfassend: Der erste Schritt ist möglichst viele Informationen zum
Klartext zu bekommen, damit man ein paar Plain-/Chiphertext Paare
erhält, um dann zu überlegen, ob und wie da verschlüsselt wurde.
Grüße
Dario
[1] https://de.wikipedia.org/wiki/Counter_Mode
@Clyde B. (clyde_b)
> Die Rezepte haben ja Namen, die man auf dem Display sehen kann.> Wäre dies nicht ein guter Ansatzpunkt?
nicht wirklich, denn wo steht "Risotto" denn genau auf dem Chip.
Ich meine zielführender ist es Infos über die mögliche Struktur darunter
zu finden und zu wissen, welche Daten sich immer wiederholen.
Aber mit der Datenbank ist auch keine schlechte Idee, denn da steht ja
oben im Therad irgendwo, dann die folgenden Pakete zum Einsatz kommen:
> \unmodified_packages\libsqlite\sqlite3.c> \unmodified_packages\libsqlite\sqlite3.h
Also wird wohl eine sqlite Datenbankstruktur irgendwo zu finden sein.
Was ich übrigens vermisse ist sowas wie libopenssl, die würde man
nämlich brauchen, wenn man verschlüsseln will und nicht alles selber neu
programmieren will. Es sei denn man kauft sich was ein.
Dario
HiDario,
schön, dass sich hier wieder was tut.
Ich weiss nicht, wie intensiv du den thread gelesen hast, aber ich hatte
ja mal ziemlich zum Anfang USB Logs gezogen. Hier liesse sich
zumindestens eine Zuordnung von Datenblöcken zu einzelnen Informationen
herstellen.
Hast du auch gelesen, dass Chips bereits erfolgreich kopiert wurden?
Bis denne
Knochi
@David N-K (knochi)
> Ich weiss nicht, wie intensiv du den thread gelesen hast,
Sagen wir mal 2h lang habe ich gelesen.
> ja ich hatte ja mal ziemlich zum Anfang USB Logs gezogen. Hier liesse sich> zumindestens eine Zuordnung von Datenblöcken zu einzelnen Informationen> herstellen.
Das wäre der zweite Schritt.
> Hast du auch gelesen, dass Chips bereits erfolgreich kopiert wurden?
Nein. Wo steht das?
Dario
@Dario C:
>Als Kopierschutz wäre aber quatsch,
dass der schon erfolgreich kopiert wurde, hast wohl übersehen?
Beitrag "Re: Thermomix Rezeptchips">Plain-/Chiphertext Paare>erhält, um dann zu überlegen, ob und wie da verschlüsselt wurde.
gibt es wirklich (aktuelle) Verschlüsselungen die so schlecht sind dass
die so einen Rückschluss zulassen?
>Ich kenne vollständig balancierte Bäume und auch Hashtabellen aus der>Datenbanktheorie, wie uns das hier weiterhelfen sollen müsstest Du mir>aber erklären.
Kurzfassung:
du willst "identische Blöcke" finden, also wirst du erstmals die
minimale Länge eines solchen Blockes definieren müssen (z.b. 10
Zeichen),
jetzt gehst du die Datei, Zeichen für Zeichen durch, und schreib den
Aktuellen Wert (also aktuelles Byte + die nächsten 9) in die hashmap
z.B.
http://wiki.delphi-jedi.org/wiki/JCL_Help:TStringHashMap
dort kannst zu jedem (hash vom) String auch ein Datenobjekt ablegen (die
Anzahl)
dann die top10 ermitteln, das File nochmal von vorne durchsuchen und
immer wenn man auf einen der TOP10 stößt, die weiteren vorkommen
suchen..
IMHO müsste das funktionieren...
> Und warum kann 7zip diese 224200 Datensätze auf 7MB>packen?
vielleicht weil viel unnützer Müll drinnen ist, dutzendfach identisch,
falls jemand auf die Idee kommt, gleiche Texte suchen zu wollen.. ;-)
Dario C. schrieb:>> Hast du auch gelesen, dass Chips bereits erfolgreich kopiert wurden?> Nein. Wo steht das?
An mehreren Stellen. 1=1 Kopien sind kein Problem. Wichtig ist dabei nur
die SN des USB Devices nicht zu verändern. Ich wollte da mal ein paar
Dumps und SN Sammeln aber hat sich leider kaum jmd. beteiligt. Es hat
auch jmd. das Patent von Vorwerk gepostet, da steht einiges dazu drin.
Dario C. schrieb:> @David N-K (knochi)>>> Ich weiss nicht, wie intensiv du den thread gelesen hast,> Sagen wir mal 2h lang habe ich gelesen.>
OK das Material reicht wahrscheinlich für 2 Tage ;-)
>> ja ich hatte ja mal ziemlich zum Anfang USB Logs gezogen. Hier liesse sich>> zumindestens eine Zuordnung von Datenblöcken zu einzelnen Informationen>> herstellen.> Das wäre der zweite Schritt.
Dann sag Bescheid
>> Hast du auch gelesen, dass Chips bereits erfolgreich kopiert wurden?> Nein. Wo steht das?
Weiter oben. Scherz beiseite, müsste ich selber suchen. Im Wesentlichen
ging das so:
Man besorge sich einen USB Chip mit dem gleichen Controller und
konfiguriert den mit einem Herstellertool so, dass er aussieht wie der
TM Chip inkl. Seriennummer.
Dann noch das Image drauf und fertig.
Eigentlich sollte dann noch versucht werden, was passiert, wenn man die
Informationen im Controller verändert, um herauszufinden was für den TM
wichtig ist.
>> Dario
Hallo Dario
Wenn ich mich richtig erinnern kann stand im Patent auch drin, dass man
mit einem Rechner/Computer den Chip lesen/entschlüsseln kann ohne den
"Masterkey" zu kennen. Allerdings wird der Thermomix einen Chip nicht
anzeigen/akzeptieren, der nicht mit dem Masterkey
"verschlüsselt/erzeugt" wurde.
@Robert L. (lrlr)
>> Als Kopierschutz wäre aber quatsch,> dass der schon erfolgreich kopiert wurde, hast wohl übersehen?
stimmt, das habe ich übersehen.
Aber es bestätigt meine Aussage.
>> Plain-/Chiphertext Paare erhält, um dann zu überlegen,>> ob und wie da verschlüsselt wurde.> gibt es wirklich (aktuelle) Verschlüsselungen die so schlecht sind> dass die so einen Rückschluss zulassen?
Nein, aber oft werden aktuelle Verfahren falsch angewendet.
Beispiel 1: Die Leute lesen, dass die einzige mathematisch beweisbar
sichere Chifre das One-Time-Pad ist und implementieren das wie folgt.
Im Gerät ist ein 2048Byte Schlüssel, mit dem werden alle Blöcke
verschlüsselt. Das Fatale ist, dass sie den Algorithmus zwar korrekt
implementiert haben, Ihn aber falsch benutzen.
Siehe https://de.wikipedia.org/wiki/One-Time-Pad unter dem Punkt
"Mehrfachverwendung des Einmalschlüssels"
Beispiel 2: ECDSA Signaturen sind sicher. Aber man benötigt, im Laufe
der Signaturerzeugung eine Zufallszahl, die nicht geheim ist. Wenn man
zwei Signaturen erzeugt und für Beide die selbe Zufallszahl benutzt kann
ein Angreifer den Private Key berechnen und das System ist gebrochen.
Wenn Du jetzt sagst, dass niemand so doof ist, kann ich Dir versichern,
dass ein Spielekonsolenhersteller genau diesen Fehler gemacht hat, siehe
https://events.ccc.de/congress/2010/Fahrplan/attachments/1780_27c3_console_hacking_2010.pdf
Folie 122ff, besonders interessant der XKCD dazu: https://xkcd.com/221/
Nochmal im Klartext: Der Schlüssel liegt hochsicher irgendwo bei dem
Hersteller, er ist in keiner Spielekonsole gespeichert und nur weil die
den falsch verwendet haben, wurde er der Öffentlichkeit bekannt.
>> balancierte Bäume und auch Hashtabellen> du willst "identische Blöcke" finden, ....
Das was Du beschreibst ist aber nicht fertig, dass muss ich
programmieren
> jetzt gehst du die Datei, Zeichen für Zeichen durch, und schreib den> Aktuellen Wert (also aktuelles Byte + die nächsten 9) in die hashmap
Das ist eine Möglichkeit, aber das muss man eben programmieren, oder
hast Du ein fertiges Tool, was das kann? Ich tue mich schwer sowas "mal
eben" zu hacken.
> IMHO müsste das funktionieren...
Stimmt, auch wenn es bestimmt eleganter ginge, aber wie ich schrieb: ich
bin eben nicht der PC-Programmier-Guru. Ich habe noch nicht einmal eine
IDE installiert und musste mir für meine erste Analyse erstmal den gcc
installieren.
>> Und warum kann 7zip diese 224200 Datensätze auf 7MB>> packen?> .. unnützer Müll drinnen ist, dutzendfach identisch,
Wenn man jetzt weiss, was das im Klartext ist, dann sieht die Sache
schon besser aus.
> falls jemand auf die Idee kommt, gleiche Texte suchen zu wollen.. ;-)
Meine Erfahrung sagt, dass es normalerweise nicht so ist.
Dario
@Waldemar Heimann (vual)
> Interessant wäre es zwei verschiedene Kochbücher zu dumpen und den> "Blödsinn" zu vergleichen, evtl. Ist hier was identisches zu erwarten?
Interessant wäre es auch zwei gleiche Kochbücher zu dumpen und zu
vergleichen.
- Haben gleiche Kochbücher die selben Seriennummern?
- Ist der Inhalt ansonsten identisch?
Dario
Dario C. schrieb:> @Waldemar Heimann (vual)>> Interessant wäre es zwei verschiedene Kochbücher zu dumpen und den>> "Blödsinn" zu vergleichen, evtl. Ist hier was identisches zu erwarten?>> Interessant wäre es auch zwei gleiche Kochbücher zu dumpen und zu> vergleichen.> - Haben gleiche Kochbücher die selben Seriennummern?> - Ist der Inhalt ansonsten identisch?>> Dario
Ich würde gerne helfen, habe leider (noch) keine Aufnahme für den Chip.
Ich werde zuhause (bin bis Do. im Ausland) mal was basteln und
versuchen den Chip mit dd (nur MacOS) zu klonen. Hilft das weiter?
Waldemar H. schrieb:> Interessant wäre es zwei verschiedene Kochbücher zu dumpen und den> "Blödsinn" zu vergleichen, evtl. Ist hier was identisches zu erwarten?
Wurde schon weiter oben gemacht.
Die sind Identisch.
Selbst die Seriennummer des USB-Sticks.
Hallo
Wäre es nicht interessant mit einem Sniffer sich mal an die USB
Schnittstelle zu hängen?
Hatte das oft mit RS232 gemacht, da war das mit einem Y Kabel einfach.
Bin mir aber sicher das gibt's für USB auch?
Lg
Michael W. schrieb:> Hallo>> Wäre es nicht interessant mit einem Sniffer sich mal an die USB> Schnittstelle zu hängen?> Hatte das oft mit RS232 gemacht, da war das mit einem Y Kabel einfach.> Bin mir aber sicher das gibt's für USB auch?>> Lg
Ja das geht. Habe ich auch schon gemacht. Das Log und die Diskussion
findest du weiter oben im Thread.
Suche mal auf der Seite nach LeCroy
Bis denne
Knochi
Andere Frage:
Wenn es scheinbar nur darum geht die ersten paar Megabyte, VID, PID und
Seriennummer zu kopieren. Wie sieht es dann mit einem Teensy
https://www.pjrc.com/teensy oder einem Rubberducky
http://hakshop.myshopify.com/products/usb-rubber-ducky-deluxe aus? Wäre
das möglich, damit eine funktionsfähige Kopie zu erzeugen, an der man
dann einfach rumprobieren könnte, was passiert, wenn man einzelne Bytes
ändert.
Noch was: Hat irgendjemand schon mal eine Sammlung an solchen Daten in
der Art
Kochbuch | VID | PID | s/n | checksum(Byte0-xMB) | checksum(all)
angelegt?
Oder hat jetzt noch jemand eine Quelle für einen funktionierenden Stick?
Dario
Hallo miteinander,
ich habe jetzt die letzten zwei Tage damit verbracht hier mitzulesen und
zu begreifen was bisher passiert ist.
Ich selber habe keinerlei Erfahrungen im Bereich Code Knacken oder
tiefere Analysen.
Ich habe einige Ideen und Fragen zusammengesammelt:
1. Wisst ihr schon was genau in dem CDFS drin ist?
2. Ist der Bereich des CDFSs eventuell rein die SQLite DB?
=> wie beispielhaft / pseudocode dd if=sqlite.db of=/dev/cdfs
3. Gehen wir davon aus, das die SQLite DB die Rezepte beinhaltet - wäre
es dann nicht möglich den Bereich der DB soweit einzugrenzen - sagen wir
64MB - (habe gelesen das jemand den Stick auf 1GB beschränkt hat),
sodass wir - auch wieder aufgegriffen eine Plaintextatacke starten
könnten auf den Header Descriptor einer SQLite Datenbank (Verkleinerung
auf 64MB um die Analyse kleiner zu halten)
4. Ich habe mittlerweile aufgenommen, das sich datenblöcke mit
anscheinend Nutzdaten wiederholen -> könnte dies das "Trennzeichen" bzw
der Beginn der Spalte darstellen?
5. Interessant fand ich auch den Ablauf bei der erstmaligen
Initialisierung des Kochbuchs erste und letzte paar KB - danach die
jeweiligen davor - Können wir dabei davon ausgehen das die ersten und
letzten KB in Teilen den Schlüßel, bzw die Antwort darauf enthalten,
sodass eventuell im Bereich dazwischen die SQLite DB liegt? --> würde
bedeuten, wenn wir den Bereich extrahieren, könnten wir eventuell an die
DB rankommen.
6. Ist - wie schon mal vermutet die SQLite DB in einem zip file, welches
eventuell verschlüßelt ist und jedes mal unverschlüßelt ins RAM des TM
kopiert wird?
==> Gedanke dahinter -> hat das zip file ein einfaches Passwort, welches
innerhalb mehrerer Tage / Wochen extrahiert werden könnte?
Dario C. schrieb:> och was: Hat irgendjemand schon mal eine Sammlung an solchen Daten in> der Art> Kochbuch | VID | PID | s/n | checksum(Byte0-xMB) | checksum(all)> angelegt?
Das war auch mal mein Ansatz, hat aber kaum jmd. mitgemacht. Kannst es
gerne nochmal probieren, ich würde mich mit drei Chips beteiligen...
moin - ich habe mir mal das image von hier geladen und durch den reveal
laufen lassen den es unter https://f00l.de/hacking/ gibt. sinn dahinter
war, zu sehen was eventuell in diesem image ist - habe mal die ausgabe
als datei angehängt. vielleicht bringt das ja jemandem etwas.
@timtanner
hi, ich weiss nicht mehr welcher beitrag das war - auf jeden fall gab es
hier noch einen funktionsfähigen link.
mit meinen forschungen bin ich auch noch nicht viel weiter gekommen, mir
gehen die ideen aus - und leider sieht das hier auch nicht wirklich
lebendig aus...
Andreas S. schrieb:> hier gibts mal neuen input!> hat meine frau heute von so ner thermomix trulla bekommen. ;-)
Oh Hund. Wer gibt denn solche Texte an Kunden raus?
Also wenn das kein Fake ist, drängen sich mir direkt zwei Fragen auf.
1. Ist die nötige Software schon auf dem Gerät, oder hat der WLAN-Chip
dann einen Speicher, welcher ein Update ausführt?
2. Vorwerk knöpft dem Kunden wahrscheinlich wieder 100€ für ein Teil ab,
in dem sie einen 8,50€ USB WLAN Stick einbauen. Funktioniert auch ein
handelsüblicher USB WLAN Stick?
Eventuell muss hier, analog zu machen SmartTVs, auf einen bestimmten
Chipsatz geachtet werden.
Hat schonmal jemand versucht einen Linux kompatiblen WLAN Stick
anzustöpseln?
Bis denne
Knochi
David N. schrieb:> Also wenn das kein Fake ist, drängen sich mir direkt zwei Fragen auf.>> 1. Ist die nötige Software schon auf dem Gerät, oder hat der WLAN-Chip> dann einen Speicher, welcher ein Update ausführt?>> 2. Vorwerk knöpft dem Kunden wahrscheinlich wieder 100€ für ein Teil ab,> in dem sie einen 8,50€ USB WLAN Stick einbauen. Funktioniert auch ein> handelsüblicher USB WLAN Stick?> Eventuell muss hier, analog zu machen SmartTVs, auf einen bestimmten> Chipsatz geachtet werden.>> Hat schonmal jemand versucht einen Linux kompatiblen WLAN Stick> anzustöpseln?>> Bis denne> Knochi
Zu 1: In den Credits steht was von dhcpd.
Zu 2: ich fänd 50-100€ okay wenn es damit freien Zugang zur Rezeptwelt
gibt. Hatte mal zwei Sticks dran (Realtek und Atheros) jedoch ohne
erfolg.
WLAN ist zwar klasse, aber auf dem besagten Portal kann man keine
"eigenen" Rezepte eingeben. Quasi nur gekaufte verwalten, was nicht
wirklich besser als die fixen gekauften Kochbücher ist.
Es ist ja eigentlich der Wunsch, eigene Rezepte mit der Kiste zu
verarbeiten. Hoffentlich kommen wir hier irgendwie weiter.
Fabian O. schrieb:>> Zu 1: In den Credits steht was von dhcpd.> Zu 2: ich fänd 50-100€ okay wenn es damit freien Zugang zur Rezeptwelt> gibt. Hatte mal zwei Sticks dran (Realtek und Atheros) jedoch ohne> erfolg.
Ich würde auf einen RaLink tippen, da deren Treiber schon länger im
Kernel sind
Tja man sollte sich wohl schonmal mit WireShark und Co
auseinandersetzen. Vielleicht bekommt man ja auf den Weg Rezepte in das
Teil. Wobei da garantiert eine https Verschlüsselung dazwischen ist.
David N. schrieb:> Tja man sollte sich wohl schonmal mit WireShark und Co> auseinandersetzen. Vielleicht bekommt man ja auf den Weg Rezepte in das> Teil. Wobei da garantiert eine https Verschlüsselung dazwischen ist.
Denk ich auch. Dann hoffen wir mal, das auf SSL Pinning verzichtet
wurde.
Zugegeben, ich habe lange nicht mitgelesen:
Ist bekannt, dass es bald einen WLAN-Chip geben wird? Ist gerade im
internationalen Betatest, wie man HIER:
http://thermofix-bonn.blogspot.de/2015/10/sensation-viel-fruher-als-werwartet.html
nachlesen kann.
Vorgesehen ist (zunächst?), dass nur Rezepte aus dem kostenpflichtigen
meinthermomix-portal übertragen werden können.
Da dort überwiegend Rezepte der bereits gekauften Chips vorgehalten
werden, macht es nicht viel Sinn, wenn dieser WLAN-Chip lediglich das
wechseln der Chips erleichtern soll.
Vorteil könnte sein, dass Fehlerhafte Rezepte aus den Chips korrigiert
auf den WLAN-Speicher-Chip übertragen werden. Außerdem gibt es
Rezeptsammlungen, die es als Chip nicht gibt. Die hätte man dann auch
endlich in der Guided Cooking Funktion vorliegen.
Ich kann mir aber nicht vorstellen, dass langfristig nicht auch Rezepte
anderer Quellen übertagen werden sollen können. Schon allein, um eure
Bemühungen zu stüren ;)
Wie auch immer: Es wird ein einfacher "Zugang" zum Gerät für euch ;) ;)
Waldemar H. schrieb:> ...da ist meine Frau und ihr TM5-Clan anderer Meinung ;-)
Ich auch, fuer das Geld koennen wir 10x richtig gut essen gehen und das
Danach ist eh nicht zu bezahlen.
Also ich persoenlich halte von dem Geraet nix.
Nur eine Meinung von einem eigentlich stillen Mitleser.
Hallo liebes Forum,
ich bin kürzlich versucht gewesen mich etwas mit unserem Thermomix und
dem Rezeptchip zu befassen. Da ich dieses Forum erst im Nachgang
entdeckt habe, war es für mich super spannend meine Erkenntnisse zu
challengen und möchte diese noch mal zusammenfassen:
* Der Chip ist "doof" und nur ein USB Stick, das Image kann einfach
runter geladen werden.
--> Beitrag "Re: Thermomix Rezeptchips"
* Nur am Anfang befinden sich Nutzdaten (ca. die ersten 8MB)
--> Vermutung hier
Beitrag "Re: Thermomix Rezeptchips",
"Beweis" hier
Beitrag "Re: Thermomix Rezeptchips"
* Aufgrund der Entropie tippte ich auch eine Verschlüsselung
--> Ebenfalls aufgefallen hier
Beitrag "Re: Thermomix Rezeptchips" und
die Patente (geniale Idee von euch übrigens) weisen auf AES hin
Beitrag "Re: Thermomix Rezeptchips"
Mit Hilfe des "französischen Images" habe ich dann ein Diff zu "meinem
Buch" erstellt und das brachte folgende Erkenntnisse:
* Die ersten 512 Byte sind völlig verschieden
* Die Bytes 512 - 2224 sind identisch
* Die Bytes ab (und inkl. 2224) sind wieder unterschiedlich (das franz.
Image ist sogar etwas kleiner)
--> Vielleicht handelt es sich um verschiedene (Teil)Schlüssel oder
Schlüsselkette, wobei der Identische Teil von "Vorwerk" ist?
Dann wollte ich mit dem USB-Trace
(Beitrag "Re: Thermomix Rezeptchips")
nachvollziehen, welche Parts zuerst gelesen werden um so vielleicht den
Aufbau besser verstehen zu können. Einen kleinen Einblick was wann
gelesen wird findet sich zwar bereits hier
Beitrag "Re: Thermomix Rezeptchips",
allerdings war ich auch an den Daten interessiert, daher habe ich selbst
nochmal den Trace geöffnet.
Nun hatte ich erwartet, da wir beide das Grundkochbuch genutzt haben,
dass ich bei einem SCSI-Read-Command die Daten aus meinem Image wieder
finde - genau das ist aber nicht der Fall! So scheint "mein" Image
bereits zu Beginn unterschiedliche Bytes zu haben (ich beziehe mich auf
die 34te SCSI Operation, ein READ an Adresse 0 von
16384 Bytes).
--> Vielleicht ist die Seriennummer Teil des Schlüssels und das erklärt
damit unterschiedliche verschlüsselte Daten - aber wäre das nicht
unwirtschaftlich für jeden Chip ein eigenes Image zu beschreiben?
Hier meine Daten zum Chip:
* Seriennummer: 1004000540010005 (die gleiche wie hier
Beitrag "Re: Thermomix Rezeptchips")
* MD5Sum vom Image (die ganzen 4GB): c879fb469d7953cb96e56fa65c42beda
Hat wer das gleiche Image oder andere Werte?
Viele Grüße!
Markus H. schrieb:> Hier meine Daten zum Chip:> * MD5Sum vom Image (die ganzen 4GB): c879fb469d7953cb96e56fa65c42beda
MD5 von recipes.img ist 32790d0c33309850f1c40ce67b3e3453
Beitrag "Re: Thermomix Rezeptchips"
Kann jemand diese Datei wieder hochladen?
Markus H. schrieb:> Mit Hilfe des "französischen Images" habe ich dann ein Diff zu "meinem> Buch" erstellt und das brachte folgende Erkenntnisse:> * Die ersten 512 Byte sind völlig verschieden> * Die Bytes 512 - 2224 sind identisch> * Die Bytes ab (und inkl. 2224) sind wieder unterschiedlich (das franz.> Image ist sogar etwas kleiner)> --> Vielleicht handelt es sich um verschiedene (Teil)Schlüssel oder> Schlüsselkette, wobei der Identische Teil von "Vorwerk" ist?>>> finde - genau das ist aber nicht der Fall! So scheint "mein" Image> bereits zu Beginn unterschiedliche Bytes zu haben (ich beziehe mich auf> die 34te SCSI Operation, ein READ an Adresse 0 von> 16384 Bytes).> --> Vielleicht ist die Seriennummer Teil des Schlüssels und das erklärt> damit unterschiedliche verschlüsselte Daten - aber wäre das nicht> unwirtschaftlich für jeden Chip ein eigenes Image zu beschreiben?>> Hier meine Daten zum Chip:> * Seriennummer: 1004000540010005 (die gleiche wie hier> Beitrag "Re: Thermomix Rezeptchips")> * MD5Sum vom Image (die ganzen 4GB): c879fb469d7953cb96e56fa65c42beda>> Hat wer das gleiche Image oder andere Werte?>> Viele Grüße!
Es gibt die Chips in verschiedenen Sprachen.
Vielleicht erklärt das den Unterschied der Bytelängen?
Hallo, bin der neue.
Ist Euch aufgefallen, dass sich der Chip merkt, welche Rezepte als
letztes gekocht wurden? Ich habe ja tapfer das Forum studiert aber bin
dann doch irgendwann abgestorben, weil ich vieles nicht verstehe.
Aber es MUSS sich auf dem Chip (Falls es nicht in der Maschine
gespeichert wird, das kann jemand testen, der 2 ansonsten gleiche Chips
besitzt) irgend etwas ändern.
Hoffentlich hilft diese profane Beobachtung bei dem Ziel, einen selbst
beschreibbaren Chip zu entwickeln.
Leider bin ich ansonsten bin ich ein ziemlicher Laie auf dem Gebiet. Ein
selbst beschreibbarer Chip wäre traumhaft. Ein "verbesserter" Cook-Key
(also das ganze per WLan oder auch Bluetooth) wäre es umso mehr.
Meine Lösung ist ein Tablet mit Rezept an der Wand und das funktioniert
fast genauso gut. Man muss statt auf "Weiter" zu drücken eben Dauer,
Temperatur, Mixgeschwindigkeit und ggf. Linkslauf eben manuell eingeben,
damit kann ich leben :-)
Hallo Leute,
wie ich letztes jahr sagte würde ich eine gui beisteuern, aber
mittlerweile habe ich das nicht in c++ sondern in html/js hier in der
schublade liegen.
ich nutze dafür die sql.js (ich habe keine ahnung von krypto und sql.js
unterstützt das auch nicht) und nach einigem kopf auf den tisch schlagen
kann ich die lokalen bilder in der sqlite auch in chrome speichern und
laden.
rezpte aus der db kann ich anzeigen lassen, aber der eingabemodus ist
noch nicht geschrieben weil ich da gerne erstmal die db struktur hätte
um nicht alles wieder umschmeissen zu müssen
irgendwie verstehe ich nicht das die uns so lange zappeln lassen und da
mal ein paar infos auf den tisch legen.
ich sehe das so: das teil liegt extrem über den vergleichbaren geräten
die es jetzt immer wieder für 200€ gibt. das einzige merkmal was mir
jetzt ins auge sticht ist eben das "betreute wohnen" äh.. kochen.
ich habe mir das teil nur wegen dem thread hier gekauft weil ich von der
dbox2 damals so verwöhnt war hoffte ich auf ein schnelles gelingen.
aber das wurde auch mit einem enormen hardware aufwand geknackt. ich
möchte nicht an jeden pin vom ram ein drähtchen löten um das auszulesen.
X. Y. schrieb
> Ist Euch aufgefallen, dass sich der Chip merkt, welche Rezepte als> letztes gekocht wurden?> Aber es MUSS sich auf dem Chip (Falls es nicht in der Maschine> gespeichert wird, das kann jemand testen,
Falsche Fährte, die zuletzt gekochten Rezepte werden im TM gespeichert!
Beweis: Wenn ich eines dieser Rezepte aus der Menüfunktion (ohne
verbundenen Chip) aufrufe, werde ich zB aufgefordert:
Verbinden Sie den Thermomix Rezept-Chip "Das Kochbuch"
Dario C. schrieb:>> Ich habe mich hier durch den Thread gewurschtelt und festgestellt, dass> die Aussagen Krypto betreffend - ich will niemanden beleidigen - aber> fast alle falsch sind.>
Wenn du Krypto kannst, müsste dir klar sein, dass es wahrscheinlich
total sinnlos ist, sich am USB-Stick abzureagieren. Es ist ziemlich
unwahrscheinlich, das man, ohne den TM5 zu modden, irgend etwas auf
welchen USB-Stick auch immer schreiben kann.
Wenn ich einen TM5 bauen müsste, würde ich den USB-Stick mit einem
privaten Schlüssel signieren und in die TM5-Firmware den öffentlichen
Schlüssel und die Signaturprüfung packen. Dadurch würde der TM5 nur
Daten akzeptieren, die von Vorwerk signiert wurden. Und der dafür
nötige Schlüssel würde bei Vorwerk im Tresor liegen. Es würde mich
schwer wundern, wenn Vorwerk irgendwas anderes gebaut hätte. Und das
bedeutet, dass kein Weg daran vorbei führt, die Firmware des Gerätes zu
ändern.
Und das bedeutet, dass ein Hack des TM5 damit beginnen muss, den
Diagnose-Port auf dem Board zu finden, um einen Zugang zum Linux zu
bekommen. Es ist viel einfacher, die Programme unter Linux zu tracen,
um dadurch heraus zu finden, was auf dem USB-Stick sein muss. Und nur
so wird man auf dem TM5 entweder die Signatur-Prüfung abschalten oder
seinen eigenen Schlüssel hinterlegen können.
Die Entropie von einem Hexdump zu berechnen oder darin nach
irgendwelchen Mustern zu suchen, halte ich für völlige
Zeitverschwendung. Die Zeit kann man besser in die Zubereitung des
Hefezopfs investieren. Den habe ich heute morgen mit Orangenmarmelade
genossen. Sehr lecker und zwar deswegen, weil nicht ich das Rezept auf
den USB-Stick geschrieben habe. ;-)
Ich stimme S.Z. vollkommen zu - hätte ich das implementieren müssen,
hätte ich es genau so gemacht (öffentlicher Schlüssel auf Thermomix und
Signatur prüfen).
Ohne Hack des Thermomix selbst (d.h. damit er die Signatur nicht mehr
prüft) wird da wohl nicht viel zu holen sein.
Obwohl ich zugeben muss: zumindest den Inhalt lesen zu können wäre schon
spannend - aber das auch nur aus technischem Interesse.
Die Aktion hätte wohl kaum einen Mehrwert (ausser die Rezepte am PC zu
lesen ;)).
Man merkt - alle die hier so gehyped haben, besitzen nun ihren
Thermomix, und bei 99% verstaubt er jetzt im Schrank. Und drum ist hier
auch nichts mehr los :(
wahrscheinlich wollen die meisten dann doch lieber was Richtiges und in
vernünftigen Portionsgrößen essen. Dann wird der TM eben nur noch hin
und wieder für Marmelade, Eintopf, Nüsse hacken etc. eingesetzt und
ansonsten richtig gekocht.
Glück gehabt, das Abendland geht doch nicht sooo schnell unter.
War bei der Nachbarin das Gleiche: erst gab es alle Naselang irgendwas
"mit meinem Thermomix gekocht", nach ein paar Monaten ist es
eingeschlafen.
Ich habe ja nichts gegen den TM - es gibt sicherlich Nischenanwendungen,
da wäre er super und hilfreich - also alle paar Tage mal für einen Teil
einer Mahlzeit. Aber als generelles und universelles Kochgerät, sorry:
keine Chance gegen Herd/Ofen und Topf/Pfanne. Und für 1000 Euro sowieso
nicht.
W.P. K. schrieb:> sorry:> keine Chance gegen Herd/Ofen und Topf/Pfanne.
Naja, kann man sooo jetzt nun auch nicht vergleichen. Ich meine das
Dingen ruehrt fuer 1000.- irgendeinen Brei zusammen, mehr macht das ja
nun auch nicht. Vielleicht was fuer's Altenheim, aber ich zerlege dann
doch lieber den Fisch mit Messer und Gabel und matsch die Kartoffeln
selber klein statt im Thermomix "Fischfrikadelle" anzuwaehlen.
Aber ich sehe es auch so. Die stehen jetzt alle im Schrank und gammeln
vor sich hin, ist ja meist so.
Martin S. schrieb:> Man merkt - alle die hier so gehyped haben, besitzen nun ihren> Thermomix, und bei 99% verstaubt er jetzt im Schrank. Und drum ist hier> auch nichts mehr los :(
Stimmt... Ohne gehackten Rezeptchip ist das Ding ja quasi ohne Funktion.
Ich habe die 1000€ ja auch eigentlich nur investiert, weil ich mir das
mal angucken wollte.
Habt ihr so einen Thermomix eigentlich mal aus der Nähe gesehen? Das die
Dinger nur Brei produzieren ist mindestens 15 Jahre her. Bei uns ist der
TM jeden Tag im Einsatz. Bevor man eine Küchenmaschine in der
Preiskategorie anschafft sollte man sich schon genau überlegen, wie das
in den Alltag passt.
Ich koche selber sehr viel und gerne und war selbst skeptisch. Aber nun
genug mit dem unsachlichen Geschreibsel. Das tut hier auch eigentlich
nix zum Thema. Wenn ihr über das Für und Wider des TM quasseln wollt,
macht nen eigenen Threat auf. Am Besten in einem anderen Forum wo es
noch mehr Stammtischthemen gibt.
Bis denne
Knochi
Es gibt einfach Zuviele dumme Menschen die jeden ihr "Wissen" mitteilen
müssen.
Diese unqualifizierten Aussagen und Diskussionen haben hier nichts
verloren. Aber ist doch geil wenn man wieder klugscheissen kann und
damit auch noch die ärgern kann die es besser wissen.
Klingt für mich nach dem klassischen Neid der Besitzlosen.
Ich bin damit aus dieser Duskussion raus. Schade, hatte gut angefangen.
Da der Thread eh tot ist...
David N. schrieb:> Das die Dinger nur Brei produzieren ist mindestens 15 Jahre her.
Na was kann das dolle Dingen denn sonst noch ausser heissen Brei machen?
Yo, man kann auf den Kochtopf noch 'n Kochtopf stellen und dann
duensten. Wow.
ALLES Andere muss dann nochmal in einen extra Topf, Pfanne, Backofen und
wenn ich mit der Thermokocherei fertig bin habe ich 3x so viel Geruempel
zu spuelen wie normalerweise. Oder schaelt mir das Teil die Kartoffeln,
Moehren, Zwiebeln und Co auch noch ?
Das Dingen macht doch NICHTS anderes als ein Rezept vorzulesen und mit
gepiepe zu nerven. Die Kroenung, man muss staendig irgendwelche Knoeppe
druecken und dem auch brav Bescheid geben das die Zwiebeln jetzt drin
sind, also trotz das es einem Arbeit abnimmt steht man doof daneben. Man
oh man.
Naja, ist wohl so ein Thema wie MAC vs PC, habe ich auch noch nicht
verstanden.
Ich habe schon den Vorgänger besessen und nutze ihn regelmäßig seit
langer Zeit. Auch in Kombination mit anderen Küchengeräten/Töpfen und
Pfannen.
Gegenüber konventionellem Kochfeld kochen kann er die Temperatur
hinreichend genau regeln, was sehr komfortabel ist und unbeaufsichtigte
exakte Arbeitsschritte erst ermöglicht.
Ebenso sind direktes Einwiegen, Zeit- und Stufenwahl effektive Optionen
um Rezepte gelingsicher zu entwickeln, reproduzieren und dokumentieren.
Dies sollte nicht unterschätzt werden und es ist kein MUSS, denn ich
kann mit dem Teil auch frei Schnauze ohne Rezept etwas zubereiten, wenn
man sich eingearbeitet hat.
Der TM soll nichts ersetzen. Er kann Arbeitsschritte erleichten und wer
das sinnvoll einzusetzen weiß, hat einen Vorteil. Wie groß der bei jedem
einzelnen ist und ob das seinen Preis rechtfertigt, ist eine persönliche
Abwägung.
Wenn ich an die ganzen Kaffeeautomaten und die nicht einkalkulierten
Folgekosten denke, ...
Wer auf Zusatzstoffe achten muss/will, kommt ums Selbermachen nicht
herum. Mit dem TM ist es einfach, Brotaufstriche, Wurst- und
Käsealternativen, Kosmetik, Wasch- und Reinigungsmittel, Vollkornmehl,
Würzmittel, Liköre, Salben, etc. herzustellen. Und man weiß was drin
ist.
Wer darin nur Brei herstellen kann, hat den TM nicht begriffen oder
braucht ihn einfach nicht, was ja auch sein kann. :-)
Da anscheinend das Grundkochbuch immer die gleiche Seriennummer hat,
stellt sich für mich die Frage, ob das bei anderen Kochbüchern mit dem
selben Titel auch so ist.
Ausserdem ob die Bytes 512 - 2224 identisch bei allen büchern ist oder
innerhalb eines Buchtitels.
Ich hab leider nur das Leicht & Lecker und noch niemanden gefunden der
das gleiche hat.
Steht die aufgelaserte Seriennummer auf der Rückseite aussen (der
Buchstabencode) in Beziehung zu der Seriennummer des Usbsticks ?
Für den Cook-Ring (Wlan-Adapter) muss man diese Nummern im Portal
eingeben und kann damit sich die Bücher freischalten....
Ausserdem kann ich mich Mode M. nur anschliessen und beim Thema bleiben.
Dieser Flamewar um den Thermomix nervt nur.
Ich halte mich jetzt mal bewusst aus der Pro/Contra Diskussion zum
Thermomix raus. Meine Frau hat einen in der Küche stehen, also will der
auch mal aus Nerd-Perspektive betrachtet werden. Über die Rezept-Chips
reinzukommen, ist wohl wenig erfolgsversprechend wenn ich eure
bisherigen Ergebnisse korrekt interpretiere.
Ich versprechen mir eine größere Chance wenn das Ding erstmal in meinem
Netzwerk hängt. Da ja bald ein WLAN Modul für das Gerät erscheint werde
ich mir das mal besorgen. (Achtung Produktwebseite:
https://cook-key.de/)
Generell hätte ich da zwei Ansätze, wenn das Ding erstmal ne IP hat
könnte man scannen ob man irgendwie von aussen auf das Ding kommt (nen
SSH Server wird es wohl leider nicht laufen haben denke ich). Alternativ
könnte ich mir vorstellen den Netzwerkverkehr mitzulesen, wobei der ja
vermutlich verschlüsselt sein wird. Der muss ja auf irgendeine Art im
Netz erreichbare API zugreifen. Wenn ich diesen API Server im lokalen
Netz dann simuliere müsste ich ja eigene Rezepte auf das Teil bekommen.
Warum der Hersteller soviel Wert darauf legt, nur seine Rezepte auf das
Gerät zu schicken, verstehe ich nicht. Zumindest wenn jemand dieses
dämliche Jahresabo für alle Rezepte abschliesst, kann derjenige über das
Thermomixportal weder eigene Rezepte abspeichern noch die vorhandenen
Rezepte individuell optimieren. Das wäre sicherlich umzusetzen, scheint
aber in der Vertriebspolitik nicht vorgesehen zu sein.
Aber ich denke, wenn das Gerät erstmal im Netzwerk hängt habe ich mehr
Angriffspunkte ohne das Gerät auseinanderzuschrauben.
So. Hab mal mit dem Cook Key etwas rumgespielt.
Erstmal ist auf dem Key ein Firmware-update für das Gerät gespeichert.
Evtl. kann man da was drehen (siehe unten)
Rezepte und Favoritenlisten werden vom Server auf den Speicher des Chips
synchronisiert. D.h. die Rezepte sind danach offline nutzbar.
Hab mal ein SSL man in the middle versucht, und es scheint so als führt
der TM5 eine ordentliche Zertifikatprüfung durch.
Allerdings wird eine unverschlüsselte HTTP anfrage gesendet (URL ist
/now) die sehr wahrscheinlich zur Zeitsynchronisation dient gestellt.
Danach ist alles HTTPS.
Mit dem proxy versucht er es ca. 5 mal und gibt dann mit einer
Zahlenfehlermeldung auf.
Man müsste also nur die Stammzertifikate in dem Firmwareupdate verändern
und schon könnte man einen eigenen Rezepteserver starten.
Nachtrag: Leider keine offenen Ports
Ich habe (noch?) keinen Thermomix, aber der Thread ist sehr interessant.
Angriffspunkte, die mir noch einfallen:
- Man sollte einfach mal eine Tastatur an den USB-Port anstecken und
CTRL+ALT+F1 drücken. Vielleicht erscheint dann ein Terminal auf dem
Bildschirm? :O)
- Es ist sehr alte Software installiert (2.6er Kernel(!), vermutlich
auch altes openssl, glibc, ...)! Da müsste man doch den passenden
fertigen Exploit finden können und ausführen (Vielleicht beim parsen der
Zertifikate in openssl oder so?)
- Auf die schnelle habe ich jetzt den hier gefunden: getaddrinfo() in
der glibc wird exploitet - man simuliert also quasi einen DNS server,
der anstatt die echte Adresse zum Update-Server aufzulösen, einen
Exploit schickt, der dann von der glibc ausgeführt wird:
https://www.exploit-db.com/exploits/40339/
- Ich habe das natürlich alles nicht getestet, sollen nur Denkanstöße
sein.
Viel erfolg!
Danke für den sehr interessanten Thread! Haben einen TM5 und bekommen in
den nächsten Tagen den WLAN Cook Key.. Hätte die selbe mim-attacke
geplant gehabt wie @ivoburkart. Werde versuchen eine USB-Tastatur direkt
an den TM5 anzuschließen (mit Magnet) und dann melden was passiert.
Ich kann mir sehr gut vorstellen, dass nach dem Firmwareupdate über den
Cook Key auch eventuell vorhandene Lücken geschlossen werden.
@ivoburkart: Wird das Update automatisch durchgeführt oder erst nach
WLAN Einrichtung usw? Ist das Update auf dem Cook Key gespeichert wie
die Informationen auf den Kochbüchern? Eventuell könnte man da ja ein
image ziehen...
Also ohne hier jemanden was vorschreiben zu wollen:
Der TM5 Hack ist juristisch auf sehr dünnem Eis, weil man hier durchaus
von technischen Schutzmaßnahmen zur Beschränkung des Zugriffs sprechen
kann.
Entsprechend wäre es weitaus besser (auch für den Seitenbetreiber), das
wenn was kommt, ihr nicht angemeldet postet, und eventuell auch einen
VPN wie hide.me oder hidemyass.com nutzt.
1nv41n 1. schrieb:> @ivoburkart: Wird das Update automatisch durchgeführt oder erst nach> WLAN Einrichtung usw? Ist das Update auf dem Cook Key gespeichert wie> die Informationen auf den Kochbüchern? Eventuell könnte man da ja ein> image ziehen...
Das update ist auf dem key drauf. Das muss man installieren um die
WLAN-Funktionalität überhaupt zu erhalten.
Ausserdem ist das Basiskochbuch mit auf dem Key, so dass der Basis-Chip
nicht mehr nötig ist.
Was ein paar leute stören wird: Der Empfang ist sehr schlecht für die
Größe des moduls. Zudem war es mir nicht möglich eine Verbindung mit
einem 5ghz Netz herzustellen
Martin S. schrieb:> Also ohne hier jemanden was vorschreiben zu wollen:>> Der TM5 Hack ist juristisch auf sehr dünnem Eis, weil man hier durchaus> von technischen Schutzmaßnahmen zur Beschränkung des Zugriffs sprechen> kann.>> Entsprechend wäre es weitaus besser (auch für den Seitenbetreiber), das> wenn was kommt, ihr nicht angemeldet postet, und eventuell auch einen> VPN wie hide.me oder hidemyass.com nutzt.
Danke Martin für den Denkanstoß! Bin da ganz bei dir, und ob dieser
Rahmen hier der richtige ist Frage ich mich auch.
Nur zum Verglich: Falls wer die Tiptoi Stifte von Ravensburger kennt -
Da haben findige Reverse-Engineers so viel über die Funktionsweise des
Stiftes herausgefunden um jetzt selber Bücher drucken zu können. Ist das
jetzt verboten oder nur einfach genial? Verkauft Ravensburger jetzt
weniger Bücher? Ich denke wohl kaum.
Und wenn man vielleicht erreicht, selbst Rezepte programmieren zu
können, schadet das dann Vorwerk? Wird dann diese Funktion freigegeben?
Kauft man dann die Online-Rezepte weniger? Kann sein, nur die 5-10
(sorry) Geeks die das machen werden wohl keinen Umsatzschaden anrichten
können, oder?
Ich für meinen Teil kann nur sagen: Spaß am Tüfteln sollte nicht
verboten sein. Exploits public zu machen um damit dem Hersteller zu
schaden ist natürlich ein no go!
Martin S. schrieb:> Entsprechend wäre es weitaus besser (auch für den Seitenbetreiber), das> wenn was kommt, ihr nicht angemeldet postet, und eventuell auch einen> VPN wie hide.me oder hidemyass.com nutzt.
Eigentlich geht das hier total am Thema vorbei, aber wenn man sich schon
in der Richtung Schützen will, dann bitte richtig mit dem Tor Browser (
https://torproject.org ).
Back 2 Topic:
Probiert mal den exploit mit der glibc aus, den ich weiter oben gepostet
habe an die, die einen solchen Thermomix besitzen. Damit solltet ihr zum
Ziel kommen.
1nv41n 1. schrieb:> Danke für den sehr interessanten Thread! Haben einen TM5 und bekommen in> den nächsten Tagen den WLAN Cook Key.. Hätte die selbe mim-attacke> geplant gehabt wie @ivoburkart. Werde versuchen eine USB-Tastatur direkt> an den TM5 anzuschließen (mit Magnet) und dann melden was passiert.> Ich kann mir sehr gut vorstellen, dass nach dem Firmwareupdate über den> Cook Key auch eventuell vorhandene Lücken geschlossen werden.> @ivoburkart: Wird das Update automatisch durchgeführt oder erst nach> WLAN Einrichtung usw? Ist das Update auf dem Cook Key gespeichert wie> die Informationen auf den Kochbüchern? Eventuell könnte man da ja ein> image ziehen...
Danke für die Infos!
Mit HP Tastatur hat nichts geklappt, leuchtet nicht mal, auch nicht mir
Magnet.
Hallo zusammen,
ich habe mir auch einen Cook-Key besorgt in der Hoffnung hier ein
Möglichkeit zu finden eigene Rezepte unterzubringen. Ich habe den Thread
mit Begeisterung gelesen. Meine Hoffnungen wurde im Prinzip zerstört:
Keine API zur lokalen Kommunikation sondern direkte Kommunikation mit
dem Vorwerkserver über gesicherte Verbindung die sich nich mit einem
mitm Angriff austrixen lässt.
Ich mache mir auch wenig Hoffnung das man über die Updatefirmware
reinkommt, die ist vermutlich genau so signiert wie die Kochbuchchips
und wenn man die schon nicht "knacken" kann wird es mit dem Update
sicher auch nicht gelingen.
Einzig ein Hack der TM5 Firmware, wie schon oft erwähnt, wird wohl die
Problemlösung näher bringen.
Hat schon mal jemand die TM5 soweit analysiert um die Flashbausteine mit
der Firmware zu lokalisieren und eventuell auszulesen. Eventuell ist ja
die Firmware dort unverschlüsselt, wobei meine Vermutung auch eher ist
das die selbst dort verschlüsselt ist.
Vorwerkt scheint sich ja vor Hacks sogar so sehr zu fürchten das sie
sich nicht mal trauen eine Android App herauszubringen.
Eventuell bekommt man ja eine Custom-FW drauf aber der Aufwand ist
sicher sehr sehr groß.
Grüße,
Thomas
Es stellt sich die Frage nach dem Verhältnis von Aufwand zum Nutzen ein
Gerät zu hacken welches in allen Bewertungen zwischen durchschnittlich,
laut und gefährlich eingestuft wird.
Namaste
Waldemar H. schrieb:> Hier ist der Verlauf der Einrichtung vom Cook-Key gezeigt. Wer es nicht> hat und wen es aber interessiert>> https://youtu.be/BsCiJIAyORw
???
15 Rezepte Buttons WTF ???, das ist ja noch schlimmer als bei Druckern
...
1nv41n 1. schrieb:> Danke für die Infos!> Mit HP Tastatur hat nichts geklappt, leuchtet nicht mal, auch nicht mir> Magnet.
Hätte mich auch gewundert, soweit kenne ich mich langsam mit dem USB
Protokoll aus.
Wenn ihr Glück habt kann man den Cook Key an einen normalen PC
anklemmen. Aber hier könnte Vorwerk auch noch eine Falle eingebaut haben
Die USB-ID ist könnte keine "offizielle". Vielleicht kann man aus der
MAC Adresse von den WLAN NIC Rückschlüsse ziehen, aber das ist nicht
sicher.
Thomas D. schrieb:> Hallo zusammen,>> ich habe mir auch einen Cook-Key besorgt in der Hoffnung hier ein> Möglichkeit zu finden eigene Rezepte unterzubringen. Ich habe den Thread> mit Begeisterung gelesen. Meine Hoffnungen wurde im Prinzip zerstört:> Keine API zur lokalen Kommunikation sondern direkte Kommunikation mit> dem Vorwerkserver über gesicherte Verbindung die sich nich mit einem> mitm Angriff austrixen lässt.> Ich mache mir auch wenig Hoffnung das man über die Updatefirmware> reinkommt, die ist vermutlich genau so signiert wie die Kochbuchchips> und wenn man die schon nicht "knacken" kann wird es mit dem Update> sicher auch nicht gelingen.> Einzig ein Hack der TM5 Firmware, wie schon oft erwähnt, wird wohl die> Problemlösung näher bringen.> Hat schon mal jemand die TM5 soweit analysiert um die Flashbausteine mit> der Firmware zu lokalisieren und eventuell auszulesen. Eventuell ist ja> die Firmware dort unverschlüsselt, wobei meine Vermutung auch eher ist> das die selbst dort verschlüsselt ist.> Vorwerkt scheint sich ja vor Hacks sogar so sehr zu fürchten das sie> sich nicht mal trauen eine Android App herauszubringen.
Wenn Vorwerk das sauber entwickelt hat (was ICH glaube) ist der minimale
Bootloader im ROM vom SoC (*) und der läd halt den 2. Stage Bootloader
und entschlüsselt ihn.
(*)
z.B. Marvell Kirkwood/Armada habe intern einen minimal Bootloader dieser
kann bei einem kaputten Flash benutzt werden um per serielle
Schnittstelle einen neuen Bootloader auf das NAND/ SPI NOR Flash zu
schreiben.
Die Doku dazu ist in den Sourcen von U-boot
Natürlich ohne Verschlüsselung ...
Mir fällt auf das nur versucht wird über den USB Anschluss in das Gerät
zu kommen.
Es hat bisher noch keiner so richtig im Thermomix selber auf der
Hauptplatine die Seriellen oder andere vorhandene Schnittstellen
untersucht.
Möglich das es im Gerät noch eine USB Schnittstelle gibt die für
Servicezwecke da ist.
Michael M. schrieb:> Mir fällt auf das nur versucht wird über den USB Anschluss in das Gerät> zu kommen.> Es hat bisher noch keiner so richtig im Thermomix selber auf der> Hauptplatine die Seriellen oder andere vorhandene Schnittstellen> untersucht.> Möglich das es im Gerät noch eine USB Schnittstelle gibt die für> Servicezwecke da ist.
Das Problem an solchen USB Schnittstellen ist, der Kernel muss diese
erkennen und nutzen -> unwahrscheinlich
Auch seriell ist schwer, z.B. wird bei Xioami mini Router nach dem
ersten Boot diese abgeschaltet !. Nur per Service Request kommt man auf
die BOX um alles umzubauen. Selber gemacht !
Irgendeiner muss eben auf der Kiste "probieren" per Oscar (Oszilloskop
für die jüngere Generation) und nach der seriellen Schnittstelle suchen.
Aber an 1000 (T)EUR zu testen, da glaube ich die "bessere" Hälfte würde
einem den .... versohlen.
Persönlich brauche ich so einen Staubfänger nicht.
Besonders wenn man sieht was da sonst noch alles drumherum passiert, das
ist ja fast so schlimm, wie die Influenzer auf Youtube
Hans Ulli K. schrieb:> Aber an 1000 (T)EUR zu testen, da glaube ich die "bessere" Hälfte würde> einem den .... versohlen.
Daran wird dieses Projekt scheitern!
Deswegen die untersuchung der Hauptplatine.
Da ist die warscheinlichkeit deutlich größer das man weiterkommt als
über den Äußeren USB Anschluß.
MAC ist übrigens 00:13:43:XX:XX:XX
Das ist der Prefix von:
Matsushita Electronic Components (Europe) GmbH
Zeppelinstrasse 19
Lueneburg Niedersachsen 21337
DE
Winfried J. schrieb:> und gefährlich eingestuft wird.>> Namaste
Gefährlich wäre mir neu. ^^
Verhältnismäßig laut und kostenintensiv ja, aber gefährlich wohl kaum.
guten tach
meine frau hat jetzt auch so´nen tm5 mixer mit wlan ....
wir nutzen erstmal die 6 monate inkl. für das cookidoo, danach ist ja
ein abo fällig (36,-€).
der cook-key ist nach erfolgreicher sync auch offline (ohne wlan)
nutzbar.
ivoburkart schrieb das bis auf /now alles https bzw. ssl verschlüsselt
ist.
frage: woher weiß der cook-key ob mein abo gültig ist ?
ist ein ev. zeitsync mit ntp notwendig da der "datensatz" auf dem stick
bzw. ein mögliches zertifikat ein ablaufdatum hat ?
was ist wenn der ntp manipuliert wird ?
okay so bekommt man zwar keine eigenen rezepte drauf auf das was drauf
ist bleibt zumindest drauf.
Tobias C. schrieb:> Die aktuellen Open Source Versionen für Software Version: 201605230000>> Linux kernel 2.6.35.3-imx GPLv2 (from Freescale SDK 10.12.01, + custom> patches)
[...]
> wpa-supplicant 2.4 - BSD license
CVE-2015-1863
Heap-based buffer overflow in wpa_supplicant 1.0 through 2.4 allows
remote attackers to cause a denial of service (crash), read memory, or
possibly execute arbitrary code via crafted SSID information in a
management frame when creating or updating P2P entries.
Das klingt doch nach allem was man braucht um mit einem SoftAP kurz vor
Schulschluß in der Wohnsiedlung viel Freude zu bereiten :-D
Ich habe mal den Cook-Key auseinander gebaut und ein Bild davon
angehängt.
Hier die Infos:
1. USB-Stick
2. Mikrocontroller PIC16F1454
3. USB-Hub FE1.1s
4. Wifi PAN9010U
Wie könnte man nun weiter vorgehen?
Na das sieht ja übersichtlich aus. Keine weiteren Komponenten auf der
Rückseite?
Vielleicht könnte man die Kommunikation zwischen pic und WiFi Modul
belauschen.
Kann aber auch sein, dass der PIC nur den USB Hub und das WLAN Modul
beim Start konfiguriert.
Jedenfalls sehe ich da eine Programmierschnittstelle, evtl. auch eine
Angriffsfläche.
Leider habe ich so ein Teil nicht zur Hand, sonst würde ich Mal das
Oszilloskop dranhängen.
Bis denne
Knochi
Nein, auf der Rückseite ist nichts mehr.
Mit einem Oszilloskop habe ich noch nie gearbeitet. Ich hätte einen
Raspberry Pi zur Hand. Kann ich damit etwas überwachen oder rausfinden
was uns weiterhilft? Oder kann man die Daten die auf dem USB-Stick sind
irgendwie auslesen?
Welche Programmierschnittstelle kannst du auf der Platine erkennen? Das
schräge schwarze Plastikteil mit den 4 Eingängen ist für die 4 Pins am
Thermomix (wo der Cook-Key mit Magnet befestigt wird).
Hi Chris,
wie hast du den Cook-Key den aufbekommen?
Ich bin mit den üblichen Werkzeugen zum Öffnen von Handy und anderen
Geräten gescheitert...allerdings hat meine Frau mich auch schon kritisch
beäugt.
--> Vielleicht kannst du hier noch ein paar zusätzliche Fotos
einstellen, damit man sieht, wo die Klips (?) sind/wie man den Key
beschädigungsfrei öffnet :)
Bei dem USB-Hub-Chip handelt es sich lauten Datenblatt um ein
4-Kanal-Hub
(https://cdn-shop.adafruit.com/product-files/2991/FE1.1s+Data+Sheet+(Rev.+1.0).pdf).
Es wäre jetzt interessant an die verbleibenden zwei Ports zusätzliche
Geräte anzuschließen (bspw. USB Tastatur). So wie das auf deinem Foto
aussieht, könnte man die Tastatur auch direkt in die USB-Buchse
einstecken? Oder eine WebCam, einen WLan-Stick....
Chris R. schrieb:> Nein, auf der Rückseite ist nichts mehr.>> Mit einem Oszilloskop habe ich noch nie gearbeitet. Ich hätte einen> Raspberry Pi zur Hand. Kann ich damit etwas überwachen oder rausfinden> was uns weiterhilft? Oder kann man die Daten die auf dem USB-Stick sind> irgendwie auslesen?
Mit dem Raspberry könnte man Mal versuchen, ob irgendwo ein Uart zu
finden ist, vielleicht spuckt der ein paar Informationen aus.
> Welche Programmierschnittstelle kannst du auf der Platine erkennen? Das> schräge schwarze Plastikteil mit den 4 Eingängen ist für die 4 Pins am> Thermomix (wo der Cook-Key mit Magnet befestigt wird).
Ich meine die goldenen Testpunkte links oben. Offensichtlich gehen
mindestens zwei auf den PIC.
Chris R. schrieb:> Ich habe mal den Cook-Key auseinander gebaut und ein Bild davon> angehängt.>> Hier die Infos:> 1. USB-Stick> 2. Mikrocontroller PIC16F1454> 3. USB-Hub FE1.1s> 4. Wifi PAN9010U>> Wie könnte man nun weiter vorgehen?
Dann wollen wir mal die Bauteile analysieren ...
1. USB-Stick
nichts besonderes.
Vielleicht Treiber und/oder Rezepte drauf
2. Mikrocontroller PIC16F1454
für irgendwas zum steuern oder speichern.
Dazu später mehr
3. USB-Hub FE1.1s
ein einfaches USB 4 fach HUB IC
wenn noch ein EEPROM vorhanden ist, kann dieses mit einer USB VID/PID
vom "Hersteller" beschrieben werden. Es sollen zwei Ports benutzt sein.
Einer für den USB Stick und einer für das WLAN Modul.
Mal sehen ..
4. Wifi PAN9010U
Ein WLAN Modul von Panasonic, das mit einem Marvell 88W8782 bestückt
ist. Dazu soll es Linux/Android Treiber geben
Also nichts besonderes, wenn nicht der Mikrocontroller wäre.
Laut Datenblatt hat der eine USB Schnittstelle und sogar USB 2, der
dritte Teilnehmer auf dem HUB.
So wie es aussieht hat dieser keine Funktion, ggf. vielleicht für den
USB Stick ...
Könnte es sein, das dort was versteckt ist ??
Ist der gleiche Aufbau HUB-IC, Stick, Mikrocontroller auf den den Rezept
Buttons ??
Hans Ulli K. schrieb:> Chris R. schrieb:>> Ich habe mal den Cook-Key auseinander gebaut und ein Bild davon>> angehängt.>>>> Hier die Infos:>> 1. USB-Stick>> 2. Mikrocontroller PIC16F1454>> 3. USB-Hub FE1.1s>> 4. Wifi PAN9010U>>>> Wie könnte man nun weiter vorgehen?>> Dann wollen wir mal die Bauteile analysieren ...> 1. USB-Stick> nichts besonderes.> Vielleicht Treiber und/oder Rezepte drauf
Da wird das Softwareupdate für den ersten Start drauf sein. Später dann
die Rezepte.
> 2. Mikrocontroller PIC16F1454> für irgendwas zum steuern oder speichern.> Dazu später mehr>> 3. USB-Hub FE1.1s> ein einfaches USB 4 fach HUB IC> wenn noch ein EEPROM vorhanden ist, kann dieses mit einer USB VID/PID> vom "Hersteller" beschrieben werden. Es sollen zwei Ports benutzt sein.> Einer für den USB Stick und einer für das WLAN Modul.> Mal sehen ..
Und einer für den PIC> 4. Wifi PAN9010U> Ein WLAN Modul von Panasonic, das mit einem Marvell 88W8782 bestückt> ist. Dazu soll es Linux/Android Treiber geben>> Also nichts besonderes, wenn nicht der Mikrocontroller wäre.> Laut Datenblatt hat der eine USB Schnittstelle und sogar USB 2, der> dritte Teilnehmer auf dem HUB.>> So wie es aussieht hat dieser keine Funktion, ggf. vielleicht für den> USB Stick ...
Ich nehme Mal an, da der TM ja nur einen USB Port hat, übernimmt der PIC
das Housekeeping, also Konfiguration des WLAN Moduls, des USB Hubs und
das ansteuern der LEDs.
> Könnte es sein, das dort was versteckt ist ??
Ich fürchte nicht. Der TM greift auf die drei Geräte vermutlich einfach
als USB Devices zu. Lädt Rezepte über das WiFi Modul und speichert diese
wie gehabt verschlüsselt auf den Stick.
> Ist der gleiche Aufbau HUB-IC, Stick, Mikrocontroller auf den den Rezept> Buttons ??
Ne da ist nur ein USB Stick, ähnliche diesem drin. Weiter oben sind
Fotos.
Ist ja dann auch nur ein Gerät und keine LEDs.
Bis denne
Knochi
Hier sind noch ein paar weitere Fotos. Leider ist der Cook-Key verklebt,
sodass ein zerstörfreies öffnen nicht möglich ist. Ich habe mit einem
Messer die weiße Abdeckung ringsherum aufgehebelt. Das hat ganz gut
funktioniert.
Anschließend muss man die 4 markierten Punkte (runde Huckel) mit einem
Messer abschneiden damit man die Platine entfernen kann.
Wenn man die Platine komplett freiliegend haben möchte, müsste man noch
die Lichtleiter entfernen (ebenfalls auf der Rückseite die 10 runden
Huckel, aber kleiner). Ich habe das gemacht.
=> Eigentlich würde ich gerne irgendwie an das Zertifikat kommen, um den
WLAN-Verkehr beeinflussen zu können.
=> Oder wie könnte ich per Konsole irgendwie auf das System kommen?
=> @knochi: wie könnte das mit dem UART gehen?
Ich bräuchte Infos von euch, was ich versuchen soll, wenn sich sonst
niemand anderes traut das Teil zu zerlegen :-D
Mfg Chris
Hi Chris,
hast du mal versucht an den USB-Port andere USB Gerät (Maus oder
Tastatur, Bluetooth-Stick) anzuschließen (anstelle des USB-Sticks im
Cook-Key)? Interessant wäre sicher auch mal ein USB-auf-VGA-Adapter
(LogiLink USB zu VGA Display: https://www.reichelt.de/?ARTICLE=132672).
Danke und viele Grü0e
Nein, habe ich bisher nicht versucht. So ein USB-VGA-Adapter habe ich
nicht. Wenn ich nur eine Tastatur anschließe bringt mich das nicht
weiter, oder was ist der Hintergrund?
Habt ihr den Thread mal von Anfang an gelesen? Das haben wir doch alles
schon probiert.
Der WiFi Chip ist IMO nichts anderes als ein USB Hub mit Memorystick,
WiFi Client und USB Led Controller. Und da SSL Pinning an ist, bring es
uns auch nicht weiter. Bleibts wohl beim kopieren der Chips :(
Gibt es schon neuigkeiten zu dem Mainboard im TM selber?
Hat hier schon jemand Forschungen angestellt?
Leider lese ich in diesen Thread nur viel zu den USB Anschluss und dem
Cookkey.
Und da drehet man sich wohl nur noch im Kreis.
Der Usb Anschluss ansich ist doch ein interessanter Angriffspunkt.
Mit dem Facedancer/Raspdancer
(https://github.com/travisgoodspeed/goodfet/tree/master/contrib/facedancer)
ist es möglich USB Geräte zu simulieren und das Protokoll zu
manipulieren. Vielleicht ist es damit möglich Fehler im Usb-Stack oder
Device-Treiber zufinden.
Platinen für den Raspdancer21 hab ich heute bekommen. Sobald er zusammen
gebaut ist, wollte ich damit mein Glück versuchen.
Ok guys,
According to their patent
(https://docs.google.com/viewer?url=patentimages.storage.googleapis.com/pdfs/US20140337631.pdf),
the golden target everyone should focus is the private key stored in the
TM5. But to access it, it is required to get a living session on TM5
(private key is to be encrypted for sure in the "offline" firmware).
Only solution I can see is to find an exploit (type buffer overflow) in
communicating via USB interface or if using the cook-key, http packet
crafting could also be a vector. What do you think, some of you are
aldready on the deck? PM me.
Looks like this community is stuck, so I have decided to give us all a
little present.
EiOJeNLiooqwWobaVDVrbJWLCifvQC5oDqNqHfuSYBt3y4vwN3YKq2EsvFK3U4M9
(AES128)
Enjoy.
--Ikaro Psi
P.S. The security on this machine is very very impressive, I have pretty
much never seen done anything this right and I do security for living,
those engineers were thinking of every little detail. Sadly even them
are only humans :)
think this is the private key extracted from the fw ;-)
you can do almost everything on this machine with it.
for example digging for the ssl certs :-)
Wo kommt der Key her?
Ich kann nur empfehlen, den Key local zu speichern. Er wird hier ggfs.
nicht lange öffentlich stehen.
Vielleicht ist es auch nur ein Fake....
ich gehe mal davon aus dass er den key (sofern es wirklich der private
key der Maschine ist) irgendwie aus dem laufenden ram rausbekommen haben
könnte. ich könnte mir vorstellen dass der thermi ein Silicon based
security Konzept ähnlich wie zb bei spielkonsolen hat.
ps. es ist herzlich egal wo der key herkommt solange er valid ist ;-)
Diese Information sollte uns doch einen neuen Hebel geben. Also ich habe
mal stumpf den Wikipedia- Artikel zu AES gelesen. Darin wird auf ein
Tool verlinkt, welches sich AES-pipe nennt. In der Read.me steht was von
verschlüsselten CD-ROMs, wenn mich nicht alles täuscht hatten wir doch
Anfangs was von einem CD Laufwerk gesehen. Vielleicht kann man damit die
Images von den Cook Keys ver- bzw. Entschlüsseln.
Link: http://loop-aes.sourceforge.net/
Habe im Moment wenig Zeit, probiert das mal jemand?
Bis denne
Knochi
Could you please explain what to do with this key?
I am not really familiar with encryption, but I think the key is too
long for AES128 encryption. AES28 means 128 bit, but this key is 512
bits long.
Can anyone give more details?
Ikaro P. schrieb:> EiOJeNLiooqwWobaVDVrbJWLCifvQC5oDqNqHfuSYBt3y4vwN3YKq2EsvFK3U4M9> (AES128)
Vom aussehen her hätte ich nun auf base64 plädiert.... aber so wirklich
Sinnvoll ist das was ich da raus bekomme auch nicht.
0x12 0x23 0x89 0x78 0xd2 0xe2 0xa2 0x8a 0xb0 0x5a 0x86 0xda 0x54 0x35
0x6b 0x6c 0x95 0x8b 0xa 0x27 0xef 0x40 0x2e 0x68 0xe 0xa3 0x6a 0x1d 0xfb
0x92 0x60 0x1b 0x77 0xcb 0x8b 0xf0 0x37 0x76 0xa 0xab 0x61 0x2c 0xbc
0x52 0xb7 0x53 0x83 0x3d
Mhm was könnte denn an KDF hier sinnvoll sein?
Vielleicht wird wirklich einfach sowas wie dm-crypt verwendet?
Hallo Zusammen,
hat jemand die Richtigkeit des veröffentlichten Keys bereits in
irgendeiner Weise verifiziert?
Ich kann da leider nicht helfen, da ich mich damit leider nicht auskenne
Gruß
Hallo,
kurz nachdem hier ein Thermomix Einzug hielt und ich rausfinden wollte,
was da drin ist und wie denn das WLAN funktioniert, stieß ich auf diesen
Thread.
Mir selbst ein Bild zu machen, wurde mir untersagt, aus der Angst den
Thermomix zu zerforschen.
Nun habe ich kürzlich den Dichtungsring vergessen und das Innenleben mit
Milch geflutet. So war meine Chance gekommen und ich konnte doch mal
schauen.
Im Nachhinein sah ich, dass das Meiste hier schon besprochen wurde. Aber
der Vollständigkeit halber hier noch was zur Steuerplatine:
Dort gibt es einen STM32F100R8 mit unbestücktem JTAG-Connector und einen
ATxmega16D4.
Ich habe es noch etwas ausgeführt und Bilder gibt es auch[1].
Grüße Moritz
[1]:
https://nerdgenieur.tumblr.com/post/166890591787/i-accidentally-the-thermomix
Moin Moritz,
Danke für deinen klasse Beitrag. Ich habe mir deinen Blog mal
ausführlich durchgelesen. Macht Spaß :-)
Bleibt die Frage, wie man jetzt in das System vom TM5 kommt?
Viele Grüße,
Stephan
Danke Stephan. Einziges Manko: die Frequenz mit der ich dazu komme, neue
Beiträgen zu schreiben.
TM5 System: keine Ahnung.
Mein Ansatz wäre wahrscheinlich mal die Testpads auf dem Mainboard zu
untersuchen ob da vielleicht eine UART dabei ist und CN601 genauer
anzuschauen, ob das wirklich USB ist.
Sonst fällt mir noch ein, den äußeren USB Anschluss ohne den 4 poligen
Kontaktstecker zu testen, nicht dass der TM5 daran doch was erkennt nur
wird der äußere Stecker vielleicht nicht ordentlich aktiviert (mangels
korrekt platziertem Magneten). Und dann mit USB-Lan Adapter testen.
SOnst könnte man auch den USB-Traffic zwischen Cook-key und TM
anschauen, aber keine Ahnung was das für neue Erkenntnisse bringen
würde.
Du siehst, einen richtigen Plan habe ich nicht.
Und um irgendwas mit dem vermeintlichen Private Key aus
Beitrag "Re: Thermomix Rezeptchips" zu
machen, fehlen mir die Skills.
Sieht echt interessant aus - kann man das vielleicht irgendwie über qemu
zum laufen bringen und dann die Chips anschließen? Ab dem Moment müsste
man ja ins System eingreifen können, da man dort Tastatur und tty
Zugriff haben müsste...
Welche Firmware ist das? Die aktuelle vom Cook Key oder die „alte“?
Kann jemand mal bitte ein paar mehr Infos geben, wie man mit der Datei
umgeht? Welches Programm benötige ich (Windows)? Oder geht nur Linux?
UPDATE: hat sich erledigt! 7Zip ist die Lösung zum entpacken des
Verzeichnisses ;-)
Wow also der Firmwaredump "liest" sich wirklich spannend. Ich bin da
zwar persönlich nicht ausreichend im Thema um beurteilen zu können, ob
man durch die Veröffentlichung des Dumps demnächst eigene Rezepte
hochladen kann, aber spannende Dinge habe ich trotzdem gefunden:
- Unser TM5 heißt an vielen Stellen in der Firmware TM41 (siehe
/etc/rc/rc.conf: export HOSTNAME="tm41")
- Es gibt einen Debug Modus, der Telnet und FTP Server aktiviert (siehe
/etc/rc/rc.local:
# Defines what shall be done for Debug and Release builds of TM5
# Possible values: 1 - for debug | 0 - for release. Are switched by
build system during build.
# Default value for build system is "1 - for debug" (for LTIB builds
used by developers))
- Es gibt einen Supervisor Modus der gestartet wird, wenn keine Serial
Number "eingebrannt" wurde (/opt/Thermomix/Thermomix.sh)
- der o.g. angebliche AES128 Key liegt unter /opt/cookey.txt (kein
Tippfehler meinerseits...)
- unter /tmp/certificates liegt ein "client_TM5" Zertifikat mit privatem
Schlüssel.
Danke allen Beteiligten, das sieht ja alles spannend aus.
Hat denn jemand eine Idee, wie man den FTP oder Telnet Server nutzen
kann?
Bei einem USB-Anschluss in einem Auto hörte ich davon, dass man mit
einem USB-LAN-Adapter zum Ziel kam und sogar eine IP per DHCP vom Auto
bekam.
Ich habe in
1
/etc/rc.d/init.d/usbpower
noch Folgendes gefunden:
1
#!/bin/sh
2
3
if["$1"="stop"]
4
then
5
echo"PowerOff USB"
6
echo 85 > /sys/class/gpio/export
7
echo out > /sys/class/gpio/gpio85/direction
8
echo 1 > /sys/class/gpio/gpio85/value
9
echo 85 > /sys/class/gpio/unexport
10
fi
11
12
if["$1"="start"]
13
then
14
echo"PowerOn USB"
15
echo 85 > /sys/class/gpio/export
16
echo out > /sys/class/gpio/gpio85/direction
17
echo 0 > /sys/class/gpio/gpio85/value
18
echo 85 > /sys/class/gpio/unexport
19
fi
Damit wird bei "start" ein ein GPIO Pin auf low gezogen, bei "stop" auf
high. Ich vermute, dass damit der externe USB-Anschluss eingeschaltet
wird, getriggert durch den Magnet im Rezept-Chip.
Ikaro P. schrieb:> I can has firmware dump?>> https://uloz.to/!6LxjhQYGAnoY/1-squashfs
Thank very much for that dump.
Please, can you tell me how di you extract it ?
I successfully uncompress the file system.
There are a lot of interesting things but the most important one is the
binary /user/sbin/checkimg.
I successfully emulated the ARM926EJ-S processor (processor from TM5)
with Qemu.
I ran checkimg and the result is:
1
Wrong aguments. Please use one of following commands:
2
3
To decrypt single pack file with embedded public key:
4
(Note: filename passed as packfile must be one of 3 possible
5
filenames: firmware.pack, data.pack, extra.pack)
6
checkimg -d <in_bundlefile> <out_packfile>
7
8
Print SW version info:
9
checkimg -i <in_bundlefile>
10
11
Verify consistency of an image only:
12
checkimg -c <in_bundlefile>
I already started to analyse this binary with a disassembler.
I think a lot of our questions is inside this binary.
The good thing is that it has almost no dependencies.
Let's start to work on it.
-------------
The second interesting thing is the script /opt/app.sh and especially
the function update_data_partition() that show the data process.
Hi,
also auf meinem WIndows PC mit 7-ZIP bekomme ich zahlreiche Daten-Fehler
beim entpacken des Images... Das würde erklären, warum das Image im
Emulator nicht läuft. Ist das bei euch auch so?
Interessant ist auch das Verzeichnis /opt/Thermomix/automated_receipes/
hier liegen.xml Dateien der integrierten Rezepte.. da kann man schon mal
gucken, wie die aufgebaut sind. Vielleicht findet man ja auch einen Weg,
wie der TM5 die Rezepte unverschlüsselt über einen beliebigen USB Stick
(oder WLAN Stick) annimmt. Wäre doch das einfachste?!
Bis denne
David
Sigma P. schrieb:> I successfully emulated the ARM926EJ-S processor (processor from TM5)> with Qemu.
Hey Sigma,
can you please give us a short introduction how to load the image with
QEMU?
Thanks
David
Ikaro P. schrieb:> Looks like this community is stuck, so I have decided to give us all a> little present.>> EiOJeNLiooqwWobaVDVrbJWLCifvQC5oDqNqHfuSYBt3y4vwN3YKq2EsvFK3U4M9> (AES128)
Findet sich übrigens in /opt/cookey.txt
David N. schrieb:> Hey Sigma,>> can you please give us a short introduction how to load the image with> QEMU?>> Thanks> David
You need a working install of QEmu.
Then you can download prebuild images (linux + debian squeeze) and you
run it with the given command line.
Then, access through ssh.
Next step, I will install a gdb server on the emulated system so I will
be able to debug binaries from my host with any comaptible tool.
Different approach: man-in-the-middle attack with the cookkey to sniff
the wifi traffic.
- Is this possible with the given certificates under /tmp/certificates
or the /opt/cookey.txt file?
- Or do we need a certificate from our own Thermomix?
- another idea is to find any code in the image, where the cookey date
gets processed
Noch ein Ansatz wäre, etwas mit dem Key in der /opt/cookey.txt zu
entschlüsseln. Dafür habe ich mal in allen Dateien nach "cookey.txt"
gesucht. In der Datei /usr/sbin/netlink habe ich folgenden Code
gefunden. Könnte der dafür genutzt werden, um die Daten des USB-Sticks
der sich im Cookkey befindet zu entschlüsseln?
1
------------ Power-cycling USB interface ----------
Da scheint ja bei vielen Zeilen etwas zu fehlen. Als ob dies der "linke
Teil" eines Skriptes währe und der "recht Teil" fehlt. (Z.b. "rm -f"
ohne Argument macht keinen Sinn)
Die relevante Zeile "losetup -e aes128 -P /opt/cookey.txt" ist auch
nicht komplett. Falls wir annehmen das was dasteht richtig ist und nur
rechts was fehlt dann währe der /opt/cookey.txt nur ein device
identifier und nicht der geheime Schlüssel.
Eventuell hast du da einen Textblock gefunden der vom Programm noch
verändert wird bevor er ausgeführt wird?
Chris R. schrieb:> Noch ein Ansatz wäre, etwas mit dem Key in der /opt/cookey.txt zu> entschlüsseln. Dafür habe ich mal in allen Dateien nach "cookey.txt"> gesucht. In der Datei /usr/sbin/netlink habe ich folgenden Code> gefunden. Könnte der dafür genutzt werden, um die Daten des USB-Sticks> der sich im Cookkey befindet zu entschlüsseln?>>
1
> ------------ Power-cycling USB interface ----------
> mount -t ext4 -o noatime,commit=2,data=journal tm5.img material/
14
> mkfs.ext4
15
> tcsetattr usbTermio /sys/ /idVendor i j q u z rm -f /tmp/dev/ sd
16
> /../../../../../../../serial sr s.+(\d+) sd([a-z])\d+
17
> mknod -m 644 /tmp/dev/loop b 7
18
> mknod -m 644 /tmp/dev/ b 11 b 8
19
> mkdir -p
20
> losetup -e aes128 -P /opt/cookey.txt
21
> mount -o ro
22
> mount
23
>
netlink is a binary. All these strings are used in the binary.
There may be no link between these strings depending on how they are
used inside the binary.
A also started to analyse this binay.
I have a lot of difficulties to debug the binary in my qemu system.
So I will continue static analysis.
Note: It would be great if you can speak english
If the static analysis gets too involved it might be an idea to have the
program do its thing and observe it on the way.
I can think of two things:
- Use strace (with -f) to get the calls the program makes to other
programs (mentioned as "execve" in the strace output). This would
require a strace program on the platform. If that is not there one might
need to get it from a compatible system.
- My tests with strace (on a desktop linux system) showed that the
subprogram to be called is not invoked directly, but rather through a
call to /bin/sh. That means one could create a program/script (placed in
the old location of /bin/sh) that logs the call to a file before the
(renamed) real /bin/sh is called. (There is a potential for a big
problem here, if the logging or calling the original sh needs to call
/bin/sh we just created a recursion. One would need to try this.)
The whole process will probably be a bit involved since the netlink
binary certainly will check some conditions before the actual losetup
call is made. One would need to make sure that these are fulfilled one
by one.
Hi,
I thin we found something very interesting here. It should give us a
hint how the Chips data is decrypted by the software.
I'm not a Pro when it comes to that things, but the first readable
String in the binary is "ELF". i know .elf files from AVR-GCC it
descripes how to link and build things.
From the Wiki article one can further notice that this is definitly an
elf-File. Magic Number is 0x7F followed by ELF. So we should be able to
processes and anaylse this file using one of the Tools mentioned in the
article.
https://en.wikipedia.org/wiki/Executable_and_Linkable_Format
What I found out with a Hex Editor:
data size: 32bit
endiness: little endian
ELF Version: original version of ELF
target System: systemV ?
Version: 0
type: executable
target architecture: ARM
...
the rest is to much for my electricians brain :) need a software guy.
Cu
David
The code I found in /usr/sbin/netlink is of course not usable. But I
thought to post it, because it reveals details about how to mount the
encrypted Cook-Key. But I don't have the skill to mount the encrypted
image. There is a file called "tm5.img" on the Cook-Key as written in
1
mount -t ext4 -o noatime,commit=2,data=journal tm5.img material/ mkfs.ext4
But how do I work with it? cryptsetup & mount & ... ?!
Also ich habe übermorgen eine Vertreterin zu besuch - hatte ernsthaftes
Interesse - bis ich gerade auf das Problem (welches eigentlich keines
sein dürfte) eigenes Rezept gestoßen bin.
Das naheliegenste (Familien und Lieblingsrezepte) einzuspielen ist nicht
möglich???? ernsthaft?? warum? gelinggarantie? so what??
Ganz ehrlich, ich würde mir so n Ding zu dem preis (Produktionswert ca
200€) schon Kaufen, wenn auch überteuert, weil die Qallität sehr gut
ist, aber das iphone war das letzte Gerät welches mich als Kunde
Kastriert hat.
Wer Kunden daran hindert das System technisch voll auszunutzen (eigene
Rezepte/kein root iphone) stattdessen mit Abos / Einschränkungen und
unverhältnismäßiger Kryptografie Ihre Kunden an die Leine nimmt, den
werde ich aus Prinzip nicht unterstützen.
Dann hätten die auch n eigenes Betriebssystem schreiben müssen und nicht
auf freie Software zurückzugreifen (Linux).
Hätte ich nicht schon die Zutaten gekauft, würde ich der Termomix
Vertreterin Absagen.
Ich hoffe Ihr bekommt das System ent-kastriert, kaufen würde ich ihn mir
aber auch dann nicht, nicht weil ich gegen Patentrechte verstoßen,
sondern damit eine Firmenpolitik unterstützen würde, die in meinen Augen
total in die falsche Richtung läuft.
Chris R. schrieb:> Ikaro Psi, great work!! Thank you!>> How can we get the image from our TM5 ourselves?? This would help the> most!
I'm sorry but I will not reveal the exploit since that would make the
vendor issue an firmware update with the fix and most probably close any
realistic homebrew development of the platform. And even in the case I
discover a proper "unfixable" rooting method in the future (e.g.
something like finding the usable firmware signing key), I would still
need to inform the vendor first.
I have somewhat full root access to the platform but I don't think one
needs to have that for the work on a homebrew. Vast majority of the
fiddling can and should be done in an emulator, the platform itself is a
minefield anyway and one could destroy his TM with just a stupid little
typo. It might seem a bit protective stand but I will hold it for now.
> Different approach: man-in-the-middle attack with the cookkey to sniff> the wifi traffic.> - Is this possible with the given certificates under /tmp/certificates> or the /opt/cookey.txt file?> - Or do we need a certificate from our own Thermomix?
Sadly this is not possible for two reasons now:
- the process of registration of the TM to the online system is probably
the way the per device client certificate is issued and I think that one
is used most of the time.
- TM strictly enforces the verification of the server certificate.
Public CA system is not used and the only certificates accepted must
stem from Vorwerk's internal CA.
I hope we would be able to run the GUI and the netlink parts in the
emulator with replaced CA certificates so the (not so much now) MitM
attack would be possible. We could reverse engineer the protocol and
than develop a custom server using the specificiation created (clean
room). Since one need to replace the CA certificat on TM for this to
work and since there is no easy way of doing this, my afford is focused
in this direction mostly now.
> The whole process will probably be a bit involved since the netlink> binary certainly will check some conditions before the actual losetup> call is made.
I'm pretty sure netlink is just inserting the correct device filename
and all the magic is done either by patched losetup or patched kernel
itself. I was unable to decrypt any image even by using TM's losetup
binary in my emulator, it's a big mind=boogle...
I'm looking forward to the static analysis findings... I hoped someone
here would be able and willing to do it, since I prefer not to touch
tools like IDA ever again :))
> There are a lot of interesting things but the most important one is the> binary /user/sbin/checkimg.
That one is used in an update process, since distributed firmware is
encrypted with a static global key but to flash it one need to encrypt
it using device specific keys and also since the update package can have
some preupdate and postupdate payloads and hooks ect.
Sigma P. schrieb:> David N. schrieb:>> Hey Sigma,>>>> can you please give us a short introduction how to load the image with>> QEMU?>>>> Thanks>> David>> You need a working install of QEmu.> Then you can download prebuild images (linux + debian squeeze) and you> run it with the given command line.
Which command line? I'd love to give that QEMU approach a try as well,
but I've never used QEMU before. Would someone please give more detailed
instructions on how to access a QEMU environment with this firmware?
I'm sure there's more people who would appreciate this.
I've had a quick first look at the firmware files. Very interesting,
fantastic job, Ikaro Psi.
Here's a few little things I realized that might be somewhat
interesting, but that nobody hasn't mentioned yet:
1) There is no password set for the "root" user in /etc/shadow. If one
would somehow get to a login prompt, the password for the root user
should be a simple [ENTER]
2) There are a few sqlite3 database files with the file suffix .sdb in
the opt/Thermomix directory:
contact.sdb
settings_cloud_default.sdb
settings_empty_en.sdb
settings_empty_tw.sdb
subscription_empty.sdb
subscription.sdb
No recipes seem to be stored in these files though. The most interesting
information I could find in these files were the following tables:
Table "settingsCloudApp" in file "settings_cloud_default.sdb":
Table "settingsCloudApp" in "settings_empty_en.sdb":
1
id|remoteAddress|TCPPort|remotePath
2
1|css.tmdesync.com|3080|/ws.ashx
which suggests URL https?://css.tmdesync.com:3080/ws.ashx
Simply entering these URLs in a webbrowser is not successful though; the
first URL responds with a "403 Forbidden", the second one doesn't seem
to respond at all.
3) As I get it, the ARM seems to communicate with some microcontroller
via the serial line /dev/ttySP0 at 38400 bps:
1
(file opt/common.sh)
2
3
mc_configure_stty() {
4
# configure serial port to similiar values that libntm does, but before GUI is started
> I'm pretty sure netlink is just inserting the correct device filename> and all the magic is done either by patched losetup or patched kernel> itself. I was unable to decrypt any image even by using TM's losetup> binary in my emulator, it's a big mind=boogle...
If it's the case, do you have a idea how to continue.
> since I prefer not to touch tools like IDA ever again :))
Why, IDA Pro is perfect for that.
> Which command line? I'd love to give that QEMU approach a try as well,> but I've never used QEMU before. Would someone please give more detailed> instructions on how to access a QEMU environment with this firmware?> I'm sure there's more people who would appreciate this.
I tested on Ubuntu.
Install Qemu: sudo apt-get install qemu-system
Dwnload the 3 following images on :
debian_squeeze_armel_standard.qcow2
initrd.img-2.6.32-5-versatile
vmlinuz-2.6.32-5-versatile
Run QEmu with command line:
qemu-system-arm -M versatilepb -kernel vmlinuz-2.6.32-5-versatile
-initrd initrd.img-2.6.32-5-versatile -hda
debian_squeeze_armel_standard.qcow2 -append "root=/dev/sda1" -redir
tcp:2200::22
Then connect through SSH with:
ssh user@localhost -p 2200
User account: user
User password: user
(Root password: root)
You can see VM output by using a VNC viewer (https://www.realvnc.com for
example) on port 5900 (for me).
You can send binaries you want to execute through SSH (scp command).
Have fun!
Ikaro Psi, what analysis do you suggest to do ?
I'm looking to netlink with IDA Pro but maybe you have some better ideas
not losing time on IDA Pro.
Moritz M. schrieb:> Joachim S. schrieb:>> 3) As I get it, the ARM seems to communicate with some microcontroller>> via the serial line /dev/ttySP0 at 38400 bps:>> Where did you find this information?
In file /opt/common.sh
But it really only contains the commands I mentioned in my previous
posting. Apparently, the serial communication with these
microcontrollers is usually handled by "libntm", and common.sh only
contains those commands that need to be sent via the serial line while
libntm is not running.
Moritz M. schrieb:> As I wrote a bit earlier, there is a STM32F100R8 and a ATxmega16D4 on> the power board. Some pictures[0][1]. The STM32 has also a 2x10 JTAG> connector next to it.>> I assume that your finding is the thermomix applications way to> communicate with one or both of them.
Very likely indeed. I remember from another thread on hacking the TM31
(Beitrag "Thermomix TM31 Modifikation") that the previous model
used a similar approach:
The main CPU sends commands for the actual actions to perform (e.g. Heat
to temperature X, Make motor rotate left at speed Y) via a serial line
to a microcontroller on the power board.
It seems like they kept that architecture in the TM5 model, but changed
the serial protocol.
Sigma P. schrieb:> Run QEmu with command line:> qemu-system-arm [...]
Thanks a lot for the instructions, I had a stupid misunderstanding.
To make the process of setting up a working QEMU environment very easy,
I created a small Linux shell script named tm5.sh (see attachment) that
might be useful to others. To use it:
1. Download tm5.sh (attachment of this posting) and make it executable
(chmod 755 tm5.sh)
2. Download the squashfs firmware file, and place it in the same
directory as tm5.sh, under filename "tm5_firmware.squashfs"
3. Ensure you have the required software packages installed. qemu-system
is needed (sudo apt-get install qemu-system), I believe all other
software is installed on most linux systems by default.
4. Run ./tm5.sh. The script will download and create a few files if
necessary, then start QEMU.
5. Login (Username: root, password: root).
6. The TM5 filesystem is stored in directory /tm5. To chroot into this
directory, simply enter "tm5_chroot"
> To make the process of setting up a working QEMU environment very easy,> I created a small Linux shell script named tm5.sh (see attachment) that> might be useful to others. To use it:
Well done!
On my side, I'm stuck.
It seems that when netlink is called (because a recipe chip has been
attached), the stick has already been read and netlink check if tm5.img
is present in tmp.
Then some checks are done. These strings appear:
- Storage partition found at %s (S/N: %s)
- Partition containing recipe DB is found
- Expecting official recipe chip --> perf
- /opt/ref.sig
ref.sig seems to be a public key (not sure at all).
Do you have some ideas ?
Sigma P. schrieb:>> To make the process of setting up a working QEMU environment very easy,>> I created a small Linux shell script named tm5.sh (see attachment) that>> might be useful to others. To use it:>> Well done!>> On my side, I'm stuck.> It seems that when netlink is called (because a recipe chip has been> attached), the stick has already been read and netlink check if tm5.img> is present in tmp.>> Then some checks are done. These strings appear:> - Storage partition found at %s (S/N: %s)> - Partition containing recipe DB is found> - Expecting official recipe chip --> perf> - /opt/ref.sig>> ref.sig seems to be a public key (not sure at all).>> Do you have some ideas ?
Hi there, have you seen that there is a global variable that allows
pirated cookie?
Just check the file on /etc/rc.d/rc.local, they even call it "pirated
cookie"! :P
# set global variable RDV, which is then read by netlink
# Possible values: 0 - not RDV version, no support for pirated cookie
(EXT4 formatted cookie).
# 1 - RDV version, no support for pirated cookie.
export RDV=0
echo "Set Recipe Development Version to $RDV"
So if Ikaro_Psi could develop a way that would allow us to change this
global variable, maybe we could use a "pirated cookie"... :)
Why is there a wireless connection already on the firmware? Please check
the file /usr/local/routerlist.txt:
dlink1 "dlink-8B91" "zubnw96594"
Can it be that the TM5 enters some service mode when it connects to this
wireless SSID "dlink-8B91" and password "zubnw96594"? Or is this the
router data from Ikaro_Psi? :/
I do not own a TM5, so I can not test this...
Bimby T. schrieb:> Hi there, have you seen that there is a global variable that allows> pirated cookie?> Just check the file on /etc/rc.d/rc.local, they even call it "pirated> cookie"! :P> [...]> So if Ikaro_Psi could develop a way that would allow us to change this> global variable, maybe we could use a "pirated cookie"... :)
I stumbled upon that too. But the problem I see is that none of the
choices actually allows that pirated cookie being mentioned:
> # Possible values: 0 - not RDV version, no support for pirated cookie> (EXT4 formatted cookie).> # 1 - RDV version, no support for pirated cookie.
And apart from that: What is a "cookie" in this context anyway? Did they
just misspell "Cook-Key"? I didn't quite get it, just as I didn't get
what it has to do with "recipe development".
> Why is there a wireless connection already on the firmware? Please check> the file /usr/local/routerlist.txt:>> dlink1 "dlink-8B91" "zubnw96594">> Can it be that the TM5 enters some service mode when it connects to this> wireless SSID "dlink-8B91" and password "zubnw96594"? Or is this the> router data from Ikaro_Psi? :/
It seems unlikely that this is Ikaro Psi's own router data, as the
.squashfs file we are looking at is a readonly filesystem. None of the
files should contain any data that belongs to a specific TM5.
It seems like "routerlist.txt" is only being used by
"/usr/bin/testrouter"; that shell script will try to connect to a
wireless network with the SSID/PSK you mentioned, and writes to file
"/mnt/rwfs/data/tech_box/routertests.log" if it was successful.
I assume that this WLAN access point is only being used during the
manufacturing of the TM5 or the Cook-Key, simply to test if the WLAN
works correctly.
Joachim S. schrieb:> I stumbled upon that too. But the problem I see is that none of the> choices actually allows that pirated cookie being mentioned:>> # Possible values: 0 - not RDV version, no support for pirated cookie>> (EXT4 formatted cookie).>> # 1 - RDV version, no support for pirated cookie.
I think the no for the value 1 (RDV version) is a typo, because the
variable sets the Recipe Development Version active, so the engineers
can use EXT4 formatted cookie's (I think without encryption).
> And apart from that: What is a "cookie" in this context anyway? Did they> just misspell "Cook-Key"? I didn't quite get it, just as I didn't get> what it has to do with "recipe development".
From what I have read, the cookie ist the "read only" recipe chips
(internal with a USB flash drive detected as a CD-ROM drive) that are
used on the side of the TM5. The Cook-Key is the wireless adapter with a
"read/write" USB flash drive. I think if the global variable is set to
1 as RDV version, we could use a normal USB flash drive with own
recipes in the same XML format found on the .squashfs file.
Bimby T. schrieb:> Joachim S. schrieb:>> I stumbled upon that too. But the problem I see is that none of the>> choices actually allows that pirated cookie being mentioned:>>> # Possible values: 0 - not RDV version, no support for pirated cookie>>> (EXT4 formatted cookie).>>> # 1 - RDV version, no support for pirated cookie.>> I think the no for the value 1 (RDV version) is a typo, because the> variable sets the Recipe Development Version active, so the engineers> can use EXT4 formatted cookie's (I think without encryption).>
That could make sense. My thought was that a there was a mechanism which
puts the TM5 in a somehow broken state once he detects somebody is
trying to use a pirated/manipulated cookie (the recipe one). Not that it
makes sense, but what I've read from vorwerk I would not wonder if they
dare doing that kind of stuff.
Moritz M. schrieb:> That could make sense. My thought was that a there was a mechanism which> puts the TM5 in a somehow broken state once he detects somebody is> trying to use a pirated/manipulated cookie (the recipe one). Not that it> makes sense, but what I've read from vorwerk I would not wonder if they> dare doing that kind of stuff.
I can not test it, first I do not know how to get access to the system
and second I do not own a TM5. :)
The best way would be to find out how the encrypted cookie works,
because we could then create a "pirated" cookie with our own recipes
without messing with the firmware... In my opinion, the Cook-Key
(wireless adapter) is not worth it because it is only limited to the
recipes that vorwerk has approved on their portal and asks for a
subscription to access it.
The TM5 is nothing more than a TM31 with a Raspberry Pi on it. :D
Did anyone know if we can control the TM31 over infrared diagnostic
port, so I could use a smartphone with IR and develop an app that does
the same as the TM5, but not limited to their recipes! ;)
Bimby T. schrieb:> The TM5 is nothing more than a TM31 with a Raspberry Pi on it. :D
Pretty much, yeah.
> Did anyone know if we can control the TM31 over infrared diagnostic> port, so I could use a smartphone with IR and develop an app that does> the same as the TM5, but not limited to their recipes! ;)
I didn't quite get that sentence: Was it a question asking if the TM31
can be controlled over the infrared diagnostic port, or was it a
statement pointing out that the TM31 can in fact be controlled over
that port?
Either way, I actually wonder if it doesn't make sense to simply develop
an alternative main board for the Thermomix, instead of trying to hack
the original one. I believe that would have a few advantages:
- The same board could probably be used for both the TM5 and the TM31;
that way, owners of the TM31 could get the advantages of the TM5, people
who don't own a Thermomix yet could buy a cheap used TM31 and basically
turn it into a TM5
- No dangerous messing around at all with the expensive original board;
the original board is simply being replaced. In case the Thermomix must
be sent in for repair, the original, unmodified board is installed
again, and Vorwerk cannot detect any modification. And as we are not
hacking the original TM5 firmware by using some security holes, Vorwerk
cannot simply close those security holes by shipping an updated firmware
- No legal issues whatsoever, as we are not hacking the original
system's security
Even if at some point we should find a way to truly hack the TM5, I
think it would be worth to go that path as an alternative & perfectly
legal approach. The guy who started this thread:
Beitrag "Thermomix TM31 Modifikation"
already began working on that approach for the TM31...
Just for curiosity, does anybody already got the firmware 201706290000
2.3 on their TM5. I'm stuck with 2016... 2.2 and pushing the update
button does only say there is no update.
Joachim S. schrieb:> Either way, I actually wonder if it doesn't make sense to simply develop> an alternative main board for the Thermomix, instead of trying to hack> the original one.
The problem with that is that you would need to open up your Thermomix.
I was asking if someone know if it where possible to control the TM31
over the diagnostic infrared port, so we did not need to open it up to
change the original one.
On the TM5 there is no infrared port, so the easiest alternative would
be hacking the cookie encryption, because they could not change that on
new firmware, or the TM5 would loose access to the older cookie's
shipped with the first batch of TM5.
They maybe could do like Sony did with the PS3, new revisions did not
allowed "jailbreaking" like the older revisions.
Bimby T. schrieb:> Joachim S. schrieb:>> Either way, I actually wonder if it doesn't make sense to simply develop>> an alternative main board for the Thermomix, instead of trying to hack>> the original one.>> The problem with that is that you would need to open up your Thermomix.
Sure. And I agree that this is a major disadvantage of course. But if
the only alternative were to not be able to "free" the Thermomix at all,
then this might ultimately still be the best approach.
> I was asking if someone know if it where possible to control the TM31> over the diagnostic infrared port, so we did not need to open it up to> change the original one.
I got that, it just wasn't 100% clear to me if your sentence was a
question or a statement.
> On the TM5 there is no infrared port, so the easiest alternative would> be hacking the cookie encryption, because they could not change that on> new firmware, or the TM5 would loose access to the older cookie's> shipped with the first batch of TM5.> They maybe could do like Sony did with the PS3, new revisions did not> allowed "jailbreaking" like the older revisions.
I agree. But let's face it, we will probably never actually be able to
completely crack the TM5 encryption system.
There's a good chance we will at some point be able to...
- decrypt the recipe chips
- make the TM5 accept custom recipes, using security holes in the
firmware
- maybe even add some useful features to the TM5
But I just don't see us ever being able to create the kind of proper,
valid recipe chips that cannot be blocked by firmware updates that you
are hoping for. We know the patent that describes the TM5 security
system for recipe chips, and it looks pretty solid to me on first sight.
Unless we were able to somehow get access the private key that Vorwerk
uses to digitally sign the recipe chips, we won't be able to create
custom recipe chips with a valid digital signature. And the developers
at Vorwerk would have to be extremely stupid if they had placed the
private key used for signing in the firmware...
Joachim S. schrieb:> But I just don't see us ever being able to create the kind of proper,> valid recipe chips that cannot be blocked by firmware updates that you> are hoping for. We know the patent that describes the TM5 security> system for recipe chips, and it looks pretty solid to me on first sight.> Unless we were able to somehow get access the private key that Vorwerk> uses to digitally sign the recipe chips, we won't be able to create> custom recipe chips with a valid digital signature. And the developers> at Vorwerk would have to be extremely stupid if they had placed the> private key used for signing in the firmware...
There are several possibilities regarding signatures.
A mistake in the signature scheme may allow to easily extract the
private key (remeber PS3).
Another possibility is to change the public key, then you can use any
key of your choice.
From my point of view, the most impotant thing is to understand how data
are stored in the recipe key (cookie).
Sigma P. schrieb:> There are several possibilities regarding signatures.> A mistake in the signature scheme may allow to easily extract the> private key (remeber PS3).
True, if Vorwerk epically failed at properly implementing the
encryption/signature algorithm, we might be able to extract the private
key.
That would be jackpot! But while I hope I'm wrong, I currently expect
the chances of this happening to be rather low... :-(
> Another possibility is to change the public key, then you can use any> key of your choice.
You mean by changing the public key that is stored in the firmware, and
that is used for verifying the digital signatures?
If so, I would consider this a rather pointless approach. Because that
would require altering/hacking the firmware, by means of some security
hole (which could be fixed with a firmware update), right? And wouldn't
simply changing the public key mean that original recipe chips would
then be rejected?
If the hack requires changing the firmware, shouldn't we be able to
simply bypass the signature verification instead?
> From my point of view, the most impotant thing is to understand how data> are stored in the recipe key (cookie).
Have you read the patent documents that describe the security system of
the recipe chips in this posting:
Beitrag "Re: Thermomix Rezeptchips"
?
They should be very helpful for this. I don't know if there is an
english version of those documents available somewhere - so if you need
any help translating/understanding those documents, we should be able to
help.
Joachim S. schrieb:> That would be jackpot! But while I hope I'm wrong, I currently expect> the chances of this happening to be rather low... :-(
I agree, chance is low.
Joachim S. schrieb:> You mean by changing the public key that is stored in the firmware, and> that is used for verifying the digital signatures?> If so, I would consider this a rather pointless approach. Because that> would require altering/hacking the firmware, by means of some security> hole (which could be fixed with a firmware update), right? And wouldn't> simply changing the public key mean that original recipe chips would> then be rejected?> If the hack requires changing the firmware, shouldn't we be able to> simply bypass the signature verification instead?
Your're right. I mean changing the public used for verifying the digital
signatures.
It depends on the case.
Yes it can be fixed by Vorwerk, but then it becomes a game.
New update = New exploit to find!!!
Joachim S. schrieb:> Have you read the patent documents that describe the security system of> the recipe chips in this posting:> Beitrag "Re: Thermomix Rezeptchips"> ?> They should be very helpful for this. I don't know if there is an> english version of those documents available somewhere - so if you need> any help translating/understanding those documents, we should be able to> help.
Yep, I read it.
I don't know how to continue.
What about GPL license ?
If some interesting code is hidden in the kernel, they should publish it
since it's a GPLv2 license.
In the Kobold manual (Vorwerk), they say that a Linux is used can be
downloaded here:
https://www.neatorobotics.com/lab/linux/
Neatorobotics seems to be the third party company that developped this
product for Vorwerk.
I'm sure we shoudld get Thermomix Kernel.
Sigma P. schrieb:> What about GPL license ?> If some interesting code is hidden in the kernel, they should publish it> since it's a GPLv2 license.
Apparently, if you contact Vorwerk, they will send you a CD with the
source code of the GPL software. Some guy from this forum did so back in
2015:
Beitrag "Re: Thermomix Rezeptchips"
Unfortunately he did not publish the source code they sent him, but at
least he posted a listing of the files on the CD, and it suggests that
they indeed modified three packages:
- linux kernel v2.6.35.3
- kobs-ng v10.12.01
- logrotate v3.8.3
> I don't know how to continue.
You've got a TM5 and something like root access, allowing you to alter
the TM5 filesystem, correct?
Here's an idea - perhaps it won't help much, but it shouldn't be too
much work, so I want to at least mention it:
One could create a small proxy shell script that logs all calls to
"interesting" commands. It would do about the following:
1. Capture the current timestamp + full command line it was called with
(program name + all arguments)
2. Append that information to a special log file (for example
/proxy/log.txt)
3. Call the actual command, passing all the arguments it was called with
Store that shell script on the TM5 (for example named /proxy/proxy.sh)
That shell script could then act as a kind of proxy to commands like
mount, checksig etc.
For example, to log calls to the command "/usr/sbin/checksig":
1. Copy the program /usr/sbin/checksig to /proxy/commands/checksig
2. Replace /usr/sbin/checksig with a symbolic link that points to the
proxy shell script, /proxy/proxy.sh
Then if some program on the TM5 calls "checksig", proxy.sh would first
log timestamp + the command line that the program checksig was called
with to /proxy/log.txt, then call /proxy/commands/checksig with just the
arguments it was called with.
That way, one could create a log of all interesting commands that are
being called in chronological order, for example when attaching a recipe
chip.
What do you and the others think about this?
EDIT: This is what the script /proxy/proxy.sh might look like:
1
#!/bin/sh
2
3
# Path to the directory with all proxy-related files
4
proxy_directory="/proxy"
5
6
# Log timestamp + called command line to the log file
Joachim S. schrieb:> Apparently, if you contact Vorwerk, they will send you a CD with the> source code of the GPL software. Some guy from this forum did so back in> 2015:> Beitrag "Re: Thermomix Rezeptchips"> Unfortunately he did not publish the source code they sent him, but at> least he posted a listing of the files on the CD, and it suggests that> they indeed modified three packages:> - linux kernel v2.6.35.3> - kobs-ng v10.12.01> - logrotate v3.8.3
So, it would interesting to get linux kernel modification in order to
check if they do something specific with USB.
Joachim S. schrieb:> You've got a TM5 and something like root access, allowing you to alter> the TM5 filesystem, correct?
Sorry but I don't have root access. I just have the root file system
that have been posted.
David N. schrieb:> So... es ist soweit.. ich habe mal den USB Protocol Analyzer zwischen> TM5 und Rezeptchip gehangen.>> Bisher habe ich noch nicht viel in den Daten herumgestöbert. Man sieht> nur einen IN und einen OUT Endpoint "Mass Storage Device".>> In den grossen Datenpaketen konnte ich keinen Klartext erkennen. Aber> wer weiss schon, in welchem Format die Daten vorliegen?>> Der Trace ist folgendermassen entstanden:> 1. recording starten> 2. chip anschliessen> 3. nach Erkennung -> Menü -> Rezepte> 4. "Das Kochbuch"> 5. "Nach Kategorie"> 6. "Vorspeisen und Salate"> 7. "Brokkoli Salat mit Pinienkernen"> 8. Starten (rechts oben)> 9. ca. 4 mal "weiter">> Den Trace gibt es hier (14.5Mb):> https://mega.co.nz/#!2h0QTYZY!UAgvTRrAN7ne1SK7BF6wh8swa_cITtvP7KZvjrY7Qo4>> Und die Software gibt es Gratis bei LeCroy:> http://teledynelecroy.com/support/softwaredownload/download.aspx?mseries=0&did=8337>
Hello Knochi,
Do you have a dump of the cookie (a dump made with dd or somthinhg like
that).
I would like to compare data exchanged through USB and data dumped with
dd in order to check dumping like that is correct.
Does somone already success to clone a cookie ?
It's possible to share a cookie between two thermomix, right?
So, it should be possible to clone a cookie.
If I well understand (from what I saw and what is written on this
thread), it's only a matter of VID, PID and serial number that is
included in USB descriptor.
I am right?
Sigma P. schrieb:> Fabian O. schrieb:>> You are right. It is possible to clone a chip>> Please, can you share kernel patches from Vorwerk CD.
Send me a PM
Hallo zusammen,
sehr interessante Diskussion hier, bei der ich mich jetzt auch
beteiligen kann nachdem wir auch einen TM5 haben.
Scheinbar haben die Vorwerk-Ingenieure ihren Job ganz gut gemacht, so
dass z.Z eigentlich nur ein bisschen Qemu-RootFS-Spielereien (von Ikaro
Psi) übrig bleiben, um mal zu schauen was so geht.
Das habe ich mal versucht (*zum Nachahmen sollte man wissen was man
tut*)
1. qemu installieren und Kernel/initrd, der oben erwähnt ist downloaden
2. squashfs unter linux mounten (auf /mnt/thermomix)
3. 128MB - Raw-Harddisk erstellt
4. mittels cfdisk thermomix.raw das Image partitioniert
Ich hab da 2 Partitionen erstellt
p1) 19MB für Squashfs (hab dann gemerkt das es sinnlos ist)
p2) 50MB ext3 (hier ist dann das rootfs drin)
5. mit "kpartx -a thermomix.raw" das Image als loop-harddisk
"registrieren"
Danach kann p1 und p2 als
/dev/mapper/loop0p1 und /dev/mapper/loop0p2 (oder loop1..)
angesprochen werden
6. mkfs vom rootfs und mount
1
mkfs.ext3 /dev/mapper/loop0p2
2
mount /dev/mapper/loop0p2 /mnt/thermomixext3
7. rsync
1
rsync -av /mnt/thermomix/ /mnt/thermomixext3/
Da ist mir aufgefallen, dass das squashfs GENAU bei der /bin/busybox
einen io-Fehler hat und rsync nur diese Datei nicht kopiert.
1
[ 2780.290452] SQUASHFS error: Unable to read data cache entry [135cd]
Die Datei ist für das Funktionieren des Images aber nötig.
8. Debian busybox-static nach /mnt/thermomixext3/bin/busybox kopieren
und zwar die Version von
https://packages.debian.org/wheezy/busybox-static
die hat keine glibc-Abhängigkeiten, die sonst - bei falscher Version
- das
Booten verhindern
9. unmount/usw
Ergebnis siehe Bild.
Das System bootet, aber bricht natürlich ab, da ich noch keine
Anpassungen (bis auf busybox) gemacht habe.
Es sollte aber kein Problem sein, einige Sachen zu simulieren (z.B.
Data-Partition), in dem man die Skripte anpasst.
Vg
boecko
- Das erzeugt das Differenz-Image thermomix.qcow2, das nur die
Änderungen im laufenden Betrieb beinhaltet.
- thermomix.raw bleibt dabei unangetastet
- den Schritt muss man wahrscheinlich wiederholen, wenn man an
thermomix.raw rumschraubt, da das FS sonst inkonsistent ist (evtl bei
ro-mount nicht noetig)
vg
Hallo,
kleines Update: nachdem ich ein weitere Partition in thermomix.raw
angelegt habe und
/etr/rc.d/rc.local auf
1
mount -t ext3 /dev/sda3 /mnt/rwfs/data
geändert habe, kommt man zumindest soweit wie im Bild
/mnt/rwfs/data/tech_box/session_0/gui_0.log zeigt auch einige Einträge
der GUI
Einen guten Rutsch an alle
boecko
Moin Boecko,
Das sieht ja schon nicht schlecht aus. Auf den ersten Blick würde ich
sagen, das er einen Bite Test an den Touchscreen macht, oder?
Frohes Neues Jahr!
Hallo an alle,
This thread is starting to get too long with pieces of information
scattered everywhere. Maybe we should start a subreddit with a proper
wiki. Something like /r/ps3homebrew (and its wiki at
https://www.reddit.com/r/ps3homebrew/wiki).
Maybe /r/ThermomixHomebrew?
Hi,
Could someone share a dump of the data contained in the memory stick
located on the wifi cook key board ?
Has anyone managed to mount the recipe.img using the password in
cookey.txt ?
I've tried using losetup (with an older version that - like the one in
the firmware - support "-e aes128"), with cryptsetup and aespipe...
without luck.
Thanks
I've played around with qemu, the TM5 rootfs that was provided here, and
kernel/initrd from https://people.debian.org/~aurel32/qemu/armel/
I've also commented lines in /etc/rc.d/rc.local to enable telnet.
Telnet listens to the sole available interface (loopback) which is
useless when using the -redir option to have the host forward to the
guest's telnet. So, an ethernet interface needs to be created.
My understanding is that /boot must be on another partition (that we do
not have access to) and there is no /lib/modules either.
So to load the default NIC from qemu (don't try the e1000 as it
segfaults), I have added mii.ko and smc91x.ko that I have extracted from
the rootfs at above URL and put them in the data disk (the one mounted
as sda3 and where TM5 logs are written).
I have modified a boot script to load those modules with insmod and then
run dhclient eth0).
At that point, it is possible to telnet the guest (root, no password).
The whole purpose of that was to have a proper shell and try
understanding how the TM5 decrypts the recipe device/image before
mounting it.
We already known/assume that the password to decrypt the image is in
/opt/cookey.txt.
grep -ra cookey.txt on the whole rootfs returns only one file ( binary:
/usr/sbin/netlink (as descrbed in previous posts) with this:
losetup -e aes128 -P /opt/cookey.txt
Someone here mentioned that these options do not really make any sense.
Indeed, the image to decrypt is missing but also -e aes128 is no longer
supported in recent versions of losetup.
Well, the losetup found in the rootfs does not effectively not support
the "-e aes128" option so I don't really see how the decryption process
is happening.
No really, related but I noticed the following kobs configuration file:
root@tm41 ~$ cat .kobs
#
# The sample configuration file for kobs
#
chip_0_device_path=/dev/mtd0
search_exponent = 3
data_setup_time = 40
data_hold_time = 40
address_setup_time = 40
data_sample_time = 6
row_address_size = 3
column_address_size = 2
ncb_version = 3
## not used anyway
##boot_stream_1_address = 0
##boot_stream_2_address = 0x1500000
where /dev/mtd0 is usually referred too as a flash drive.
Again, if the person who did open his wifi chip could share a copy of
the content of the sd card connected to it, I'd be happy to see what can
be done with it.
Schang S. schrieb:>> Again, if the person who did open his wifi chip could share a copy of> the content of the sd card connected to it, I'd be happy to see what can> be done with it.
There at least two facebook groups[0][1] where they claim they dumped
the image. In the first one there is a dead dropbox link. But maybe it
is worth asking there.
[0]: https://www.facebook.com/BIMBYTM5HACK/
[1]: https://www.facebook.com/tm5modding
Thanks. I have seen those groups but - unless I missed something - the
dump they offer is from a recipe key while I am seeking from the wifi
dongle.
Have you seen them talking about that (because I've been through all
published content several times and could not see anything like that) ?
Thanks. The FCC assessment only cares about radio.
To dump, after opening the cook-ket (which is what I would rather avoid
doing), I'am assuming the putting the sd card in your pc should do the
trick
Any idea how the recipe key is being encrypted ? Cryptsetup does not
recognize the file:
# cryptsetup luksDump recipes.img
Device recipes.img is not a valid LUKS device.
Hallo,
I had opened my cook-key (normal and not wifi).
Impossible to read it on:
- Windows 10
- virtual box Windows XP
- virtual box Linux (Lubuntu)
How can i do ?
Have you tried this product ?
FORNORM Magnetic Charging Cable USB 2.0 Male to 4 Pin Pogo Magnetic
Charger Cable Cord For Smart Watch GT88 G3 KW18 Y3 KW88 GT68
http://s.aliexpress.com/veAbmUVZ?fromSns=Nouveau message
Hi,
No sure what you are trying to achieve but you should not expect being
able to open the key like any regular usb memory stick.
Using e.g., Linux you should be able to create a copy using dd but then
you'll end up (as discussed in previous posts) with an image of the key
that is encrypted.
Thierry G. schrieb:> Hi guys,> Under windows 10 i have made an image.dd renamed image.img of my chip> with a nice tool.>> https://www.cgsecurity.org/wiki/TestDisk_DE>> Read this before but i used default at each time...> https://korben.info/realiser-limage-dun-disque-dur-testdisk.html> (sorry it's in french but google translation is your friend)>> Next step...> Write this image.img on a stick ;)
Hi Thierry,
why don't you try with a simple tool called Win32 Disk Imager. It makes
RAW images from the stick and can write it to another stick... ;)
https://sourceforge.net/projects/win32diskimager/
Can you test compressing the resulting image (ZIP, 7Z or RAR)? Can you
share the resulting file? It would be nice to compare two extracted
images from two identical (same book but two different serial numbers)
chips to see if there is any change. Probably only the serial number
from the chip. If not, then the serial number of the chip is probably
used for the partition encryption.
Jörg P. R. schrieb:> Ich dachte das wäre ein deutsches Forum.
Ich denke dass jeder der mit der Recherche mithelfen möchte, deutscher
oder nicht, ist hier im Forum herzlich wilkommen. Und Englisch ist
heutzutage eine universelle Sprache. ;)
Hallo Forum,
wäre es nicht möglich einen FTP Server zu starten ? Damit hätte man die
Möglichkeit eigene Rezepte auf den TM zu schieben. Haltet ihr das für
möglich ?
Gruß
firstfacility
Bimby T. schrieb:> why don't you try with a simple tool called Win32 Disk Imager. It makes> RAW images from the stick and can write it to another stick... ;)
Hi Bimby T.
Win32DiskImager don't work it can't see the false CD drive.
> Can you test compressing the resulting image ? Can you> share the resulting file? It would be nice to compare two extracted> images from two identical
it's a great idea !
@last posts:
Please read the COMPLETE thread! I know, its long, but: imaging and
cloneing already works. We found already the tools and settings, because
the drive serialnumber is very importend.
Fabian O. schrieb:> @last posts:>> Please read the COMPLETE thread! I know, its long, but: imaging and> cloneing already works. We found already the tools and settings, because> the drive serialnumber is very importend.
Hi Fabian,
Sorry, I overlooked the post
(Beitrag "Re: Thermomix Rezeptchips").
But we do not want to clone a chip, just make a chip with our own
recipes...
Hey Bimby,
I have to agree with @Fabians response: please read the complete thread,
this is especially true for "making own recipes".
That topic has already been covered and to be honest (in my opinion),
the most recent posts in this thread clearly show lacking deeper
understanding of the underlying technologies. Currently a bunch of
fundamentals are still missing, which should be definitely solved before
setting up any FTP servers, tools or whatever.
Markus H. schrieb:> Currently a bunch of> fundamentals are still missing, which should be definitely solved before> setting up any FTP servers, tools or whatever.
I'd guess: If anyone here is capable or able or whatever to gain access
to the device and is able to break the encryption - what's the way he'd
go? Sharing his knowledge within a minor forum or sell the knowledge and
thus the security issue to Vorwerk?
Such a comprehensive hack would be worth a whole load of money! I'd
offer it for at least 5 Million Euro. I bet Vorwerk will pay!
Martin S. schrieb:> Markus H. schrieb:>> Currently a bunch of>> fundamentals are still missing, which should be definitely solved before>> setting up any FTP servers, tools or whatever.>> I'd guess: If anyone here is capable or able or whatever to gain access> to the device and is able to break the encryption - what's the way he'd> go? Sharing his knowledge within a minor forum or sell the knowledge and> thus the security issue to Vorwerk?>> Such a comprehensive hack would be worth a whole load of money! I'd> offer it for at least 5 Million Euro. I bet Vorwerk will pay!
I think one possible guy wo would crack it would be Ikaro Psi (ikaro_p).
It was the only one that had root access to the TM5 system... :)
Bimby T. schrieb:> Martin S. schrieb:>> Markus H. schrieb:>>> Currently a bunch of>>> fundamentals are still missing, which should be definitely solved before>>> setting up any FTP servers, tools or whatever.>>>> I'd guess: If anyone here is capable or able or whatever to gain access>> to the device and is able to break the encryption - what's the way he'd>> go? Sharing his knowledge within a minor forum or sell the knowledge and>> thus the security issue to Vorwerk?>>>> Such a comprehensive hack would be worth a whole load of money! I'd>> offer it for at least 5 Million Euro. I bet Vorwerk will pay!>> I think one possible guy wo would crack it would be Ikaro Psi (ikaro_p).> It was the only one that had root access to the TM5 system... :)
You don't know if he did. He was able to obtain the rootfs of the
thermomix (excluding the /boot partition where the kernel and initrd, if
any, is located) but that may also have been done through the update
mechanism.
I have been provided with the content of the cook-key by a member of
this forum - that he did not want to disclose publicly as it may contain
identifiers such as a serial number that could link him to the leakage -
and was able to play a bit with the content. So, this could alo be a way
of figuring out how the upgrade process is happening and potentially to
fet a firmware upgrade.
I haven't shared the output of what I was able to see so far so here it
is in a quick dirty way:
fdisk -l thermomix-cookkey-drive-d
Disk thermomix-cookkey-drive-d: 7.5 GiB, 8053063680 bytes, 15728640
sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x84d46198
Device Boot Start End Sectors Size Id Type
thermomix-cookkey-drive-d1 2048 526335 524288 256M 83 Linux
thermomix-cookkey-drive-d2 526336 7854079 7327744 3.5G 83 Linux
#boot sector from 1 to 2048. d1 is from 2048 to
dd if=thermomix-cookkey-drive-d of=d1 skip=2048 bs=512 count=524288
status=progress
524288+0 records in
524288+0 records out
268435456 bytes (268 MB, 256 MiB) copied, 0.853545 s, 314 MB/s
file d1
d1: Linux rev 1.0 ext4 filesystem data,
UUID=4f0f6d2e-504f-41dd-8a06-8fc85eacdf66, volume name "usbdrive1"
(extents) (large files) (huge files)
#dump second partition
dd if=thermomix-cookkey-drive-d of=d2 skip=526336 bs=512 count=7327744
status=progress
3652907520 bytes (3.7 GB, 3.4 GiB) copied, 9 s, 406 MB/s
7327744+0 records in
7327744+0 records out
3751804928 bytes (3.8 GB, 3.5 GiB) copied, 12.6379 s, 297 MB/s
file d2
d2: Linux rev 1.0 ext4 filesystem data,
UUID=37c9eec0-8e8f-4ea2-977e-e8d0c5b18b93, volume name "usbdrive2"
(needs journal recovery) (extents) (large files) (huge files)
dd if=thermomix-cookkey-drive-d of=d3 skip=7854079 bs=512
status=progress
3727178752 bytes (3.7 GB, 3.5 GiB) copied, 9 s, 414 MB/s
7874561+0 records in
7874561+0 records out
4031775232 bytes (4.0 GB, 3.8 GiB) copied, 9.71618 s, 415 MB/s
file d3
d3: data
mkdir /tmp/d1
mkdir /tmp/d2
sudo mount -t ext4 d1 /tmp/d1
ls /tmp/d1
cs.tar
sudo mount -t ext4 d2 /tmp/d2
ls /tmp/d2
15272373012203516.ell ext.sdb ext.sdb-wal material
settings_cloud.sdb tm5.img
#make copy of the content from the mounted volumes to leave these
volumes untouched
mkdir /tmp/extract
cd /tmp/extract
cp -r /tmp/d1 /tmp/d2 .
cd d1
tar xf cs.tar
ls
cs.tar ext.sdb material settings_cloud.sdb tm5.img
ls material/
binary photo
cd material/binary/
ls
47857.bin 47874.bin 47891.bin 47907.bin 47923.bin[....]
ls |wc -l
206
ls -l |head
total 824
-rw------- 1 besnard besnard 1488 Jun 9 2016 47857.bin
-rw------- 1 besnard besnard 1712 Jun 9 2016 47858.bin
-rw------- 1 besnard besnard 736 Jun 9 2016 47859.bin
-rw------- 1 besnard besnard 976 Jun 9 2016 47860.bin
-rw------- 1 besnard besnard 896 Jun 9 2016 47861.bin
-rw------- 1 besnard besnard 1408 Jun 9 2016 47862.bin
-rw------- 1 besnard besnard 1536 Jun 9 2016 47863.bin
-rw------- 1 besnard besnard 1984 Jun 9 2016 47864.bin
-rw------- 1 besnard besnard 2224 Jun 9 2016 47865.bin
hexdump -C 47857.bin|head ; echo;hexdump -C 47858.bin|head
00000000 b7 31 5f 40 9c 57 42 89 c5 db 8e 5b 79 a2 f4 7f
|.1_@.WB....[y...|
00000010 0f 97 ba 54 3b a3 18 39 2b eb a8 99 0e 5f 60 52
|...T;..9+...._`R|
00000020 b8 80 1b 78 99 46 0d 2d bf 1d 0a b5 a9 70 d0 95
|...x.F.-.....p..|
00000030 7c 4e 37 9a b5 15 30 3c 4d 70 9a 87 cf 02 34 07
||N7...0<Mp....4.|
00000040 aa 6c 73 11 52 b5 63 bb 2e 14 2b 0a eb 07 2a d0
|.ls.R.c...+...*.|
00000050 f0 e5 e6 ce 42 b3 f0 58 e5 2a b8 5d 07 75 93 8a
|....B..X.*.].u..|
00000060 76 da ce 51 a0 33 82 3a c5 66 15 60 c1 02 02 61
|v..Q.3.:.f.`...a|
00000070 d5 57 05 f6 73 b1 87 dd 48 1a bd 31 e1 68 dc 23
|.W..s...H..1.h.#|
00000080 25 b6 36 bc af ed ff 9b 67 94 79 9d 0a ee 98 a1
|%.6.....g.y.....|
00000090 b2 81 07 8f 6f 20 55 87 2d 6d 43 3c 10 75 28 6b |....o
U.-mC<.u(k|
00000000 27 8c d3 bc c3 2e 7e 95 f3 e2 d4 40 37 0f 91 82
|'.....~....@7...|
00000010 59 ea de 65 26 e2 f7 df ce b0 b7 1d db 23 0a cf
|Y..e&........#..|
00000020 24 41 94 ef cb 59 72 50 3d 0d e4 38 cb 08 30 ed
|$A...YrP=..8..0.|
00000030 09 bf 2a cc 44 91 09 b3 18 d0 58 fe 67 a8 16 ac
|..*.D.....X.g...|
00000040 1d 09 ec d5 39 63 21 b3 30 c4 25 4c 33 60 56 fc
|....9c!.0.%L3`V.|
00000050 f2 82 93 69 3b 0e 9e 76 ea 03 f3 a6 b5 b9 e9 da
|...i;..v........|
00000060 46 55 a9 6d 32 84 3f d8 b9 3b f4 64 08 3f 1d 68
|FU.m2.?..;.d.?.h|
00000070 c7 b8 24 14 b5 48 89 71 cf 5e 0d a7 4c d0 88 46
|..$..H.q.^..L..F|
00000080 3a bb da 9a 67 09 39 1b fb f2 fa 12 e8 bb bf 66
|:...g.9........f|
00000090 1a b0 46 1b 58 4c f8 eb 41 4d 48 98 11 04 41 68
|..F.XL..AMH...Ah|
---> I tried to bindiff the various files but there is nothing in common
so no way of determining the structure (e.g., headers, etc.) of the
file.
the image directory contains the pics of the recipes so it's rather
useless.
cd /tmp/extract/d1
sqlite3 ext.sdb
SQLite version 3.11.0 2016-02-15 17:29:24
Enter ".help" for usage hints.
sqlite> .tables
categoryBin collectionBin material recipeBin
categoryBinMap collectionBinMap materialSignature recipeNote
categoryLang dataExt metadata recipeSignature
sqlite> .dump categoryBin
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE categoryBin (
categoryId UNSIGNED BIGINT NOT NULL PRIMARY KEY,
typeId INTEGER NOT NULL,
materialId UNSIGNED BIGINT DEFAULT 0 NOT NULL
);
INSERT INTO "categoryBin" VALUES(2,1,118);
INSERT INTO "categoryBin" VALUES(6,1,111);
INSERT INTO "categoryBin" VALUES(12,1,102);
INSERT INTO "categoryBin" VALUES(5,1,109);
INSERT INTO "categoryBin" VALUES(8,1,116);
INSERT INTO "categoryBin" VALUES(11,1,107);
INSERT INTO "categoryBin" VALUES(13,1,103);
INSERT INTO "categoryBin" VALUES(14,1,105);
INSERT INTO "categoryBin" VALUES(4,1,110);
INSERT INTO "categoryBin" VALUES(9,1,114);
INSERT INTO "categoryBin" VALUES(16,1,104);
INSERT INTO "categoryBin" VALUES(15,1,108);
INSERT INTO "categoryBin" VALUES(1,1,119);
INSERT INTO "categoryBin" VALUES(266,1,115);
INSERT INTO "categoryBin" VALUES(17,1,101);
COMMIT;
sqlite> .dump collectionBin
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE collectionBin (
collectionId UNSIGNED BIGINT NOT NULL PRIMARY KEY,
title VARCHAR NOT NULL,
sortKey VARCHAR NOT NULL,
materialId UNSIGNED BIGINT REFERENCES material ON DELETE NO ACTION
ON UPDATE NO ACTION,
nofRecipesPlanned INTEGER NOT NULL,
localeId INTEGER NOT NULL,
typeId INTEGER NOT NULL,
hash VARCHAR NOT NULL);
INSERT INTO "collectionBin" VALUES(1,'Das Kochbuch','-''K;C+5)O+5▒▒▒
',888,206,2,5,'1a06cc2bbc54b3REDACTEDREDACVTED');
sqlite> .dump material
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE material (
materialId UNSIGNED BIGINT NOT NULL PRIMARY KEY,
fullName VARCHAR NOT NULL,
hash VARCHAR NOT NULL);
INSERT INTO "material"
VALUES(100510,'./material/photo/150x150/mdb-72456-47857-1.jpg','2dd3a107
7dadc6274e2ade20828c5012F');
INSERT INTO "material"
VALUES(100610,'./material/photo/150x150/mdb-72473-47858-0.jpg','d40a868a
32999aac8ea9c4643a53a16dF');
INSERT INTO "material"
VALUES(100710,'./material/photo/150x150/mdb-72889-47859-0.jpg','6cb97314
0cf27883e63dddcaab6d9a2fF');
INSERT INTO "material"
VALUES(100810,'./material/photo/150x150/mdb-72794-47860-0.jpg','51fad5f5
216cc62444e90a1ab460246cF');
INSERT INTO "material"
VALUES(100910,'./material/photo/150x150/mdb-72763-47861-0.jpg','8465c2d4
9c899ef282ed21e4ab6d141cF');
INSERT INTO "material"
VALUES(101010,'./material/photo/150x150/mdb-72569-47862-0.jpg','42aa494a
08fc037fb046b66446d789a2F');
[...]
sqlite> .dump recipeBin
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE recipeBin (
recipeId UNSIGNED BIGINT NOT NULL PRIMARY KEY REFERENCES recipeNote
ON DELETE CASCADE ON UPDATE NO ACTION,
title VARCHAR NOT NULL,
sortKey VARCHAR NOT NULL,
version DECIMAL(8.2) NOT NULL,
localeId INTEGER NOT NULL,
materialId UNSIGNED BIGINT REFERENCES material ON DELETE NO ACTION
ON UPDATE NO ACTION,
hash VARCHAR NOT NULL);
INSERT INTO "recipeBin" VALUES(47857,'Crêpes','+I/E/K▒▒▒
',1,2,100510,'230e331008ae48541608101a23197cffF|1');
INSERT INTO "recipeBin" VALUES(47858,'Nudelteig,
frisch','AO-/=M/731I7K+5▒',1,2,100610,'230e331008ae48541608101a23197cffF
|1');
',1,2,100710,'230e331008ae48541608101a23197cffF|1');'')''3=7CA/▒
INSERT INTO "recipeBin"
VALUES(47860,'Tomatensauce','MC?''M/AK''O+/▒',1,2,100810,'230e331008ae48
541608101a23197cffF|1');
INSERT INTO "recipeBin"
VALUES(47861,'Basilikumpesto',')''K7=7;O?E/KMC▒',1,2,100910,'230e331008a
e48541608101a23197cffF|1');
',1,2,101010,'230e331008ae48541608101a23197cffF|1');7A/KMICA/▒
▒NSERT INTO "recipeBin" VALUES(47863,'Reissalat','I/7KK''=''M
',1,2,101110,'230e331008ae48541608101a23197cffF|1');
INSERT INTO "recipeBin" VALUES(47864,'Nudelsalat mit Forelle und
Gemüse','AO-/=K''=''M?7M1CI/==/OA-3/?OK/h▒▒x▒{▒
[...]
sqlite> .dump categoryBinMap
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE categoryBinMap (
categoryId UNSIGNED BIGINT NOT NULL REFERENCES categoryBin ON DELETE
CASCADE ON UPDATE CASCADE,
recipeId UNSIGNED BIGINT NOT NULL REFERENCES recipeBin ON DELETE
CASCADE ON UPDATE CASCADE,
PRIMARY KEY (categoryId, recipeId)
);
INSERT INTO "categoryBinMap" VALUES(16,47857);
INSERT INTO "categoryBinMap" VALUES(16,47858);
INSERT INTO "categoryBinMap" VALUES(11,47859);
INSERT INTO "categoryBinMap" VALUES(9,47860);
INSERT INTO "categoryBinMap" VALUES(9,47861);
INSERT INTO "categoryBinMap" VALUES(2,47862);
[...]
.dump collectionBinMap
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE collectionBinMap (
collectionId UNSIGNED BIGINT NOT NULL REFERENCES collectionBin ON
DELETE CASCADE ON UPDATE CASCADE,
recipeId UNSIGNED BIGINT NOT NULL,
PRIMARY KEY (collectionId, recipeId)
);
INSERT INTO "collectionBinMap" VALUES(1,47857);
INSERT INTO "collectionBinMap" VALUES(1,47858);
INSERT INTO "collectionBinMap" VALUES(1,47859);
[...]
.dump materialSignature
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE materialSignature (
materialId UNSIGNED BIGINT NOT NULL REFERENCES material ON DELETE
CASCADE ON UPDATE NO ACTION,
typeId INTEGER NOT NULL,
signature VARCHAR NOT NULL,
PRIMARY KEY (materialId, typeId)
);
INSERT INTO "materialSignature"
VALUES(100510,101,'71a594493ea7f5ee383bbfbaa873d3331591f34cf3c95c7c77527
ea7ed87220759a501e96837a0c34c52c2c45509135ce9a1bd71da8556daf391a715bb2cf
e43bbc965a117d0220eec70ca37a1183963e58bf7dad2e3c088462ef4973ca2fefd542bc
899d13ee5f64fc14a9c88642ece76a72068179e7bad8f0992cc234e380eaa87df3b6b509
16dbe0286cf0a5e71249e0f4893b090701f8a796de54b2a16eef067613c6760d711404ca
d49971eed6514bc3fc109f9dead035f7497c1ce4961843a3e2106ccefc6886567ea3e1b9
06f5feb9497449249182d7e19855d595c83595ffba4f3719a7af9254be032930cd946e19
bdc42c2c250f48d42223a87a547');
INSERT INTO "materialSignature"
VALUES(100610,101,'3dbda21a11b7b5cac81014ad8fbf129ed90530ba1834d9ce6f17f
fa79e7344ed8fb28343f411c55c223b053cdd1bc71415be8aa1fcc977ff1172c86d1aa90
6af590f37ed04e131927b3aecc62ef54efee7cc22fc0ad9ec39f3e51dde6d7957dca85f8
914d40cf1b1912cfdd6ed513e21472363371f6a08b31f9b6d03792f0a1817f3ea52df742
3f6e26c6aa6647d37668eaaa2d59783a5a3d5c904ef60496338f68ac4ce7e63f1832737b
3bb4499d2eb33247f8bd87f075b2ae37c2bb63b7c1fe289543f33dd8dfbfb0425a3238c3
c5d563d8c4f0c4a92a08666f1891f7a198c3db6ea07624af41ea42e0fb9bee47c18f7e71
e1d39eb2913d54ef650de7eb8b8');
[...]
.dump recipeNote
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE recipeNote (
recipeId UNSIGNED BIGINT NOT NULL PRIMARY KEY,
noteText VARCHAR NOT NULL,
hash VARCHAR NOT NULL
);
COMMIT;
.dump categoryLang
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE categoryLang (
categoryId UNSIGNED BIGINT NOT NULL REFERENCES categoryBin ON DELETE
CASCADE ON UPDATE CASCADE,
localeId INTEGER NOT NULL,
title VARCHAR NOT NULL,
sortKey VARCHAR NOT NULL,
PRIMARY KEY (categoryId, localeId)
);
INSERT INTO "categoryLang" VALUES(2,1,'Soups','KCOEK ');
INSERT INTO "categoryLang" VALUES(2,2,'Suppen','KOEE/A
▒ ');
INSERT INTO "categoryLang" VALUES(2,3,'Soupes','KCOE/K
▒ ');
INSERT INTO "categoryLang" VALUES(2,4,'Sopas','KCE''K ');
INSERT INTO "categoryLang" VALUES(2,5,'Zuppe, passati e
minestre','YOEE/E''KK''M7/?7A/KMI/▒');
INSERT INTO "categoryLang" VALUES(2,6,'Sopas','KCE''K ');
INSERT INTO "categoryLang" VALUES(2,7,'Zupy','YOE▒');
[...]
.dump dataExt
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE dataExt (
dataExtType_id INTEGER NOT NULL PRIMARY KEY,
value VARCHAR NOT NULL
);
INSERT INTO "dataExt" VALUES(1,'2.0.2');
INSERT INTO "dataExt" VALUES(2,'2016-06-09 15:03:58');
INSERT INTO "dataExt" VALUES(3,'0');
COMMIT;
.dump metadata
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE metadata (
typeId UNSIGNED BIGINT NOT NULL PRIMARY KEY,
value VARCHAR);
INSERT INTO "metadata" VALUES(1,NULL);
INSERT INTO "metadata" VALUES(4,NULL);
INSERT INTO "metadata" VALUES(5,NULL);
INSERT INTO "metadata" VALUES(6,NULL);
INSERT INTO "metadata" VALUES(7,NULL);
INSERT INTO "metadata" VALUES(10,NULL);
INSERT INTO "metadata" VALUES(3,'6');
INSERT INTO "metadata" VALUES(2,'2');
INSERT INTO "metadata" VALUES(8,'3');
COMMIT;
.dump recipeSignature
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE recipeSignature (
recipeId UNSIGNED BIGINT NOT NULL REFERENCES recipeBin ON DELETE
CASCADE ON UPDATE CASCADE,
typeId INTEGER NOT NULL,
signature VARCHAR NOT NULL,
PRIMARY KEY (recipeId, typeId)
);
INSERT INTO "recipeSignature"
VALUES(47857,101,'6af76679f19201dbb287016da4ef78aff06218b7430f40bdbe8afb
e794804ec119d2289f6285393ca57dff8d99327507fa6f17d47b403be6d68a5694f3f3f2
944137b31d2f02132af03e3be18bb6ac45eebfb0afd17d36c9b28fde1d61b687d83576c0
7e1e2d3581da553bd5f712f1ecc07ad81ea687d457b1640042122fc68ea58d5128d21045
99b1a269b4019df14c2ab1db0adf403c639fe933a24b81f638b705bd202342be476abad6
e6413698d2f064347b6b4b391e0a469e28e31c99da545efeac36dae1304644953eda2ce7
3cfeb499f9f900b8bd99340dfc799c4b0fd54f1c3f67a3cd39e15aa925659c752b2804ce
83c6a6a8f739b3579a5a53c573');
[...]
sqlite3 settings_cloud.sdb
SQLite version 3.11.0 2016-02-15 17:29:24
Enter ".help" for usage hints.
sqlite> .tables
dataCloud settingsCloudApp vendorMapping
dataCloudType settingsCloudAppDebug
.dump dataCloud
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE dataCloud (
dataCloudType_id INTEGER NOT NULL PRIMARY KEY REFERENCES
dataCloudType ON DELETE CASCADE ON UPDATE RESTRICT,
value VARCHAR NOT NULL
);
INSERT INTO "dataCloud" VALUES(1,'1.0.2');
INSERT INTO "dataCloud" VALUES(2,'2014-10-24 11:32:44');
COMMIT;
.dump dataCloudType
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE dataCloudType (
id INTEGER NOT NULL PRIMARY KEY,
type VARCHAR NOT NULL
);
INSERT INTO "dataCloudType" VALUES(1,'cloudSettingsDbVersion');
INSERT INTO "dataCloudType" VALUES(2,'cloudSettingsDbDate');
sqlite> .dump settingsCloudApp
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE "settingsCloudApp" ("id" INTEGER PRIMARY KEY NOT NULL
,"remoteAddress" CLOB NOT NULL ,"TCPPort" INTEGER NOT NULL ,"remotePath"
CLOB NOT NULL ,"pingAddress" CLOB NOT NULL );
INSERT INTO "settingsCloudApp"
VALUES(1,'css.tmecosys.com',443,'/ws','l.root-servers.net');
sqlite> .dump settingsCloudAppDebug
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE "settingsCloudAppDebug" ("id" INTEGER PRIMARY KEY NOT NULL
,"mac" STRING NOT NULL ,"ssn" STRING NOT NULL );
INSERT INTO "settingsCloudAppDebug"
VALUES(1,'AABBCCDDEEFF','0123456789ABCDEF');
COMMIT;
sqlite> .dump vendorMapping
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE "vendorMapping" ("id" INTEGER PRIMARY KEY NOT NULL
,"vendor_id" VARCHAR NOT NULL ,"vendor_char" VARCHAR NOT NULL );
INSERT INTO "vendorMapping" VALUES(1,'001343','A');
COMMIT;
The tm5.img can not be mounted (using e.g., losetup in aes128 mode with
the password in the cookey.txt file). Cryptsetup does not recognize it
as a LUKS volume:
cryptsetup luksDump tm5.img
Device tm5.img is not a valid LUKS device.
so that's it for partition 1. Moving to partition 2:
cd ../d2
ls
15272373012203516.ell ext.sdb ext.sdb-wal material
settings_cloud.sdb tm5.img
the only new item is 15272373012203516.ell which seems purely random
(according to strings/hexdump output and analysis with binwalk).
The one thing that bothers me is that we seem to know where updates are
being downloaded from but Ican't figure a way to build the exact URL to
attempt retrieving e.g., the latest firmware.
I've inspected the main executable /opt/Thermomix/Thermomix a bit and
found the class KeyStoreDevice which seems to handle loading encryption
keys from /dev/ks via an ioctl. Do we have access to the kernel source
code?
Ikaro P. schrieb:> Getting kernel out is going to be bit harder as it seems to be stored as> a raw bootstream on the first flash chip. There are some hints on using> OTP keys for security, but they seems to be set to 0s for now. My root> access is still "tethered" but I might be getting closer to a perma-root> soon.
Great work Ikaro! I knew and know you can hack this "little" beast so we
can build our own chips with our own recipes! :D
Have you or could you test if it would be possible to used unencrypted
chips with the variable RDV at /etc/rc.d/rc.local changed to 1 (the "no
support" is a probably a typo, as it activates the "Recipe Development
Version"):
# set global variable RDV, which is then read by netlink
# Possible values: 0 - not RDV version, no support for pirated cookie
(EXT4 formatted cookie).
# 1 - RDV version, no support for pirated cookie.
export RDV=0
echo "Set Recipe Development Version to $RDV"
Update on cooksticks encryption:
I managed to get GUI running in an emulator with a debugging mode
enabled so I can actually see what is the netlink trying to do when
cookstick is inserted.
NETLINK-INFO: 0h8m13s348ms: virtual void
KernelListener::processEvent(size_t) adding event
NL_ADD_STORAGE_PARTITION
[FSM] NETLINK-DEBUG: 0h8m13s349ms: [EVT-R] NL_ADD_STORAGE_PARTITION :
[/devices/pci0000:00/0000:00:0c.0/usb1/1-2/1-2:1.0/host1/target1:0:0/1:0
:0:0/block/sr1, sr1]
NETLINK-DEBUG: 0h8m13s349ms: MAIN LOOP: started processing event:
NL_ADD_STORAGE_PARTITION
[/devices/pci0000:00/0000:00:0c.0/usb1/1-2/1-2:1.0/host1/target1:0:0/1:0
:0:0/block/sr1, sr1]
NETLINK-DEBUG: 0h8m13s349ms: virtual void
GenericDeviceHandlingState::handleAddDevice(KernelEvent::DeviceType,
std::string, std::string)
NETLINK-DEBUG: 0h8m13s350ms: int ExecuteSystemCommand(std::string&) : rm
-f /tmp/dev/sr1
NETLINK-DEBUG: 0h8m13s450ms: int ExecuteSystemCommand(std::string&) :
mkdir -p /tmp/dev/
NETLINK-DEBUG: 0h8m13s469ms: int ExecuteSystemCommand(std::string&) :
mknod -m 644 /tmp/dev/loop1 b 7 1
NETLINK-DEBUG: 0h8m13s481ms: int ExecuteSystemCommand(std::string&) :
mknod -m 644 /tmp/dev/sr1 b 11 1
NETLINK-DEBUG: 0h8m13s496ms: int ExecuteSystemCommand(std::string&) :
mkdir -p /tmp/sr1
NETLINK-DEBUG: 0h8m13s516ms: int ExecuteSystemCommand(std::string&) :
losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1
NETLINK-ERROR: 0h8m13s937ms: System command losetup -e aes128 -P
/opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1 returned 1
NETLINK-DEBUG: 0h8m13s938ms: int ExecuteSystemCommand(std::string&) :
mount -o ro /tmp/dev/loop1 /tmp/sr1
NETLINK-ERROR: 0h8m14s93ms: System command mount -o ro /tmp/dev/loop1
/tmp/sr1 returned 255
NETLINK-INFO: 0h8m14s126ms: Storage partition found at /tmp/sr1/ (S/N:
REDACTED
)
NETLINK-ERROR: 0h8m14s127ms: No valid cookstick recognized
But as you can see this fails:
$ losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1
ioctl: LOOP_SET_STATUS: Invalid argument, requested cipher or key length
(128 bits) not supported by kernel
Running losetup through strace shows us the culprit:
[pid 30043] ioctl(4, LOOP_GET_STATUS64, {lo_offset=0, lo_number=1,
lo_flags=LO_FLAGS_READ_ONLY, lo_file_name="", ...}) = 0
[pid 30043] ioctl(4, LOOP_SET_STATUS64, {lo_offset=0, lo_number=0,
lo_encrypt_type=0x10 /* LO_CRYPT_??? */, lo_encrypt_key_size=16,
lo_flags=0, lo_file_name="/dev/sr1", lo_crypt_name="",
lo_encrypt_key="#7\245\221f\271N,\373\360\317]S\273\276X", ...}) = -1
EINVAL (Invalid argument)
[pid 30043] ioctl(4, LOOP_SET_STATUS, {lo_number=0, lo_offset=0,
lo_encrypt_type=0x10 /* LO_CRYPT_??? */, lo_encrypt_key_size=16,
lo_flags=0, lo_name="/dev/sr1",
lo_encrypt_key="#7\245\221f\271N,\373\360\317]S\273\276X", ...}) = -1
EINVAL (Invalid argument)
[pid 30043] ioctl(4, LOOP_GET_STATUS64, {lo_offset=0, lo_number=1,
lo_flags=LO_FLAGS_READ_ONLY, lo_file_name="", ...}) = 0
[pid 30043] ioctl(4, LOOP_SET_STATUS64, {lo_offset=0, lo_number=0,
lo_encrypt_type=LO_CRYPT_CRYPTOAPI, lo_encrypt_key_size=16, lo_flags=0,
lo_file_name="/dev/sr1", lo_crypt_name="aes-cbc",
lo_encrypt_key="#7\245\221f\271N,\373\360\317]S\273\276X", ...}) = -1
EINVAL (Invalid argument)
[pid 30043] ioctl(4, LOOP_SET_STATUS, {lo_number=0, lo_offset=0,
lo_encrypt_type=LO_CRYPT_CRYPTOAPI, lo_encrypt_key_size=16, lo_flags=0,
lo_name="aes-cbc",
lo_encrypt_key="#7\245\221f\271N,\373\360\317]S\273\276X", ...}) = -1
EINVAL (Invalid argument)
[pid 30043] openat(AT_FDCWD,
"/usr/share/locale/en_US/LC_MESSAGES/util-linux.mo", O_RDONLY) = -1
ENOENT (No such file or directory)
[pid 30043] openat(AT_FDCWD,
"/usr/share/locale/en/LC_MESSAGES/util-linux.mo", O_RDONLY) = -1 ENOENT
(No such file or directory)
[pid 30043] openat(AT_FDCWD,
"/usr/share/locale/en_US/LC_MESSAGES/libc.mo", O_RDONLY) = -1 ENOENT (No
such file or directory)
[pid 30043] openat(AT_FDCWD, "/usr/share/locale/en/LC_MESSAGES/libc.mo",
O_RDONLY) = -1 ENOENT (No such file or directory)
[pid 30043] write(2, "ioctl: LOOP_SET_STATUS: Invalid "..., 108ioctl:
LOOP_SET_STATUS: Invalid argument, requested cipher or key length (128
bits) not supported by kernel
The losetup binary is IFAIK not a vanilla one as it is trying to use
lo_encrypt_type=0x10 which is nowhere to be found on the internet. This
means we won't be able to decrypt cooksticks anywhere besides the
machine until we (I mean... until I :D) manage to extract the kernel and
revers-engineer the handler. Or maybe someone else here might get lucky
with the passed
lo_encrypt_key="#7\245\221f\271N,\373\360\317]S\273\276X" now?
I must once more commend Vorwerk for their job, as I've said before I do
security for living and as of now have never seen anything remotely good
as this. Well played Vorwerk, well played.
P.S. Comming soon might be a guide on running the GUI in an emulator,
for now it's not usable as the emulated touchscreen driver is sending
coordinated in 0-32768 range but the GUI needs them in screen pixels.
Clicking blindly in the left upper corner is just pain in the ass...
Ikaro P. schrieb:> Update on cooksticks encryption:>> I managed to get GUI running in an emulator with a debugging mode> enabled so I can actually see what is the netlink trying to do when> cookstick is inserted.
Ikaro, you are doing a great work, you are the men! I would be happy if
I would have a little percentage of your knowledge... :)
If you could publish a guide for setting up the GUI on a emulator where
we can then attach an image from the cooksticks (or the real ones) to
test them out would be awesome...
Regarding the "losetup" binary, if it was changed by Vorwerk with some
custom encryption type, then there should be the source code for this,
as it should be open source, right? Should be ask for it at
opensource@vorwerk.de?
Thanks for all your current and future work on this! :)
Good so see more activity here :-)
Ikaro P. schrieb:> Getting kernel out is going to be bit harder as it seems to be stored as> a raw bootstream on the first flash chip. There are some hints on using> OTP keys for security, but they seems to be set to 0s for now. My root> access is still "tethered" but I might be getting closer to a perma-root> soon.
Indeed, I also suspect them to be stored in the OTP bits of the MX28.
What I can see from the code is that the driver must support at least 2
ioctls. Both take an index (0..9) and one returns the length of the key
and the other copies the key into a buffer to which you pass a pointer.
I also inspected the 'checkimg' executable and although it contains a
lot of crypto functions statically linked in, it neither contains a
single ioctl nor does it reference any external library. I'm sure that
the firmware update key is statically linked into that executable.
> [ 0.800000] key_store: driver loaded
That's the driver that handles the OTP crypto keys. To my surprise your
kernel doesn't list the device under /proc/devices lateron explicitly.
But it has major ID 10 (see /dev folder of your root filesystem) which
is misc officially anyway and that is listed.
Ikaro P. schrieb:> I managed to get GUI running in an emulator with a debugging mode> enabled so I can actually see what is the netlink trying to do when> cookstick is inserted.
Is it possible to share that emulator setup?
moin mädels,
wie damals angekündigt habe ich an einem html/js editor gebastelt.
wollte ja eigentlich auf die endgültige struktur der datenbank warten
bevor ich da weiter mache, aber ich habe hier so viele von "meinen"
rezepten auf zetteln rumfliegen...
Sobald wir alle nötigen Daten haben um einen Export auf den Chip
realisieren zu können (und der Editor dafür in Betracht kommt) steht
einem gitProjekt nix im Wege. Ist alles unter GPL also kann jeder damit
machen was er will.
Ich denke es ist immer leichter etwas zu verändern als von 0 zu starten
also ab mit dem Teil in den upload...
hi girls,
i have uploaded a basic html/js editor for recipes that is waiting for
more details about "the chip" to be usefull.
its very easy to implement another language so i hope that it could be
used some day as our default editor to fill "the chip".
https://uploadfiles.io/euabu
Warum braucht Ihr den Chip zu hacken?
Man kann doch die URL Adresse von Cookidoe Server abhören und durch DNS
auf eigenen Server umleiten. Der Server wird dann die ganze Rezepte
bereitstellen.
So ähnlich wurden die Apple TV Boxen gehackt.
Gennadij D. schrieb:> Warum braucht Ihr den Chip zu hacken?> Man kann doch die URL Adresse von Cookidoe Server abhören und durch DNS> auf eigenen Server umleiten. Der Server wird dann die ganze Rezepte> bereitstellen.> So ähnlich wurden die Apple TV Boxen gehackt.
Eben nicht!
Das ist alles SSL Verschlüsselt, da kannst nix mithören ;(
@Gennadij Degterjow: Interessante Idee.
Michael W. schrieb:> Das ist alles SSL Verschlüsselt, da kannst nix mithören ;(
Auf welche Domain wird denn zugegriffen?
Wird das Zertifikat ausreichend auf Korrektheit geprüft?
Reicht ein selbstsigniertes Zertifikat?
Big thanks for your work, Ikaro P, we would not have any chance with
that if we did not have
you.(https://media3.giphy.com/media/3oEdva9BUHPIs2SkGk/giphy.gif) It
seems like everyone else except you is stuck and because nobody seems to
read the whole thread here, I think we should move to a subreddit with
wiki to display all information orderly, like someone mentioned before.
I will do that if I find any old reddit account of mine, I can not start
a new subreddit with a just created account.
Ikaro P. schrieb:> Sadly this is not possible for two reasons now:> - the process of registration of the TM to the online system is probably> the way the per device client certificate is issued and I think that one> is used most of the time.> - TM strictly enforces the verification of the server certificate.> Public CA system is not used and the only certificates accepted must> stem from Vorwerk's internal CA.
Did you ever notice that the per device certificate is used ? I dont got
a TM5 by now, but there is a private cert key in your fw dump in
/tmp/certificates/. Did someone ever really tried to fake the cookidoo
website the TM5 is communicating with, or sniff some of the
communication ?
This will be the first thing I will try when I got the TM5, as we could
load our own recipes this way without any hardware modification. If the
per device cert is really such important, could you register your TM to
the online system and dump the fw again so we could look for the per
device cert ?
Can anyone who sniffed the encrypted traffic share the capture here so I
could try to decrypt the parts where the cert is used for that we
already got the private key?
One other interesting thing would be to try to encrypt the offline
recipes chip with the AES key found by you. I do not have any chip or
the hardware to connect to it, but as I read here, some people allready
got a working clone of the offline chip, and the problem with changing
data on the chip is the verification with chip serial + AES key. We got
that key now thanks to you. We should be able to change data on the
stick now and that could also be a way to get our own recipes on the
TM5.
Ikaro P. schrieb:> P.S. Comming soon might be a guide on running the GUI in an emulator,
How did you emulate the touch screen ? I did not get further than "C530.
Touch device not working.".
Thanks again for your great work, if there is anything you cannot say
here please contact me at haschhans@emailn.de.
Hans H. schrieb:> Did you ever notice that the per device certificate is used ? I dont got> a TM5 by now, but there is a private cert key in your fw dump in> /tmp/certificates/. Did someone ever really tried to fake the cookidoo> website the TM5 is communicating with, or sniff some of the> communication ?
I sniffed the communication some time ago when the Cookidoo chip entered
the market, and yes, they use client cert authentication aggressively. I
don't have the capture at hand, but AFAIR the key only communicates with
a single HTTPS endpoint that expects the client cert. The only exception
would be a first unencrypted request to synchronize the device's time
(think NTP over HTTP).
Thomas H. schrieb:> Hans H. schrieb:>> Did you ever notice that the per device certificate is used ? I dont got>> a TM5 by now, but there is a private cert key in your fw dump in>> /tmp/certificates/. Did someone ever really tried to fake the cookidoo>> website the TM5 is communicating with, or sniff some of the>> communication ?>> I sniffed the communication some time ago when the Cookidoo chip entered> the market, and yes, they use client cert authentication aggressively. I> don't have the capture at hand, but AFAIR the key only communicates with> a single HTTPS endpoint that expects the client cert. The only exception> would be a first unencrypted request to synchronize the device's time> (think NTP over HTTP).
Can you maybe do the sniff again if you don't have the capture ? I don't
have the Cookidoo by now.
Ikaro P. schrieb:> NETLINK-DEBUG: 0h8m13s516ms: int ExecuteSystemCommand(std::string&) :> losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1> NETLINK-ERROR: 0h8m13s937ms: System command losetup -e aes128 -P> /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1 returned 1>> But as you can see this fails:> $ losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1> ioctl: LOOP_SET_STATUS: Invalid argument, requested cipher or key length> (128 bits) not supported by kernel>> The losetup binary is IFAIK not a vanilla one as it is trying to use> lo_encrypt_type=0x10 which is nowhere to be found on the internet.
Hi Ikaro P.! I have found the source code for losetup that uses this
encryption type: https://sourceforge.net/projects/loop-aes/
If we look at the samples
(http://loop-aes.sourceforge.net/ciphers.README) we can see the
following command:
losetup -p 0 -e AES128 /dev/loop0 /dev/hda666
This command is similar to the command used by the Thermomix:
losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1
Is it right? :)
I am not a programmer, but I think this is the needed part that will
help complete the decryption method of the cookstick.
> P.S. Comming soon might be a guide on running the GUI in an emulator,> for now it's not usable as the emulated touchscreen driver is sending> coordinated in 0-32768 range but the GUI needs them in screen pixels.> Clicking blindly in the left upper corner is just pain in the ass...
Can you please release the guide for running the Thermomix GUI even if
the touchscreen driver is not fixed? Please? :)
Thanks!
Would be nice to see some update from you soon... Let's keep this
project alive guys! :)
This losetup option (notably -e aes128) correspond to an old version of
losetup. The losetup binary inside the Thermomix does not have those
options (which you'll be able to appreciate if you run it in qemu. I've
also tried putting the old version that had those options inside the
qemu image and that did not help deciphering the data).
Schang S. schrieb:> This losetup option (notably -e aes128) correspond to an old version of> losetup. The losetup binary inside the Thermomix does not have those> options (which you'll be able to appreciate if you run it in qemu. I've> also tried putting the old version that had those options inside the> qemu image and that did not help deciphering the data).
Hi Schang S.,
you need to apply this package
(https://sourceforge.net/projects/loop-aes/) and compile the losetup
binary with it (on the project page we can see: "Works with 4.x, 3.x,
2.6, 2.4, 2.2 and 2.0 kernels", so the old losetup binary you talked
about does not use the same encryption methods).
The losetup you see on the QEMU is NOT the kernel of the Thermomix, but
a generic linux kernel for the Freescale processor. Like Ikaro P. wrote,
nobody until now got access to the real Thermomix kernel.
I can assure you that the "loop-aes" is used on the Thermomix kernel and
anyone that already asked Vorwerk for the Thermomix kernel source code
can confirm this... :)
I am not a programmer so I can not test it myself.
Did you managed to have a working GUI like Ikaro P.? Can you share how
you set it up? Thanks!
Indeed, what I'm saying is that the losetup stuff with -aes128 give a
wrong direction. I did effectively try with the old versions of losetup
that supported these option and that did not help.
Schang S. schrieb:> Indeed, what I'm saying is that the losetup stuff with -aes128 give a> wrong direction. I did effectively try with the old versions of losetup> that supported these option and that did not help.
Did the old losetup implement the "loop-aes" methods?
Having the same syntax does not mean that the methods are the same... ;)
As you can see on the work of Ikaro P., the closed source tool from
Vorwerk NETLINK shows what it tries to do and fail on losetup because
the encryption method is unknown (because the losetup on the generic
kernel does not have it, and the old losetup does not implement the same
encryption methods):
NETLINK-DEBUG: 0h8m13s516ms: int ExecuteSystemCommand(std::string&):
losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1
NETLINK-ERROR: 0h8m13s937ms: System command losetup -e aes128 -P
/opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1 returned 1
Like I have said, on the kernel source code from Vorwerk, they have two
folders, one with unmodified source, and one with modified source. On
the modified source is the losetup source code and on the readme file is
written that it needs the loop-aes package... ;)
I perfectly understood all that.
Did you request and obtain the source code ? (given your comment I would
assume you did). If so, would you care sharing it ? and if we have the
code of the kernel (that would contain any proprietary encryption
routines they could have developed) then what are we missing to
successfully decrypt ?
Schang S. schrieb:> I perfectly understood all that.> Did you request and obtain the source code ? (given your comment I would> assume you did). If so, would you care sharing it ?
Yes, I have requested the source code. I do not know if I can share it,
because I had to give all my personal data and Thermomix serial number
to receive a CD with the source code at home (so maybe the source code
is signaled with my data). If you have a Thermomix you could ask for the
source code too, you just need to write them an email at
opensource@vorwerk.de, tell them your address and Thermomix serial
number.
The source code should be about ~300MB...
> and if we have the> code of the kernel (that would contain any proprietary encryption> routines they could have developed) then what are we missing to> successfully decrypt ?
The problem here is that I am not a programmer. I just asked the source
code to look around and possibly help the community with the research.
This part of the losetup is on the kernel utilities "modified" source
code...
I just sent an e-mail with my serial number. How long did it take to
receive the CD ?
I'm not sure that they would go through the trouble of watermarking the
code. Especially since according to GPL they are supposed to provide
modified open source code to anyone (regardless of the fact that you own
a TM5 or not).
Schang S. schrieb:> I'm not sure that they would go through the trouble of watermarking the> code.
We could simply test it: if two people have the sourcecode, just
generate the SHA256 Hashsum and compare them. If the reults are equal,
it is safe that there is no watermark ;)
Schang S. schrieb:> I just sent an e-mail with my serial number. How long did it take to> receive the CD ?
Nowadays they give you access to an fileserver to download the sources.
In my case it took 3 month to finally download the sources.
But maybe they are faster now ;)
Julian W. schrieb:> We could simply test it: if two people have the sourcecode, just> generate the SHA256 Hashsum and compare them. If the reults are equal,> it is safe that there is no watermark ;)
I would be in.
I does anybody have the version 2.3 of the sources to compare?
Schang S. schrieb:> I just sent an e-mail with my serial number. How long did it take to> receive the CD ?>> I'm not sure that they would go through the trouble of watermarking the> code. Especially since according to GPL they are supposed to provide> modified open source code to anyone (regardless of the fact that you own> a TM5 or not).
I have got it some weeks later I think (do not know now, I have got it
sometime ago).
I also asked for a download link, but Vorwerk told me back then that
they do not provide download links of the source code. They only send it
as a physical medium (CD-Rom). Maybe they use this method to have a
record of personal data (address and serial number) from persons that
asked for the source code...
Moritz M. schrieb:> Julian W. schrieb:>>> We could simply test it: if two people have the sourcecode, just>> generate the SHA256 Hashsum and compare them. If the reults are equal,>> it is safe that there is no watermark ;)>> I would be in.>> I does anybody have the version 2.3 of the sources to compare?
There you go:
File: Thermomix_TM5_GPL_v2.3.tgz
CRC-32: b1e3209b
MD4: aa57ab0c2913b5744941b0241a5fbfa2
MD5: c42146a26bcd7f7f84327957a07a3c49
SHA-1: 599a257f88e38801ede4e7e1ec37bcc66d43f573
Used HashCheck (https://github.com/gurnec/HashCheck) for that... ;)
Bimby T. schrieb:> Moritz M. schrieb:>> Julian W. schrieb:>>>>> We could simply test it: if two people have the sourcecode, just>>> generate the SHA256 Hashsum and compare them. If the reults are equal,>>> it is safe that there is no watermark ;)>>>> I would be in.>>>> I does anybody have the version 2.3 of the sources to compare?>> There you go:>> File: Thermomix_TM5_GPL_v2.3.tgz> CRC-32: b1e3209b> MD4: aa57ab0c2913b5744941b0241a5fbfa2> MD5: c42146a26bcd7f7f84327957a07a3c49> SHA-1: 599a257f88e38801ede4e7e1ec37bcc66d43f573>> ;)
Nope, seems to be different:
Bimby has provided me with his source code and I am getting the exact
same checksums when running on each individual files. So, definitely no
watermark there :)
Moritz M. schrieb:>> So what about the files itself:>
Well, I have checked and the MD5 checksum from the files that I have got
from Vorwerk are all equal, BUT, on my tar file it is missing the
following folder:
<code>
./modified_packages/GPL_LGPL_licensed_packages/imx-bootlets_10.12.01/
</code>
So it seems that the source code is not "signed" with any personal data.
Can you share the source code (because yours is more complete) on a
online sharing host like mega.co.nz or similar (where it does no expire
and do not have download limits)...
@Schang S.: Can you share how you setup the QEMU with a working GUI?
Thanks!
Schang S. schrieb:> Bimby has provided me with his source code and I am getting the exact> same checksums when running on each individual files. So, definitely no> watermark there :)
With Bimby you mean me or Vorwerk? I did not share any source code to
you...
And as for running qemu. My folder with all my files is a big mess and
I'm not sure of all the history of changes I made so let me know if that
works for you:
Grab kernel image and initrd here:
https://people.debian.org/~aurel32/qemu/armel/
If you wish to mount the disk image in order to make changes
sudo kpartx -a thermomix.raw && sudo mount /dev/mapper/loop0p2
thermomixext3/
And then to unmount it
sudo umount thermomixext3 && sudo kpartx -d thermomix.raw
You then need to convert the image to qcow2 format (to be done each time
you modify the raw image that can be mounted as described just before)
qemu-img create -b thermomix.raw -f qcow2 thermomix.qcow2
And then run qemu
qemu-system-arm -M versatilepb -kernel vmlinuz-2.6.32-5-versatile
-initrd initrd.img-2.6.32-5-versatile -hda thermomix.qcow2 -append
"root=/dev/sda2"
You'll get the GUI screen at some point (with the error message). To get
your shell just hit enter which will mke the GUI image disappear.
I believe that this setup did not fully work in the first place and I
had to make a few modifications to the disk image but I have not
documented anything at that time ...
Good luck !
Schang S. schrieb:> And as for running qemu. My folder with all my files is a big mess and> I'm not sure of all the history of changes I made so let me know if that> works for you:>
Thanks, so you did not have the GUI working without errors like Ikaro
P., or am I wrong?
Regarding the source code you got from Vorwerk, did you got a public
link or you need to authenticate with username and password?
No I did not get it to work but I am not too concerned by that as I
would prefer being able to decrypt the cook stick and then determine if
recipes can be changed.
As for the source code, Moritz kindly sent me a link earlier today :)
Schang S. schrieb:> No I did not get it to work but I am not too concerned by that as I> would prefer being able to decrypt the cook stick and then determine if> recipes can be changed.>> As for the source code, Moritz kindly sent me a link earlier today :)
Ok, so if you find something now with the kernel source code, please
share... :)
The source code helped figure out what is being done with losetup (they
applied a patch that is publicly available).
So I've been able to use it with the key provided in cookey.txt but the
loop device can not be mounted and does not look like a file system that
can be mounted so I'm a bit stuck right now.
So, the TM5 is using a modified version of losetup which is basically
util-linux-2.26.2 with patch util-linux-2.26-20150310.diff
I've downloaded that version on computer, applied the patch and
compiled.
From there, I had to to modprobe cryptoloop otherwise you'll get the
following error:
ioctl: LOOP_SET_STATUS: Invalid argument, requested cipher or key length
(128 bits) not supported by kernel
So, I'm assuming that Ikario's initrd image did not contain that module.
Again, I've been doing these tests from my computer (not the VM in qemu)
so this was easy to fix.
Then, I could run
losetup -e aes128 -P /tmp/cookey.txt /dev/loop0 recipes.img
which brings a loopback device at /dev/loop0 that is waiting to be
mounted.
sudo ./losetup -a
/dev/loop0: [fc00]:177473618 (recipes.img) encryption=CryptoAPI/aes-cbc
Interesting to see here that when running the original losetup of my
computer (so not the patched version), it says type=18, which is not
0x10 or 16).
sudo losetup -a
/dev/loop0: [64512]:177473618 (/home/[REDACTED]/thermomix/recipes.img),
encryption aes-cbc (type 18)
The problem here is that the loopback device does not look like a file
system. The mount command does not want to mount it. And in fact, when
you check with binwalk, it does not identify anything but random data:
sudo binwalk /dev/loop0
DECIMAL HEXADECIMAL DESCRIPTION
------------------------------------------------------------------------
--------
<nothing>
As I also have access to a dump of the cook key, I've also tried to run
losetup on it and had the same behavior.
What is sort of annoying here is that losetup will not tell you that
your password is right or wrong, it will just use it as a key. Anf if
the key is wrong, then the deciphered data are just junk.
I was thinking that maybe the cook stick content has not been extracted
correctly but I doubt it because at least for the cook key (wifi) I have
2 partitions that were just fine so no reason for the third partition
(encrypted on) to not have been extracted correctly.
As for the encryption key/password found in cookey.txt, I trust Ikario
did not make that one up :)
So, for short, I'm stuck again. I've had a quick look at modified open
source code but there does not seem to by anything related to encryption
(aside from the linux utils patch that was already publicly known).
Matthias L. schrieb:> Again, could anybody please share the source code? (PM also welcome).> Would really like to take part in this ;)
Now that we know that the source code is not "signed" with personal
data, I could share the source code, but my source code is missing a
folder, so I would suggest that Schang S. oder Moritz M. share the
complete source code...
As Moritz provided me with the source I can not decide on his behalf to
share it, even though it is GPL and I don't even understood why Vorwerk
is not simply releasing it to the public without requiring people to ask
for it (BTW I did request the code 2 or 3 days ago and never got a
reply).
After making no progress using the patched version of losetup, I started
looking at the modified/added source code corresponding to the linux
kernel.
From what I understand, Vorwerk is using a module called DCP to handle
encryption (not sure encryption of what exactly). This does not seem to
be something they developed as traces of it can be found on the Internet
but this module seems to have been discarded from official kernel at
some point (or was never included in it). There is another module called
Vorwerk key-store that has a submodule referred to as cloud key or
something.
There is bitbake (.bb) file that provides all changes made to vanilla
2.6.35 linux source code. After applying all those changes, I was able
to run the kernel compilation which failed because some Vorwerk header
files (.h) are missing from the source code. The .bb file also explains
that when compiled with gcc5, the kernel won't boot for unknown reasons
so they recommend compiling with gcc4.4.
After excluding the Vorwerk key-store module (the one that is missing
headers and made the compilation fail) I was able to have the linux
image compiled (including the DCP part which could be the one handling
decryption of AES loop). Using that kernel image in qemu failed (no
surprise because Vorwerk documented that it would not work when compiled
with gcc5 and I did not have a gcc4.4 at hand).
Another interesting point - but maybe concerning too - I found in the
.bb file is that they have a series of sed commands to inject (that's
what comments say in the .bb) hard-coded AES128 keys inside the code of
the DPC driver. If that's the case, then things will get more
complicated because the keys have not been released in the 300MB archive
of course.
I'll try to install and old debian with kernel 2.6 and old gcc to
compile the kernel in the same conditions as Vorwerk.
The one thing that I find strange is why would they have hard-coded keys
and still be sing the cookey.txt file with losetup.
Also, I am wondering if the recipes.img that was share here has been
extracted properly. I can't recall who extracted the image but I'd like
to know what tools have been used and how they were used (dd ?).
@ikaro hope you read this:
As I checked the certs of your dump today, I noticed that there are some
certs and two root certs listed in /tmp/certificates, but there is only
one valid private key for one cert that expired in 2017. If this private
key got any use, there must be a new valid cert & private key in the
last Firmware Updates. We could decrypt the traffic if we got the new
cert.
Hi all,
finally there is a GitLab repository which hosts all the v2.3 GPL/LGPL
source code:
https://gitlab.com/therm0m1x/tm5-sources
I somebody wants to contribute just fork the project and afterwards
create a merge request.
As there is also a wiki included I plan to sum up all the knowledge
collected so far. Any help doing this is highly appreciated.
Cheers.
I forgot to mention somebody already published the sources already on
github:
https://github.com/scharri/vorwerk-tm5-oss-sources
If somebody could ask Vorwerk (opensource@vorwerk.de) for the recent
sources (should be 2.4 now) and contribute these sources. That would be
nice.
Hans H. schrieb:> If you are interested in breaking the cookido comnunication you can> contact me. We wont publish anything until everything works perfect.
Hi Hans, can you please share some info about this privately? Thanks! :)
[Auf Deutsch unten]
I've read all your posts with great interest. I've repaired a lot of
devices before, but this device is a fortress! Everything is secured
and protected with cryptography and 2048-bit signatures.
1. CN601 may be a serial port, however nothing is output to it (checked
with oscilloscope). Probably it was used during board bring-up only.
The footprint fits 4-pin JST connector BM04B-SRSS-TB. The pinout is
1:GND 2:OUT 3:IN 4:3.3V.
2. Attaching a USB keyboard/mouse does nothing (no drivers?).
3. If you attach a USB Ethernet dongle with AX88772/72A/72B chipset, the
device enters service mode and you can connect to it at 192.168.76.1.
Unfortunately, the service protocol requires authentication with 2048
bit RSA before executing any commands. So it is very hard to get in
this way.
4. I did get into the device in the end. As Ikaro_P says, the
developers are only human.
5. Here is a copy of the Linux kernel from the device. I believe I am
entitled to share this under GPL (section 3c).
https://mega.nz/#!PqhyTIiY!70HDBcwl6Lb-DhgPQ6xk0LIvXCcl4vxZY5F_C6egb-E
6. As others have found, the encryption key for the recipe chip is not
the one posted earlier, they have done something devious. (I will not
share the real key on the Internet to avoid wrath from Vorwerk.)
7. Having the encryption key is not enough to create your own recipe
chip. All files on the recipe chip are signed with 2048 bit RSA
signatures.
8. Fortunately, despite all the layers of paranoia, there is a
bug/feature in the implementation of recipe chip verification that makes
DIY recipe chips possible without having to break the RSA key. I will
not say any more for now.
Happy hacking :)
---
[Entschuldigung für Fehler in meinem Deutsch.]
Ich habe alles Ihrer Posts mit großem Interesse gelesen. Ich habe viele
andere Geräte repariert, aber dieses Maschine is eine Festung! Alles
ist gesichert und geschützt mit Kryptographie und 2048-Bit-Signaturen.
1. CN601 ist möglicherweise eine serielle Schnittstelle, aber es wird
nichts ausgegeben. Wahrscheinlich wurde es nur während des Entwicklung
verwendet. Der Fußabdruck passt für 4-poligen JST-Stecker
BM04B-SRSS-TB. Die Pinbelegung ist 1:GND 2:OUT 3:IN 4:3,3V.
2. Das Anschließen einer USB-Tastatur/Maus führt zu nichts (keine
Treiber?).
3. Wenn Sie einen USB-Ethernet-Dongle mit AX88772/72A/72B-Chipsatz
anschließen, das Gerät wechselt in den Service-Modus und Sie können eine
Verbindung zu 192.168.76.1 herstellen. Bedauerlicherweise, das
Serviceprotokoll erfordert das Authentifizierung mit 2048 Bit RSA. Es
ist also sehr schwer, auf diese Weise zu kommen.
4. Letztendlich bin ich in das Gerät eingebrochen. Wie Ikaro_P sagt,
sind die Entwickler nur menschlich.
5. Hier ist eine Kopie des Linux-Kernels vom Gerät. Ich glaube, ich bin
berechtigt, dies unter der GPL zu teilen (Abschnitt 3c).
https://mega.nz/#!PqhyTIiY!70HDBcwl6Lb-DhgPQ6xk0LIvXCcl4vxZY5F_C6egb-E
6. Wie andere gefunden haben, ist der Schlüssel für die Rezeptsticks
nicht der, der zuvor hier veröffentlicht wurde. (Ich werde den echten
Schlüssel nicht im Internet teilen.)
7. Der Schlüssel reicht nicht aus, um eigene Rezeptchips zu erstellen.
Alle Dateien auf den Rezeptchips sind mit 2048 Bit RSA-Signaturen
gesichert.
8. Zum Glück, trotz all den Schichten der Paranoia, gibt es ein Fehler
in der Implementierung der Rezeptstick-prüfung. Deswegen ist es
möglich, die eigene Rezeptsticks erstellen. Ich werde vorerst nichts
mehr sagen.
Happy hacking :)
Hi,
Great work !
The kernel image that you have posted does not seem to load in qemu.
Running 'file' on the image returns "data".
Were you able to successfully run it in qemu ?
Hi Matt C,
sehr sehr gute Arbeit!
Kannst du uns verraten wie du es geschafft hast, einen eigenen
Rezeptchip zu generieren? Ich denke die ganze Community wartet schon
voller Spannung auf diese Infos :)
----------------------------------------------------------------
very very great work!
Could you please share some more information on how to generate custom
cooking book sticks? I guess the entire community is waiting full of
expectation on this Information :)
Viele Grüße
Johannes
Share your achivements with us Matt C, please.
I have been testing your kernel file, but it's too complex for me.
Thank you very much for your time and dedication.
Hello everybody,
Winter is comming, I will have time to look at TM5 again.
Great job everybody!
This is my understanding.
Can you tell me if I taking the good way?
1. We have access to the last source code:
https://gitlab.com/therm0m1x/tm5-sources
2. When a cook stick is inserted, we know that netlink call the
following command:
losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1
4. Schang S tried to compile losetup with Vorkerk patch
(util-linux-2.26-20150310.diff that is a public patch) but the resulting
loopback device is not mountable:
Schang S. schrieb:> The problem here is that the loopback device does not look like a file> system. The mount command does not want to mount it. And in fact, when> you check with binwalk, it does not identify anything but random data:> sudo binwalk /dev/loop0
According to Matt C., encryption key is not correct (they have done
something devious):
Matt C. schrieb:> 6. As others have found, the encryption key for the recipe chip is not> the one posted earlier, they have done something devious. (I will not> share the real key on the Internet to avoid wrath from Vorwerk.)
So, according to my understanding, there are 3 possibilities:
1. losetup command is not correct:
losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1
2. cookey.txt doesn't contain the good key:
The given key is not correct
(EiOJeNLiooqwWobaVDVrbJWLCifvQC5oDqNqHfuSYBt3y4vwN3YKq2EsvFK3U4M9)
Or the file is preprocessed first and key is deviated from this one
3. The real kernel make something with the key that is not present in
the patch util-linux-2.26-20150310.diff
Can you tell me if my understanding is good ?
Matt C. schrieb:> See the dcp_aes_setkey_blk function in> https://github.com/scharri/vorwerk-tm5-oss-sources/blob/master/modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/dcp.c> for a clue.
Thanks for the clue matt. I will look into this.
Sigma P. schrieb:> According to Matt C., encryption key is not correct (they have done> something devious):>> Matt C. schrieb:>> 6. As others have found, the encryption key for the recipe chip is not>> the one posted earlier, they have done something devious. (I will not>> share the real key on the Internet to avoid wrath from Vorwerk.)>>> So, according to my understanding, there are 3 possibilities:> 1. losetup command is not correct:> losetup -e aes128 -P /opt/cookey.txt /tmp/dev/loop1 /tmp/dev/sr1>> 2. cookey.txt doesn't contain the good key:> The given key is not correct> (EiOJeNLiooqwWobaVDVrbJWLCifvQC5oDqNqHfuSYBt3y4vwN3YKq2EsvFK3U4M9)> Or the file is preprocessed first and key is deviated from this one>> 3. The real kernel make something with the key that is not present in> the patch util-linux-2.26-20150310.diff>> Can you tell me if my understanding is good ?
Even if the dcp_aes_setkey_blk function does something devious with the
key, it is important that everyone looks in the patents again! As seen
in my screenshot(search for "patent" in this page for the full patent),
the key to decrypt the data partition of the recipe chip depends on the
hardware serial of the recipe stick and some key of a keyring that is
referred in the first partition of the recipe stick. Because Vorwerk
registered a patent for this actions, they will use it for the recipe
stick, maybe for the wifi stick too.
So keep in mind that no matter what the kernel does with ikaros AES key
before something is decrypted with it, you can only decrypt a recipe
chip with it, that has the same serial number as ikaros AND the same key
is referred on the recipe chip. Since ikaro talked a lot about the wifi
stick verification, I think the last thing his tm decrypted before he
dumped the fw was the wifi stick he used. So things to find out:
1. What was the last thing ikaros tm decrypted with the given AES key?
Its unlikely that we can decrypt anything else with it.
2. Is the encryption/decryption action mentioned in the patents used for
the wifi stick too?
3. Since we know that every recipe chip with the same recipes on it has
the same serial(we know that, right?), the question is if the referred
key is also the same. We should collect hashsums/content of the first
partition of some recipe chips with the same recipes on it and check
that. I ordered one "Das Kochbuch" chip today and will share this if it
arrived. Does someone else got the "Das Kochbuch" chip and could do this
too?
4. As the content on all wifi sticks is the same, does a wifi stick has
any serial or referred key that is unique, other than the vendor_id
stored in the db? We need hashsums of the files to find that out.If all
wifi sticks are the same, we find out what devious the kernel does to
the key and ikaros key was really used for his wifi stick, we should be
able to decrypt our wifi sticks content. Unfortunately I got no wifi
stick to dump at the time.
5. We did not talked a lot about the recipe signature thing. As you can
see in some post of Schang S.(search for "cs.tar"), there is a signature
stored for every recipe in the db. Even if we could decrypt every stick
and the whole tm fw, if the RSA private key is not stored on the
tm(which would be really dumb), we can not change or add any recipe. We
have to know what matt knows about the recipe verification. I will start
to look into the /opt/Thermomix/Thermomix executable again because I
think the verification is done in there, but I really dont know how to
start. We have to work structured on this so we dont do the same work.
Matt C. schrieb:> The key does not depend on the serial number. (The signatures do> however.)
Does it only depends on the referred key of the keyring stored in the
tm?
The patent is not clear about it. Or is the keyring never used? For what
did they made a patent then?
> For what did they made a patent then?
I don't know, the patent scheme might have been used in a prototype
machine? Or be intended to misdirect people? :)
> As the content on all wifi sticks is the same, does a wifi stick has> any serial or referred key that is unique, other than the vendor_id> stored in the db?
The WiFi stick has a unique ID that is printed on the bottom, and this
can be queried from the microcontroller on the stick. I think the files
are the same on each stick though. The security scheme for these is
quite different from read-only recipe sticks (and I think harder to
attack).
Matt
Matt C. schrieb:>> For what did they made a patent then?>> I don't know, the patent scheme might have been used in a prototype> machine? Or be intended to misdirect people? :)
Do you know that for sure? Did you decrypt a recipe stick without
anything from the maybe non-existent key-ring?
Hi everyone, so if the files on recipe chip are signed with 2048 bit RSA
signatures we could not change the recipe chip, right?
What about the development recipe chips I mentioned earlier?
Can it be that this kind of chip uses an ID that the TM5 recognizes an
read it without encryption?
Have anyone tried to check if non development TM5 do can read
development recipe chips?
Thanks Matt C. for your findings and tips. Do you also have a database
scheme used in the recipe chip and a list of files found inside one?
Matt C. schrieb:> See the dcp_aes_setkey_blk function in> https://github.com/scharri/vorwerk-tm5-oss-sources/blob/master/modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/dcp.c> for a clue.
Wow, I just look quickly on my phone because I was away all the day.
I really will check what this function do because it seems to replace
the key by a static one.
I'll check that.
Thanks
Hans H. schrieb:> 5. We did not talked a lot about the recipe signature thing. As you can> see in some post of Schang S.(search for "cs.tar"), there is a signature> stored for every recipe in the db. Even if we could decrypt every stick> and the whole tm fw, if the RSA private key is not stored on the> tm(which would be really dumb), we can not change or add any recipe
As Matt C. said, code is written by human (not anymore for a long time,
thanks AI) but here it's the case. If you have an exploit in the check
function, no need have the private key. And in some cases you even
deduce it.
Bimby T. schrieb:> Hi everyone, so if the files on recipe chip are signed with 2048 bit RSA> signatures we could not change the recipe chip, right?
Extacly the same than my previous answer.
Hans H. schrieb:> Even if the dcp_aes_setkey_blk function does something devious with the> key, it is important that everyone looks in the patents againMatt C. schrieb:>> For what did they made a patent then?>> I don't know, the patent scheme might have been used in a prototype> machine? Or be intended to misdirect people? :)
+1, totally agree with you
Guten Abend alle,
sorry but I will write in English.
My wife had problem with TM5 weight, is shows wrong, random values,
everything other was fine. We send TM5 to authorized service and they
said that they replaced mainboard and send thermomix back to us. The
question is if they really replaced whole mainboard or not. We put our
cook-key (which we didn't send them) and it didn't ask us to provide
wlan ssid and password to our wifi network. Don't you know that ssid and
password is stored in the TM5 or cook-key?
Thanks for reply!
Jaro
Jaro J. schrieb:> My wife had problem with TM5 weight, is shows wrong, random values,> everything other was fine. We send TM5 to authorized service and they> said that they replaced mainboard and send thermomix back to us. The> question is if they really replaced whole mainboard or not. We put our> cook-key (which we didn't send them) and it didn't ask us to provide> wlan ssid and password to our wifi network. Don't you know that ssid and> password is stored in the TM5 or cook-key?
I think this is not the right place for TM5-support. Pls. open your own
thread, because this is offtopic.
But if you thing there is an securityproblem simply change SSID and key
in your router!
Hi Jaro,
The WiFi details are stored in the TM5, however not on the mainboard -
the processor is on a separate board behind the LCD screen. So it's
possible that they could have replaced the mainboard, I'm not sure how
you would tell for sure.
I had a similar problem with the TM5 scales which was my original reason
for needing to get into the Thermomix, in my case they were fluctuating
between 0 and MAX (seems like a common problem). The problem went away
after:
* unplugging and replugging the three connectors from the mainboard to
the scale (labelled WAAGE), and
* unscrewing and re-tightening the three screws that go down through the
mainboard into the feet.
I'm not sure which of these made the difference. It's possible that in
your case a mainboard replacement was actually required. The ADC for
the scale is on the mainboard.
Matt
Sven L. schrieb:> Jaro J. schrieb:>> My wife had problem with TM5 weight, is shows wrong, random values,>> everything other was fine. We send TM5 to authorized service and they>> said that they replaced mainboard and send thermomix back to us. The>> question is if they really replaced whole mainboard or not. We put our>> cook-key (which we didn't send them) and it didn't ask us to provide>> wlan ssid and password to our wifi network. Don't you know that ssid and>> password is stored in the TM5 or cook-key?>> I think this is not the right place for TM5-support. Pls. open your own> thread, because this is offtopic.>> But if you thing there is an securityproblem simply change SSID and key> in your router!
Thank you for answer,
Maybe it wasn't needed to write the whole story - I'm sorry. Since you
guys are getting into electronic and reverse engineering of TM5 I just
asked because you probably already know where are ssid and password
stored? In TM5 or cook-key?
Matt C. schrieb:> Hi Jaro,>> The WiFi details are stored in the TM5, however not on the mainboard -> the processor is on a separate board behind the LCD screen. So it's> possible that they could have replaced the mainboard, I'm not sure how> you would tell for sure.>> Matt
Matt, thank you very much for reply and for the comprehensive answer! It
is what I needed.
Schang S. schrieb:> So, the TM5 is using a modified version of losetup which is basically> util-linux-2.26.2 with patch util-linux-2.26-20150310.diff>> I've downloaded that version on computer, applied the patch and> compiled.
Hello Schang ,
May you tell me on what distribution of linux did you do that ?
If you have the repro steps, they are welcome.
Sigma P. schrieb:> Schang S. schrieb:>> So, the TM5 is using a modified version of losetup which is basically>> util-linux-2.26.2 with patch util-linux-2.26-20150310.diff>>>> I've downloaded that version on computer, applied the patch and>> compiled.>> Hello Schang ,>> May you tell me on what distribution of linux did you do that ?> If you have the repro steps, they are welcome.
After a quick search I saw that ubuntu 15.10 uses util-linux-2.62.2, but
I had no time to test applying the patch.
Sigma P. schrieb:> Schang S. schrieb:>> So, the TM5 is using a modified version of losetup which is basically>> util-linux-2.26.2 with patch util-linux-2.26-20150310.diff>>>> I've downloaded that version on computer, applied the patch and>> compiled.>> Hello Schang ,>> May you tell me on what distribution of linux did you do that ?> If you have the repro steps, they are welcome.
I did that on a fresh Ubuntu
Hi all,
The attached program might come in handy - it is a simplified version of
losetup designed specifically for use with the cryptoloop module. Make
sure you modprobe cryptoloop first otherwise strange things may happen
(kernel bug in some Linux versions).
Detaching, etc., can be done with normal losetup.
Matt
Matt C. schrieb:> Hi all,>> The attached program might come in handy - it is a simplified version of> losetup designed specifically for use with the cryptoloop module. Make> sure you modprobe cryptoloop first otherwise strange things may happen> (kernel bug in some Linux versions).>> Detaching, etc., can be done with normal losetup.>> Matt
Thank you very much.
Very easy too build :)
I just had to add the following defines because recipes.img is 4GB:
#define _LARGEFILE_SOURCE
#define _FILE_OFFSET_BITS 64
I used aes-cbc for the cipher.
Unfortunetely I get:
mount: wrong fs type, bad option, bad superblock on /dev/loop0
I'm a looser...
Matt C. schrieb:> See the dcp_aes_setkey_blk function in> https://github.com/scharri/vorwerk-tm5-oss-sources/blob/master/modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/files/dcp.c> for a clue.
I looked a bit more to your hint. It's quite strange, this function
replaces the input key by another one if the input is equal to a
reference key, otherwise it keep the input key.
I tried to used these keys, but mount fails.
Do you know why the key in cookey.txt is so long (48 bytes) ?
Matt C. schrieb:>> I tried to used these keys, but mount fails.>> Naturally the keys in the open source code are not the real keys, the> build script replaces them with secret keys from ${KEYS_PATH}>
(https://github.com/scharri/vorwerk-tm5-oss-sources/blob/master/modified_packages/GPL_LGPL_licensed_packages/linux-kernel-2.6.35/linux-vorwerk_2.6.35.bb).
I missed this part in the script. I'm too bad....
But now it's ok, decryption done!!!!
Thanks for your very usefull help.
Next step, find the recipe chip verification bug.
Matt C. schrieb:> 8. Fortunately, despite all the layers of paranoia, there is a> bug/feature in the implementation of recipe chip verification that makes> DIY recipe chips possible without having to break the RSA key. I will> not say any more for now.
Hi Sigma,
it is great that you where able reproduce the decryption of the chip! I
would like to do this too, in order to see how the receipts are
structured and to prepeare for creating DIYs.
Could you please write a short summary which steps are necessary?
Greetings
Johannes
Johannes B. schrieb:> Hi Sigma,>> it is great that you where able reproduce the decryption of the chip! I> would like to do this too, in order to see how the receipts are> structured and to prepeare for creating DIYs.> Could you please write a short summary which steps are necessary?>> Greetings> Johannes
I'm sorry, for the same reasons than Matt, we can discuss about open
source code but not give the decryption steps.
In fact everything is written on the forum. Start looking from Matt
first post to my last post.
I hope you can understand...
Sigma P. schrieb:> Johannes B. schrieb:>> Hi Sigma,>>>> it is great that you where able reproduce the decryption of the chip! I>> would like to do this too, in order to see how the receipts are>> structured and to prepeare for creating DIYs.>> Could you please write a short summary which steps are necessary?>>>> Greetings>> Johannes>> I'm sorry, for the same reasons than Matt, we can discuss about open> source code but not give the decryption steps.>> In fact everything is written on the forum. Start looking from Matt> first post to my last post.>> I hope you can understand...
There is something I still do not understand in this thread: why can't
we discuss about the decryption steps if it is all based on open source
code released by Vorwerk? I am not talking about decryption keys, that
is another story.
I see this like the emulation scene: some hardware is emulated based on
research and info public available, but to run it, you need a
copyrighted ROM you legally own.
So, discussing the decryption steps should be no problem. Every one
should get his own decryption keys if they are not published on open
source code.
Sharing knowledge would lead to a quicker solution for creating own
guided recipes for the Thermomix.
The reasons are:
- giving the exploit will cause Vorwerk to close the fraud because they
can simply see the bugs location
- open source is only linux. Code written by Vorwerk is closed source
- There are some fair use rules for hackers to report security issues
first to the developer instead of publishing them
- it against german laws to negotiate encryption (see hacking paragraph)
and publishing it is a statutory offence creating a legal basis for
Vorkwerk to become active and close this thread and moreover to
complaint against µC.net.
You should not publish any code that is breaking german laws, patents
and any other that may be covered by copyright.
Martin S. schrieb:> The reasons are:>> - giving the exploit will cause Vorwerk to close the fraud because they> can simply see the bugs location
Yes, they could close the exploit, but we also can deny updates on our
Thermomix (updates are only available if you have the Wifi Adapter. Who
only uses recipe chips will never got an update, or will only have one
if the Thermomix is repaired). An I was not talking about the exploit to
create new recipes for a recipe chip, I was just talking about the
decryption steps of the recipe chips.
> - open source is only linux. Code written by Vorwerk is closed source
Source code that Vorwerk sends to users who asks for it are not closed
source but open source code. I think the decryption steps to decrypt the
recipe chips are based on open source code, or did I miss something?
> - There are some fair use rules for hackers to report security issues> first to the developer instead of publishing them
I would not call it a security issue (it will not compromise the
security of the machine itself). I would call it a bug... But like I
already wrote above, I am not talking about the exploit or decryption
keys, but only from the decryption steps based on open source code
public available.
> - it against german laws to negotiate encryption (see hacking paragraph)> and publishing it is a statutory offence creating a legal basis for> Vorkwerk to become active and close this thread and moreover to> complaint against µC.net.
Like you told, it is a german law that applies to people living in
Germany (it is also very difficult to get to someone outside Germany.
Read at the bottom of the following page what lawyers say about this:
https://www.internetrecht-rostock.de/hackerparagraf.htm). If we look at
the complete thread, there are already posts explaining how to clone a
recipe chip, that could be considered information to do piracy.
>> You should not publish any code that is breaking german laws, patents> and any other that may be covered by copyright.
Like already told, if the decryption steps are based only on open source
code, this is not covered by copyrights and also german laws, because we
are not distributing hacking tools or proprietary decryption keys, just
discussing decryption methods like we could discuss the decryption
methods of SSL/TLS...
I think all this information can be considered as research.
So, if the decryption steps are only based on open source code, then I
do not see any problems on explaining it here. To explain it we do not
need to publish real decryption keys (everyone that want to test it
should get the decryption keys by their own). We also can find online
the SSL/TLS decryption steps explained with examples without using real
keys...
Martin S. schrieb:> - giving the exploit will cause Vorwerk to close the fraud because they> can simply see the bugs location
The recipe sticks are all encrypted with the same key. Even if we write
a letter to Vorwerk that we know how to decrypt their sticks, they can
not fix this with an update. The only thing they could do is create a
new way of encrypting their sticks and block all sticks with the current
encryption method. Every stick they selled until that day would not work
anymore if you install the update (We could also just deny the
installation). They will never do that because some guys that know how
the decryption works. So I see no reason why we can not talk about the
encryption(ask me about my github repo).
We could get problems if we talk about how to bypass the recipe
verification and the bug/feature that makes it possible is fixable
without the need to block all current recipe sticks(We could still deny
updates). But since no one except Matt knows how to bypass the
verification, I think we can talk freely here ;)
Hello,
Does someone has a solution to debug a linux binary (ARM) from a x86
platform.
I'm looking from a graphic debugger. Something like Ollydbg.
I tried to emulate an ARM CPU and running a gdbserver, then on the host
I tried to used ddd without success.
I also tried to execute the arm binary directly from my host in user
mode emulation with qemu (qemu-arm). It works fine.
qemu-arm has an option -g allowing to wait a GDB connection.
But than what frontend can I use ?
If someone has an idea ?
Peter T. schrieb:> Share your funny recipes :D> PS: Thank you Matt and thank you Ikaro.
Now the challenge is database analysis.
Replacing a picture and a piece of text is not so fun.
Sigma P. schrieb:> Peter T. schrieb:>> Share your funny recipes :D>> PS: Thank you Matt and thank you Ikaro.>> Now the challenge is database analysis.> Replacing a picture and a piece of text is not so fun.
I already analyzed the databases from the iOS apps (SQL lite), does
anyone can share in private a database from a cook sticks to see if it
uses the same structure? On the iOS database there are fields with URLs
for the pictures, I assume in the cook sticks they use relative paths.
How can we make tests with the database, is the missing method now
shared privately?
Thanks to everyone who makes all this possible!
Happy New Year for everyone and let 2019 be the year where we can use
our own recipes on our Thermomix machines! :)
Sigma P. schrieb:> Peter T. schrieb:>> Share your funny recipes :D>> PS: Thank you Matt and thank you Ikaro.>> Now the challenge is database analysis.> Replacing a picture and a piece of text is not so fun.
I created this recipe from scratch. If you need I can share my library.
Happy New Year for everyone :)
Peter T. schrieb:> Sigma P. schrieb:>> Peter T. schrieb:>>> Share your funny recipes :D>>> PS: Thank you Matt and thank you Ikaro.>>>> Now the challenge is database analysis.>> Replacing a picture and a piece of text is not so fun.>> I created this recipe from scratch. If you need I can share my library.> Happy New Year for everyone :)
Hi Peter,
Happy new year!
Could you please send me a PM with your library?
Thanks and great work!
Peter T. schrieb:> Sigma P. schrieb:>> Peter T. schrieb:>>> Share your funny recipes :D>>> PS: Thank you Matt and thank you Ikaro.>>>> Now the challenge is database analysis.>> Replacing a picture and a piece of text is not so fun.>> I created this recipe from scratch. If you need I can share my library.> Happy New Year for everyone :)
I also would appreciate to get this library! Happy new year
Hi Peter,
Happy New Year!
I also would like to use your libraries :) !
About the receipts it might be helpfull checking the Format that is used
on the Vorwerk Website. You can create a free account for 30 days. And
with the free webanalyser software Fiddler you can see the
Jason-communication in clear text…
Johannes B. schrieb:> Hi Peter,>> Happy New Year!>> I also would like to use your libraries :) !>> About the receipts it might be helpfull checking the Format that is used> on the Vorwerk Website. You can create a free account for 30 days. And> with the free webanalyser software Fiddler you can see the> Jason-communication in clear text…
On the recipe chip, it's a sqlite databse.
What about cookidoo json format ?
Hi Sigma,
it is just an idea. As I do not have the knowledege nor the equipment to
decode/read my tm5 chips yet, I do not know how the data in the
SQLite-db looks like. But maybe comparing it with the structure Vorwerk
uses to transmit the receipts to the cookidoo webclient (in json) might
give clues how the receipt are structured and which elements are
supported. Anyway it is nice to see the clear text of the receipts :-)
...
Peter T. schrieb:> Sigma P. schrieb:>> Peter T. schrieb:>>> Share your funny recipes :D>>> PS: Thank you Matt and thank you Ikaro.>>>> Now the challenge is database analysis.>> Replacing a picture and a piece of text is not so fun.>> I created this recipe from scratch. If you need I can share my library.> Happy New Year for everyone :)
Hi everyone,
did anybody here got the library from Peter T. that can share it in
private?
I would like to make some tests with the SQL Lite database... :)
Bimby T. schrieb:> Hi everyone,>> did anybody here got the library from Peter T. that can share it in> private?> I would like to make some tests with the SQL Lite database... :)
No, I did not get the lib either... Maybe Peter is a bit busy this days
?
What I can say for the moment about database:
Database contains the same data than the book or cookidoo website as :
ingredients, recipe steps, price, difficulty...
In addition there are some data regarding guided steps:
temperature, scale, speed...
All these data are scattered over almost 200 tables.
Some data are dupplicated in several tables.
There are a lot of indirections as well.
It's a database...
So, it takes time to understand the whole structure.
I finished to reverse the database structure.
Now I'm writting a library with user firendly API that allow to add new
recipe to the DB.
Please, be patient.
Sigma P. schrieb:> What I can say for the moment about database:>> Database contains the same data than the book or cookidoo website as :> ingredients, recipe steps, price, difficulty...>> In addition there are some data regarding guided steps:> temperature, scale, speed...>> All these data are scattered over almost 200 tables.> Some data are dupplicated in several tables.
Hi Sigma, it seems that the database is the same used on the iOS app.
Did you already succeed on using your own recipes on the Thermomix
again?
Bimby T. schrieb:> Sigma P. schrieb:>> What I can say for the moment about database:>>>> Database contains the same data than the book or cookidoo website as :>> ingredients, recipe steps, price, difficulty...>>>> In addition there are some data regarding guided steps:>> temperature, scale, speed...>>>> All these data are scattered over almost 200 tables.>> Some data are dupplicated in several tables.>> Hi Sigma, it seems that the database is the same used on the iOS app.> Did you already succeed on using your own recipes on the Thermomix> again?
No yet tried.
Work in progress.
I don't have an iPhone, but I can borrow one to check the db format.
Is is easy to extract the db for the app ?
No jailbreak needed ?
Sigma P. schrieb:> No yet tried.> Work in progress.>> I don't have an iPhone, but I can borrow one to check the db format.> Is is easy to extract the db for the app ?> No jailbreak needed ?
Yes, you need a jailbroken iPhone to get the database from the app, this
is why Vorwerk never released an android app... :P
Bimby T. schrieb:> Yes, you need a jailbroken iPhone to get the database from the app, this> is why Vorwerk never released an android app... :P
How does it work ?
All recipes are integarted in the app ? because app is ~250MB
All recipes are in the same db or db is created with recipes you select
?
Bimby T. schrieb:> Yes, you need a jailbroken iPhone to get the database from the app, this> is why Vorwerk never released an android app... :P
Is it possible to download the ipa file and extract the db from the ipa
?
Sigma P. schrieb:> Bimby T. schrieb:>> Yes, you need a jailbroken iPhone to get the database from the app, this>> is why Vorwerk never released an android app... :P>> Is it possible to download the ipa file and extract the db from the ipa> ?
Yes it is.
I just did it.
Bimby T. schrieb:> I already analyzed the databases from the iOS apps (SQL lite), does> anyone can share in private a database from a cook sticks to see if it> uses the same structure? On the iOS database there are fields with URLs> for the pictures, I assume in the cook sticks they use relative paths.
The db from ios app contains at set of tables that start with Z, for
example ZRECIPEMODEL...
Is it right?
You analysed this db ?
This db is quite different than the one from recipe chip.
Hey,
it's great for you that you can now discuss about data formats etc... I
would really appreciate participating here, but do not have any
chance... I'm still struggling with decrypting the chip.. some more
hints please?
Best regards
Matthias
Sigma P. schrieb:> The db from ios app contains at set of tables that start with Z, for> example ZRECIPEMODEL...>> Is it right?> You analysed this db ?>> This db is quite different than the one from recipe chip.
For each country you select in the app you will reset and fill the
database with recipes from this country (you need to select to download
all recipes on the app settings. It will take some time until all
recipes are downloaded.). Yes, almost all fields start with Z but the
structure seems to be almost the same that you mentioned for the cook
stick. I have studied the database some time ago and also the XML from
the recipes provided by the server, but have to look if I still have my
notes about it.
Sigma P. schrieb:> Bimby T. schrieb:>> Yes, you need a jailbroken iPhone to get the database from the app, this>> is why Vorwerk never released an android app... :P>> How does it work ?> All recipes are integarted in the app ? because app is ~250MB
App documents data with all (german) recipes is ~662MiB.
Xeno 2. schrieb:> Sigma P. schrieb:>> Bimby T. schrieb:>>> Yes, you need a jailbroken iPhone to get the database from the app, this>>> is why Vorwerk never released an android app... :P>>>> How does it work ?>> All recipes are integarted in the app ? because app is ~250MB>> App documents data with all (german) recipes is ~662MiB.
The Z table prefix is a strong indicator that the SQLite is the backing
store for CoreData. https://developer.apple.com/documentation/coredata
In that case the iOS app and and TM 5 are definitely not sharing any
database code, though they might still use a similar layout.
I don’t think reverse engineering the SQLite format of the iOS app will
help.
I’d focus on the actual recipe chip DB layout and not waste time on the
iOS app.
Tobias C. schrieb:> I’d focus on the actual recipe chip DB layout and not waste time on the> iOS app.
The problem is that from what I have seen here, only 2 people figured
out how to test the changed database on the Thermomix. If we have the
luck that the iOS app database is the same from the recipe chips, then
we could test changes on the iOS app.
I have found this today on another site https://pastebin.com/9F4hFy3n
but do not know if this is the correct database layout. Can anyone here,
that already decrypted a recipe chip, confirm if this is the correct
database layout?
Bimby T. schrieb:> Tobias C. schrieb:>>> I’d focus on the actual recipe chip DB layout and not waste time on the>> iOS app.>> The problem is that from what I have seen here, only 2 people figured> out how to test the changed database on the Thermomix. If we have the> luck that the iOS app database is the same from the recipe chips, then> we could test changes on the iOS app.>> I have found this today on another site https://pastebin.com/9F4hFy3n> but do not know if this is the correct database layout. Can anyone here,> that already decrypted a recipe chip, confirm if this is the correct> database layout?
Yes it is. :)
On what website did you find it ?
Sigma P. schrieb:> Yes it is. :)
Cool, so anyone that wants to contribute with the database analysis can
now use this layout... :)
> On what website did you find it ?
It was posted on git, but I have now seen that the account is not
available anymore... But the shared Pastebin link is still working... :)
Xeno 2. schrieb:> So, does anybody still need the iOS DB?
I think it will not harm if you post the database layout from iOS... I
think Vorwerk would not change too much the layout of both databases so
maybe it will help the analysis of the recipe chip database...
Bimby T. schrieb:> Xeno 2. schrieb:>> So, does anybody still need the iOS DB?>> I think it will not harm if you post the database layout from iOS... I> think Vorwerk would not change too much the layout of both databases so> maybe it will help the analysis of the recipe chip database...
Posting dbs shouldnt be a problem, old db layout will always work
because of compability. What I worry about is the way we baypass the
signature verification. They can easily fix that via ota. I will look
for a way to check what they want to update via the ota.
Is the last post the layout from the receipe chip?
How is the DB stored on the chip?
USB is clear - But how can I access the dabase , which filesystem,
encryption or hidden partion is used? I did see that some people were
able to access, but I did not see how they did .
Ikaro P. schrieb:> (I know I'm late... more comming soon, I promiss)>> 2faf 32c6 f26b 5cc0 21c1 8988 019a f3a5
Hi Ikaro P.,
it is never late for sharing your findings. :)
Is this the encryption key for the cook key or the piece of code where
the signature of the key is checked?
Thanks and keep the great work! :)
Bimby T. schrieb:> Ikaro P. schrieb:>> (I know I'm late... more comming soon, I promiss)>>>> 2faf 32c6 f26b 5cc0 21c1 8988 019a f3a5>> Hi Ikaro P.,>> it is never late for sharing your findings. :)> Is this the encryption key for the cook key or the piece of code where> the signature of the key is checked?>> Thanks and keep the great work! :)
Its the actual encryption key for the cookey. You can extract it from
matts kernel dump.
Hans H. schrieb:> Bimby T. schrieb:>> Ikaro P. schrieb:>>> (I know I'm late... more comming soon, I promiss)>>>>>> 2faf 32c6 f26b 5cc0 21c1 8988 019a f3a5>>>> Hi Ikaro P.,>>>> it is never late for sharing your findings. :)>> Is this the encryption key for the cook key or the piece of code where>> the signature of the key is checked?>>>> Thanks and keep the great work! :)>> Its the actual encryption key for the cookey. You can extract it from> matts kernel dump.
Hi Hans H.,
you mean the decryption key and not encryption key, or am I wrong? From
what I know, nobody found out how to encrypt a cook key, right?
> Hi Hans H.,>> you mean the decryption key and not encryption key, or am I wrong? From> what I know, nobody found out how to encrypt a cook key, right?
Encryption and decryption key is the same for the cookey.
Everyone that got a custom recipe on his TM had to encrypt his cookey.
Hans H. schrieb:>> Hi Hans H.,>>>> you mean the decryption key and not encryption key, or am I wrong? From>> what I know, nobody found out how to encrypt a cook key, right?>> Encryption and decryption key is the same for the cookey.> Everyone that got a custom recipe on his TM had to encrypt his cookey.
Sorry, I was thinking about the recipe chip verification method and not
encryption/decryption of the chip... The recipe chip verification uses
an RSA Key and this is what nobody found out how to compute, just Matt
knows how to bypass this verification using a bug found on the
verification method of the recipe chip.
Martin S. schrieb:> Hans H. schrieb:> TM6 is coming:> https://thermomix.vorwerk.de/thermomix/tm6/>> Seems like Vorwerk is pissed....
Well it seems that they tried to copy the Monsieur Cuisine Connect from
Lidl...
Allmost all new features could be added to the TM5 with a software
update...
Here the first test and differences to the TM5:
https://youtu.be/5fjKtTg441g
Maybe it is time to find out a way how to upgrade the TM5 with the
software from the TM6... :P
Hans H. schrieb:> Ivo B. schrieb:> Sieht aus als hätte der TM6 eine Web-basierte Oberfläche :-)>> Was genau verleitet dich zu dieser Aussage?
Wir haben den TM6 zu Hause stehen. Ich würde auch sagen, dass der
Zugriff auf die Rezeptarchive webbasiert ist. Aber andere Funktionen
sind wie bisher keine weboberfläche.
Hello from Spain ;)
Boot GUI Sistem (actually working on it):
/opt/Thermomix.sh : script that launches log processes and calls the GUI
/usr/sbin/supervisor : "supervises" tm5 hardware and if all is ok runs
the thermomix GUI (binary is /opt/Thermomix/Thermomix )
/usr/sbin/supervisor_config.xml : here are the parameters thar reads
supervisor
We can launch supervisor from shell as root:
supervisor -m SERVICE :a mode that lifts with preset IP (192.168.76.1),
mouse and keyboard, uses some port but does not start the GUI
supervisor - m GUI : It runs the GUI, and yo can see a screen but but
you still can not move forward, I need a mouse
Other servies:
supervisor -m OTA : search upgrade
....
To launch linux I use the tm5.sh script that is in this forum
(Beitrag "Re: Thermomix Rezeptchips")
but not necessary chroot, and I have changet it to launch witch screnn
and 256M of ram (max ran to qemu) :
qemu-system-arm -M versatilepb -kernel vmlinuz -initrd initrd.img -m
256M -hda disk.qcow2 -append "root=/dev/sda1" -redir tcp:8022::22
thins to do:
It,s not necesarry to mount partition, you can make it in same
partition:
mkdir -p /mnt/rwfs/data/system_config
Copy binaries fron thermomix rootfs
cp -r /tm5/usr/* /usr
cp -r /tm5/opt/* /opt
rc.local form thermomix rootfs is not necessary, only the binaries that
I mention are necessary
Note: I'm trying to stabilize GUI, from time it falls
Ikaro P. schrieb:> P.S. Comming soon might be a guide on running the GUI in an emulator,> for now it's not usable as the emulated touchscreen driver is sending> coordinated in 0-32768 range but the GUI needs them in screen pixels.> Clicking blindly in the left upper corner is just pain in the ass...
Ikaro, in order to run GUI can you tell what emulated touchscreen
driver have you use?
Thans
I use a raspberry pi 2b witch chroot, supervisor service works but I
still have no luck witch touch screen I can't use screen. If anyone can
use screen (ikaro) please tell us how can
Maybe the information I am going to provide is useful:
Through the logs of the supervisory service I have discovered that the
GUI has been developed by the following company:
https://www.guiliani.de, the version of the Thermomix GUI shared here is
the Guiliani 1.6, it seems old and on the web there are no references to
it, however in the binary certain sources are seen, many of them shared
in the guiliani version 2.1:
http://guiliani.de/mediawiki/downloads/Guiliani_doc_2.1/files.html
Gunter G. schrieb:> This video seems to sum it all up (getting a remote root shell, recover> the key and bypass the digital signature check). Unfortunately it is all> in French.>> https://static.sstic.org/rumps2019/1080p/SSTIC_2019-06-06_P09_RUMPS_06.mp4
Orrr. Nice picture of the STM32 he has there. Sadly it is mine and CC
BY-NC-SA 4.0 licensed. Which he obviously forgot to mention in the talk.
On Twitter he wrotes:
»Hi, fixed around April (v2.6 or v2.7). There is no English version of
the slides (I probably should have made those in English for the
presentation). I'm thinking of doing version of the vid with English
subtitles.«
https://twitter.com/jmbesnard_maz/status/1140977515252658179
So seems to be fixed already.
Gunter G. schrieb:> This video seems to sum it all up (getting a remote root shell, recover> the key and bypass the digital signature check). Unfortunately it is all> in French.>> https://static.sstic.org/rumps2019/1080p/SSTIC_2019-06-06_P09_RUMPS_06.mp4
Very interesting but not so happy to see that.
I'm french. So I understand everything.
Guys, everything you need now in order to decrypt recipe chips is
written on this thread.
He say that he alerted Thermomix about this exploit in January 2019.
At this time if I remember well, we were already able to decrypt the
receipe chip.
I wonder if this buy is a member of this forum?
Did he post on this thread?
What he didn't explain is how he success to extract the kernel from the
flash.
Moritz M. schrieb:> On Twitter he wrotes:>> »Hi, fixed around April (v2.6 or v2.7). There is no English version of> the slides (I probably should have made those in English for the> presentation). I'm thinking of doing version of the vid with English> subtitles.«>> https://twitter.com/jmbesnard_maz/status/1140977515252658179>> So seems to be fixed already.
Hmm, has somebody seen the version with en-subtitles ?
Mortimer N. schrieb:> Hmm, has somebody seen the version with en-subtitles ?
A quick summary:
1. Target: getting a root shell, decrypt receipe chip, bypass signature
check
2. Exploit communicated to Thermomix in Januay 2019 and patch published
in March 2019 (he don't say whether Thermomix patched new firmware)
3. He looked to the GUI, find in a menu that TM5 runs linux and request
source code CD from Thermomix
4. While waiting for CD, he open the receipe chip, find a USB flash in
UDP format, connect it to a computer, look the entropy and deduce that
the memory is encrypted => Difficult to do something
5. He got the source code CD. Look at it and find that encryption is
managed by a modified version of DCP instead of usual crypto API
6. He bought the wifi key, find that communication is SSL encrypted =>
Impossible to do MITM
7. He open the key, find a USB memory, find two partitions on it, find
that one is writable with a tarball on it
8. He remove the tarball and put the key again in the Thermomix, then
check again this partition and find that tarball is restored by TM5
9. So he deduce that he can execute tar on a archive he can control and
he now that some tar version from Busybox are vunerable to directory
transversal exploit (exploit used to root dji drone)
10. TM5 use tar in 1.23 whereas exploit has been found in 1.22 based on
CVE report
11. He check the source of code 1.23 and find that exploit has not been
fixed. Exploit is fixed in 1.28
12. Some constraints: almost everything is read only except /tmp, /etc
and /var that are mounted in a tmpfs of 512kB. This memory is erase
after reboot. Tools distributed on the TM5 are very limited but there is
tcpsvd
13. He decided to use the "script" directive from dhclient and bind a
shell with tcpvsd. He create the tarball with evreything and his script
is run when key is attached to TM5
14. He got a shell
15. Look inside TM5
16. Find that AES is usued (grep -r losetup)
17. Find the pass phrase in opt/cookey.txt, try to decrypt and mount it
but fails
18. He looked in DCP source code and find that the key that is pass via
losetup is not directly used to decrypt. This key is compared to a key
harcoded in the kernel and if they match another hardocded key is used
to decrypt the recipe chip. (This trick allows to store the real key in
the kernel)
19. He dump kernel with nandflash and extract the key
20. He decrypt the receipe chip, it works!
21. He modify the recipe data base
22. He find that all files are signed and signature is check with
checksig called by netlink
23. He find a way (explained in the video) to bypass signature check by
changing USB memory serial
23. To modify the USB serial, either use an MP Tool or emulate a USB
flash with a raspberry (what he did)
24. Finished
Thanks a lot for the summary, would have taken ages for me to figure it
out with my poor french.
Sigma P. schrieb:> 2. Exploit communicated to Thermomix in Januay 2019 and patch published> in March 2019 (he don't say whether Thermomix patched new firmware)
That he wrote in the Tweet above. It was fixed in 2.6 or 2.7 in April
2019.
As I'm afraid updating my TM5: what is the current version available?
Does anybody know if updating requires updates from minor version to
minor version (e.g. 2.3->2.4->2.5) incrementally?
Or will it be like the latest version will be installed regardless which
one is currently running (e.g. 2.3->2.5)?
Sigma P. schrieb:> 7. He open the key, find a USB memory, find two partitions on it, find> that one is writable with a tarball on it> 8. He remove the tarball and put the key again in the Thermomix, then> check again this partition and find that tarball is restored by TM5
Hi Sigma, ist this correct? What I understood from the video is that the
two partitions from the WIFI Key are not encrypted and if you delete one
SQLite database on partition 2, the TM5 will restore it from the cs.tar
from partition 1.
Anyone that has an updated TM5 can confirm the Busybox version shown on
the "About" screen of the TM5?
I think I have seen somewhere in the TM5 scripts/source code that there
is a "switch" that will allow the TM5 to downgrade its firmware, maybe
we can use it somehow.
Do you think that the guy in the video is Ikaro? He is an Information
Security Audit & Advisory Senior Manager
(https://www.linkedin.com/in/jmbesnard), an we wrote here this:
> --Ikaro Psi> P.S. The security on this machine is very very impressive, I have pretty> much never seen done anything this right and I do security for living,> those engineers were thinking of every little detail. Sadly even them> are only humans :)
I think the best way to explore the TM5 ist to successfully run the TM5
System/GUI on QEMU or RPI. Ikaro has somehow emulated the touchscreen
but never gave information how to do that. I think this is one of the
last pieces that we need to successfully emulate the TM5.
Happy hacking everyone! :)
Bimby T. schrieb:> Hi Sigma, ist this correct? What I understood from the video is that the> two partitions from the WIFI Key are not encrypted and if you delete one> SQLite database on partition 2, the TM5 will restore it from the cs.tar> from partition 1.
You're right.
There are two partition that are not encrypted.
One contains some database file.
The second a tarball that may be a backup of the first one.
If you delete some file of the first partition, it is restored.
It seems that restoration is done from the tarball.
So, the TM5 open the tarball.
So, with a magic tarball you can get the root shell.
Great job by the way.
I might found something that cloud help sorting out the sql tables:
https://pastebin.com/kpfviZZq
AllRecipes or getGuidedMap seems to be a good starting point to
understand the structure.
Hi,
does anyone already has asked Vorwerk (opensource@vorwerk.de) for the
open source code of the new Thermomix TM6?
Would be nice to know if it is possible to convert a TM5 to a TM6... It
seems that the models are almost identical... :)
Guten Abend,
Bei diesem super langen Thread have ich leicht den Überblick verloren.
Kann mir einer kurz zusammenfassen was der aktuelle Stand ist?
Was ist zurzeit möglich?
Gruß
kolch
David F. schrieb:> Guten Abend,>> Bei diesem super langen Thread have ich leicht den Überblick verloren.> Kann mir einer kurz zusammenfassen was der aktuelle Stand ist?> Was ist zurzeit möglich?>> Gruß> kolch
Zur Zeit ist so gut wie alles möglich, nicht nur beim Kochen.
Ein Forenuser konnte den Thermomix überlisten, allerdings ist keine
Anleitung frei verfügbar. Man muss also selbst den Bug im Quellcode
suchen, der dies ermöglicht. Allerdings gibt es ein paar Tipps dazu im
Thread.
Ralf X. schrieb:> David F. schrieb:>> Guten Abend,>>>> Bei diesem super langen Thread have ich leicht den Überblick verloren.>> Kann mir einer kurz zusammenfassen was der aktuelle Stand ist?>> Was ist zurzeit möglich?>>>> Gruß>> kolch>> Zur Zeit ist so gut wie alles möglich, nicht nur beim Kochen.
Wow, vielen Dank für deinen Beitrag! Du bist eine richtige Bereicherung
für dieses Forum 👍
@Sebastian
Danke für dein Kommentar. Ich habe mir das gleiche Gedacht.
@Julian
Schade das es kein wirkliches HowTo gibt. Die Informationen sind ja sehr
verstreut im Thread.
David F. schrieb:> @Sebastian> Danke für dein Kommentar. Ich habe mir das gleiche Gedacht.>> @Julian> Schade das es kein wirkliches HowTo gibt. Die Informationen sind ja sehr> verstreut im Thread.
@all: es gibt leider auch genau diese Foren User die nur darauf warten
sinnlose Kommentare abzugeben.
Ich schlage vor die Hacks die hier angeboten werden auf Github zu
stellen und damit die Thematik einfacher zu gestalten.
Auch ein Switch auf Englisch wie schon vorgeschlagen würde die Thematik
mehr international machen und den Kreis der Leute die wirklich was
beitragen können auch vergrößern.
Lg
Michael W. schrieb:> David F. schrieb:>> @Sebastian>> Danke für dein Kommentar. Ich habe mir das gleiche Gedacht.>>>> @Julian>> Schade das es kein wirkliches HowTo gibt. Die Informationen sind ja sehr>> verstreut im Thread.>> @all: es gibt leider auch genau diese Foren User die nur darauf warten> sinnlose Kommentare abzugeben.>> Ich schlage vor die Hacks die hier angeboten werden auf Github zu> stellen und damit die Thematik einfacher zu gestalten.>> Auch ein Switch auf Englisch wie schon vorgeschlagen würde die Thematik> mehr international machen und den Kreis der Leute die wirklich was> beitragen können auch vergrößern.>> Lg
@To all that do not want to read the complete thread:
- You can find all the steps to change the Cook Key files here (I think
this procedure was already patched on new firmware releases):
https://pastebin.com/uSRCEpts
- You can watch a video how to gain root access on an older firmware of
the Thermomix: https://www.youtube.com/watch?v=iCOBc6JLSGc
If someone successfully managed to run the Thermomix GUI with QEMU, just
let us know (Ikaro have managed to run it with an emulated Touchscreen
driver. Sadly he never shared this emulated driver):
Beitrag "Re: Thermomix Rezeptchips")
Schang S. schrieb:> The YouTube video seems to be private. If it is yours could you switch> it to public? Thanks
Hi Schang,
I have changed the permissions.
The Youtube video is the same that you have already posted, just on
youtube so you can turn subtitles on and choose an auto generated
translation...
Bimby T. schrieb:> - You can find all the steps to change the Cook Key files here (I think> this procedure was already patched on new firmware releases):> https://pastebin.com/uSRCEpts
Sorry to hear that is already fix with the new firmware. You are 100%
sure?
David F. schrieb:> Bimby T. schrieb:>> - You can find all the steps to change the Cook Key files here (I think>> this procedure was already patched on new firmware releases):>> https://pastebin.com/uSRCEpts>> Sorry to hear that is already fix with the new firmware. You are 100%> sure?
If you watch the youtube video I've posted, you can see the steps to
gain access to the Thermomix and change a recipe on the cook key.
The security engineer told that he have got the Ok from Vorwerk to show
this vulnerability because it was already patched on the new firmware
version...
I can't remember exactly version numbers but basically it was patched
around March 2019 so if you can see a timestamp next to the version
then you can determine whether you device is still vulnerable.
If your TM5 has never been patched through the Wifi cookkey installation
then your device is definitely vulnerable.
Finally, check the about menu to find what version of busybox is
advertised. If it is 1.23xx then it is vulnerable.
It was fixed in 2.6 or 2.7.
Did anybody request the firmware from opensource@vorwerk.de for the
versions > 2.4?
If somebody has it, we can put it to Github/Gitlab for reference. Just
DM me for details.
2.3 is already available.
Anyone here knows what is the URL to check for a firmware update and if
it is possible to download the update without the Thermomix? I think I
have read here that the update is encrypted, is it possible do decrypt
and access the update files?
Bimby T. schrieb:> - You can find all the steps to change the Cook Key files here (I think> this procedure was already patched on new firmware releases):> https://pastebin.com/uSRCEpts
I confused Cook Key with Recipe Chips and tried the steps above for a
Recipe Chip USB - but the image doesn't compress much. Is there a method
to modify the recipes on the Recipe Chips, or just the Cook Key (wifi
dongle)?
(Have a Thermomix that I didn't think we've allowed the update - its
Software
202007050000 2.10 - which look new (assuming that's a date) - but
Busybox says 1.23.2)
Ben H. schrieb:> Bimby T. schrieb:>> - You can find all the steps to change the Cook Key files here (I think>> this procedure was already patched on new firmware releases):>> https://pastebin.com/uSRCEpts>> I confused Cook Key with Recipe Chips and tried the steps above for a> Recipe Chip USB - but the image doesn't compress much. Is there a method> to modify the recipes on the Recipe Chips, or just the Cook Key (wifi> dongle)?>> (Have a Thermomix that I didn't think we've allowed the update - its> Software> 202007050000 2.10 - which look new (assuming that's a date) - but> Busybox says 1.23.2)
Wenn I say Cook Key I mean the Recipe Chips (I think the Wifi dongle
doesn't work)... This method should allow you to edit the Recipes on the
chip (you need to check the data structure of the recipes)... I also
recommend using an USB Pendrive that has a tool to change the serial
number...
Although the attack features the Cook-key (as a way to get a remote
shell and to then recover the encryption key and eventually to
understand the digital signature bypass through command injection with
the USB serial number), the final target is the recipe chip (e.g., the
small green device you get when you purchase a TM5).
Changing recipes is just a matter of understanding the database
structure (which can be quite a mess). For example, if you wish to
change the weight of a particular ingredient for a recipe, you'll have
to update that information in 2 different tables.
As for actually creating a recipe from scratch, it is slightly more
difficult.
Changing the serial number requires that you get a memory flash drive
that will allow serial number update. From what I have experienced, you
often need to write content (the modified disk image of the recipe
stick) and to update the serial number at the same time. This operation
takes a lot of time and will sometimes eventually brick the flash drive.
Because of that, it is more convenient to simulate a flash drive with an
OTG-enabled raspberry Pi (Raspberry zero does that, other raspberry
versions don't). With that setup you can not only change the serial
number at ease but you can also update data on the fly (which is way
more convenient when you need to make frequent changes in an attempt to
modify/create a recipe). It is also more convenient to do that with the
cook-key (as shown in the video) by putting a USB (male/female)
extension inside and then plugging the rpi zero (more convenient from a
connection standpoint).
This looks like this:
[TM5]--[Cook-key]--<USB-extension>[RPI-zero]
Finally, I believe that you also need to power the RPI-zero with USB (so
both USB OTG and normal USB ports will be used) as the TM5 does not
provide enough power to boot the RPI.
Schang S. schrieb:> Because of that, it is more convenient to simulate a flash drive with an> OTG-enabled raspberry Pi (Raspberry zero does that, other raspberry> versions don't). With that setup you can not only change the serial> number at ease but you can also update data on the fly (which is way> more convenient when you need to make frequent changes in an attempt to> modify/create a recipe).
Hi Schang, it would be nice if you could post a little "how to" on using
the RPi Zero as an USB Stick for the TM5... :)
Hi all,
I've been reading all the thread, and frankly, that's awesome, good job
guys for all your discoveries. I'll add my share here.
I've been investigating the updates version 2.8 and 2.10, and both of
them are patched, the exploits in the video of the SSTIC 2019 are no
longer possible.
Even if busybox version is vulnerable, they have set up a test in the
update process to refuse the update package if it contains symbolic
links, hard links, "../" or "/"
This is verified in binary file "/usr/sbin/netlink".
About the step 7 of the procedure https://pastebin.com/uSRCEpts :
"Write image.img back to the Cook Key or USB Pendrive that can be read
by the machine" : as stated in the video, you also have to change the
serial number of the USB drive, this is possible on lots of USB devices
thanks to flashboot.ru files.
BUT, something not really underlined, you ALSO have to make the
partition of your USB drive be seen like a CDROM filesystem (in the
video, at position 5:23 you'll see his using the gadget mass_storage
with option cdrom=y).
Even with flashboot.ru files, I tried on 3 different USB keys I own, and
I could not write the raw crypted image on the USB drives (image not
written or not the size of the partition is different from image).
I really think we'd need to find the good usb drive model to do so !
Technical info of one of my USB Cookey shows :
Controller: Silicon Motion SM3257 ENLTAA
Possible Memory Chip(s): Samsung K9ABGD8U0D
Maybe we can find somewhere to buy it ?
I wonder how Matt C. did the hack in his post "04.11.2018 10:28", maybe
already with raspberry ?
I don't think the file structure or the sqlite tables might be a problem
to create your own cookey, it's logical. The main problem is the
signature checking that is not possible anymore to bypass in newer
versions (at least starting from 2.8, they have added a check to see if
the serial number only contains numbers)...
The gadget mass_storage might be used to get root shell differently on
the device, but that would need more investigation and may end to
nothing ! :)
About the updates, Vorweck has really done a big job to protect this
input, congrats !
If you're interested, here are the links of :
- version 2.8 root squashfs filesystem :
https://mega.nz/file/0vIU3JoC#MljPXOhZHL82u9_xpFXXC2TKPo3KzxQEElKte0wsar4
- version 2.10 root squashfs filesystem :
https://mega.nz/file/hrAQhTpB#ezcbOKG9ALETVWTPADY-K5YuFfM3WBotgrXEs5bR9sw
- kobs-ng update file containing the kernel of version 2.10:
https://mega.nz/file/0jYkwT5S#z6R6x69xPtsUZjzML7UXybTWYxa6-_-g40cqSU-LPQ0
I'd really love to have my TM5 freed, so that I can share my recipes
with anyone and without the cookidoo platform !
Cheers !
...in fact it would be fantastic having an image for a RPi zero, which
emulates a CookKey WiFi Dongle (or at least a CookKey) towards the TM5,
and offers WiFi capabilities to the other side.... enabling the use and
storage of own recipies....
I think the communications between TM5 and cookidoo servers are
encrypted by TLS (of course) and moreover may use TM5 internal
certificates to connect to this platform.
Therefore, you'd need to extract these certificates from your TM5 to be
able to create a MITM proxy and decrypt the data : so you need root on
the device or be able to read the NAND chipset of your TM5...
With reverse engineering you'd might be able to understand the protocol
communication and emulate the cookidoo servers : well that's an idea if
the TM5 doesn't wait for authentic certificates from cookidoo...
There should still have possibilities with this wifi, we just have to be
creative and imagine scenarios :)
Truggy M. schrieb:> I wonder how Matt C. did the hack in his post "04.11.2018 10:28", maybe> already with raspberry ?
I used a normal USB stick - I just went through my collection of USB
sticks and tried to find the MPTool software for each one, until one
finally worked. The USB stick I ended up using was a cheap one that I
got free from a conference, using Ameco MW6208 chipset, but any should
be fine if you can find the right software to set the serial number and
CD-ROM mode. It is quite a painful process so using RPi is a good idea.
Cheers,
Matt
Thanks Matt for that clarification, I wasn't that lucky with my 3 USB
drives !
As the busybox version is still vulnerable, it might be possible to
create a raspberry with mass storage gadget acting like the 2 internal
partitions of the cookkey wifi.
As shown in the SSTIC video, at 1:11, if the "ext.sdb" file is not
present in the second partition, the thermomix will recreate the second
partition (mkfs.ext4) and restore the contents of the file "cs.tar" from
partition 1 to partition 2.
The new protection in > 2.7 versions is checking for malformed "cs.tar"
to allow the restoring of the file to partition.
With that mass gadget, I think it would be possible to intercept (on the
raspberry) the first opening of "cs.tar" and show a valid file, and then
for the next open of "cs.tar" give a crafted tar file, and boom :)
I haven't worked yet on the linux possibilities to hook those system
calls, but there's a good chance it's possible to do it in combination
with mass storage gadget.
Once root on the device, you could simply mount a modified filesystem
and disable signature checking of the recipes, that is easy.
Matt C. schrieb:> Truggy M. schrieb:>> I wonder how Matt C. did the hack in his post "04.11.2018 10:28", maybe>> already with raspberry ?>> I used a normal USB stick - I just went through my collection of USB> sticks and tried to find the MPTool software for each one, until one> finally worked. The USB stick I ended up using was a cheap one that I> got free from a conference, using Ameco MW6208 chipset, but any should> be fine if you can find the right software to set the serial number and> CD-ROM mode. It is quite a painful process so using RPi is a good idea.>> Cheers,> Matt
I know that the Windows 10 Installation USB Sticks can be written with
an ISO as CD-ROM using MPALL_F1_7F00_DL07_v503_0A:
https://www.elektroda.com/rtvforum/topic3313834.html
The one I have tested has this FCC-ID and should be a DataTraveler 3.0
from Kingston (Model: DTM30): https://fccid.io/MSIP-REM-K98-1734
Here a picture of the internals:
https://mdex-nn.ru/uploads/win10_flash02.jpg
Maybe they still can be found on ebay or amazon...
Truggy M. schrieb:>>> There should still have possibilities with this wifi, we just have to be> creative and imagine scenarios :)
...I meant an Image which behaves like a Cookey towards the TM5, and
offers a simple WebPage to the user for adding recipies.... maybe also
with an option to import dumps from other Cookeys....
Would be cool.... and I guess in the range of available options
(unfortunately a bit outside my area of expertise at this point in time)
...in addition:
It seems the manufacturer wants to make you move to a new firmware as
quick as possible. Over the weekend I spent some minutes with our TM5
and a WiFi CooKey I grabbed on ebay...
Because the TM5 was on its original Firmware from 2016, it was not abel
to use the Wifi Key and an update with the firmware stored on the Wifi
Key was neccessary.
Done that I was able to connect to the local Wifi and registered the
Vorwerk Server, delivering the next message, that a newer Firmware would
be available.
I refused to do that and found out, that with the current firmware the
server does not perform any sync betweeen your Cookidoo web account and
the TM5. ...
It says no sync possible until newer firmware installed....
Hmmmm....
Ralf G. schrieb:> Done that I was able to connect to the local Wifi and registered the> Vorwerk Server, delivering the next message, that a newer Firmware would> be available.> I refused to do that and found out, that with the current firmware the> server does not perform any sync betweeen your Cookidoo web account and> the TM5. ...> It says no sync possible until newer firmware installed....>> Hmmmm....
I think that the old firmware hast an expired certificate and this is
why it needs a new firmware to connect to the vorwerk servers...
Well, I'm afraid it's intentionally.... on the TM5 I can browse recipies
online from the VW Server, but when adding Recpies with my computer to
my personal lists on Cookidoo and trying to synchronize with the TM5, it
mandates a software update...
For obvious reasons I don't want that at this point in time...
Need to read, how to set up a RPi zero in OTG mode and behaving as an
USB Stick with "our" serial...
Well, I didn't spent time on looking after the url in vorwerk's servers
: I just connected the wifi cookkey, the thermomix downloaded the
update, and I took the file "tm5.img" from the second partition of the
drive in the cookkey.
The extraction of the internal data was a little harder because their
tool (/usr/sbin/checkimg) needed some little "adjustments" to be able to
extract the data without complaining...
Truggy M. schrieb:> Well, I didn't spent time on looking after the url in vorwerk's servers> : I just connected the wifi cookkey, the thermomix downloaded the> update, and I took the file "tm5.img" from the second partition of the> drive in the cookkey.>> The extraction of the internal data was a little harder because their> tool (/usr/sbin/checkimg) needed some little "adjustments" to be able to> extract the data without complaining...
It would be nice to find out how to get the URL to check if we could
inject a custom firmware. I suppose that the firmware has a checksum, so
I was thinking to change part of the firmware swapping bytes from an
image. Per example: if we have a binary file we would like to patch, we
seek the needed bytes for the patch on an image and swap them. In
theory, the image would have bad pixels, but the checksum should be the
same, because we only swapped the bytes on the firmware.
It would be hard work, but, first thing: is something like this even
possible? :)
That could be a good idea, but seeing the level of security they have
put in the product, it's really more than a checksum, I guess they have
encrypted / verified the update package with RSA certificates :
without the private key, you won't be able to generate a valid update
package...
If you're interested, here are the complete update files, you'll see the
format is not understandable and very probably encrypted :
- full update version 2.8 :
https://mega.nz/file/s2QWgR4A#F6ju-XtenmQ1Unn-l2htUp6eG0CbZnRzsLXqlnjEN0I
- full update version 2.10 :
https://mega.nz/file/wrYiULAC#9z-R0G23mqF2WAXdR4o4fjdTSy_W5SGfEsptb2IJRgo
....today I purchased an used Chip for our TM5, but for an unknown
reason, the TM5 complaints that he cannot read the chip and I should
clean the contacts.
Well I did (several times) ... I also opened the chip and bent the
contacts to the memory stick inside. No luck.
Then I soldered some cables directly between memory stick and the
contacts... same result....
So I assume the memory stick is simply defect... In case you don't have
a smart idea what to do with it, I guess I will transform it to an USB
OTG Interface
Ralf G. schrieb:> ....today I purchased an used Chip for our TM5, but for an unknown> reason, the TM5 complaints that he cannot read the chip and I should> clean the contacts.>> Well I did (several times) ... I also opened the chip and bent the> contacts to the memory stick inside. No luck.>> Then I soldered some cables directly between memory stick and the> contacts... same result....>> So I assume the memory stick is simply defect... In case you don't have> a smart idea what to do with it, I guess I will transform it to an USB> OTG Interface
Had the same issues with the cookkey.
I soldered it now directly to the TM5 and still get errors when the sync
takes too much time/data.
But it seems to be much more stable.
I‘m thinking of directly integrating it into the TM5 and not use the
external USB port at all...
Were you able to read the USB flash drive directly on a PC/Mac?
Xeno 2. schrieb:> Were you able to read the USB flash drive directly on a PC/Mac?
Not yet tried... will try today.
I slowly start to understand the business case of VW ... They stopped
production of the keys and want all to use the CookiDoo Portal, as this
gives constant revenues.... which the CokKeys do not. And to apply some
pressure, you can't use the portal unless you have a new firmware on
your TM5
However, the web is full of reports of CookKeys not working.... how can
that be? I never came across of a standard USB Stick failing in
years....
Is this intentionally or only lousy design/quality?
Edit: in Windows it comes up as CD Device with Partition and
Drive-Letter, however no contents can be shown.
Linux says:
[ 633.779020] usb 1-1.2: new high-speed USB device number 5 using
dwc_otg
[ 634.631705] usb 1-1.2: New USB device found, idVendor=090c,
idProduct=1000, bcdDevice=11.00
[ 634.631737] usb 1-1.2: New USB device strings: Mfr=1, Product=2,
SerialNumber=3
[ 634.631752] usb 1-1.2: Product: USB Flash Disk
[ 634.631762] usb 1-1.2: Manufacturer: General
[ 634.631775] usb 1-1.2: SerialNumber: 5080000495520002
[ 634.650843] usb-storage 1-1.2:1.0: USB Mass Storage device detected
[ 634.652421] usb-storage 1-1.2:1.0: Quirks match for vid 090c pid
1000: 400
[ 634.652711] scsi host0: usb-storage 1-1.2:1.0
[ 634.662315] usb 1-1.2: USB disconnect, device number 5
[ 634.899285] usbcore: registered new interface driver uas
[ 635.689058] usb 1-1.2: new high-speed USB device number 6 using
dwc_otg
[ 635.821919] usb 1-1.2: New USB device found, idVendor=090c,
idProduct=1000, bcdDevice=11.00
[ 635.821950] usb 1-1.2: New USB device strings: Mfr=1, Product=2,
SerialNumber=3
[ 635.821965] usb 1-1.2: Product: USB Flash Disk
[ 635.821976] usb 1-1.2: Manufacturer: General
[ 635.821990] usb 1-1.2: SerialNumber: 5080000495520002
[ 635.840126] usb-storage 1-1.2:1.0: USB Mass Storage device detected
[ 635.845590] usb-storage 1-1.2:1.0: Quirks match for vid 090c pid
1000: 400
[ 635.846693] scsi host0: usb-storage 1-1.2:1.0
[ 637.210207] scsi 0:0:0:0: CD-ROM General USB Flash Disk
1100 PQ: 0 ANSI: 2
[ 637.283414] scsi 0:0:0:0: Attached scsi generic sg0 type 5
[ 637.351012] sr 0:0:0:0: [sr0] scsi3-mmc drive: 0x/0x caddy
[ 637.351041] cdrom: Uniform CD-ROM driver Revision: 3.20
[ 637.355808] sr 0:0:0:0: Attached scsi CD-ROM sr0
Ralf G. schrieb:> Xeno 2. schrieb:>> Were you able to read the USB flash drive directly on a PC/Mac?>> Not yet tried... will try today.>> I slowly start to understand the business case of VW ... They stopped> production of the keys and want all to use the CookiDoo Portal, as this> gives constant revenues.... which the CokKeys do not. And to apply some> pressure, you can't use the portal unless you have a new firmware on> your TM5>> However, the web is full of reports of CookKeys not working.... how can> that be? I never came across of a standard USB Stick failing in> years....> Is this intentionally or only lousy design/quality?>> Edit: in Windows it comes up as CD Device with Partition and> Drive-Letter, however no contents can be shown.
I've seen many flash drives die - especially those that are being given
out as adverts - also SanDisk Extreme SD-Cards die often.
I think the TM5 has a lot of design flaws. To force a new firmware makes
sense to protect their IP... I'm not very happy with the TM5 and this
USB port... thats why I want to get rid of it.
Regarding your "Recipe chip" (its not the CookKey with WiFi, right?): At
least windows is able to read the partition table.
So it could be useable?! Are the contacts on you TM5 ok? Try some IPA to
clean it - but just a wild guess.
Maybe someone else has any clue about your problem.
@Ralf : correct me if I'm wrong, as long as I remember, the thermomix
also detects the presence of a Cookey using the magnets inside the
Cookey.
@Xeno 2 : I see that you haven't put magnets on your thermomix, is your
cookey wifi working ?
Sorry for being not clear enough :-)
I had to take out the magnets for solderig. Too annoying that they flip
to the tip of the soldering iron all the time. Were put back in for
testing of course.
Both the original "Kochbuch" and the WiFi Key work without problems.
Seems only related to the Cookey I purchased second hand.
I'm now reading the whole thread a second (or third?) time (now at early
2015)...
In between I got the SMI Tool Carlos mentioned and I should be able to
clone a chip when having the proper USB Sticks....
I took a dd image from my defective chip, but I'm afraid this data to be
corrupt. Otherwise the TM5 should read it...
Truggy M. schrieb:> @Ralf : correct me if I'm wrong, as long as I remember, the thermomix> also detects the presence of a Cookey using the magnets inside the> Cookey.> @Xeno 2 : I see that you haven't put magnets on your thermomix, is your> cookey wifi working ?
@Truggy M.:
Yes, CookKey(including WiFi) works for me without any magnets - didn't
even know that there could be some reed or hall-effect sensor.
But I think the shielding of the USB data lines is an issue for me since
long syncs (a lot of cook books) are aborted with different error codes.
@Ralf : you can try to mount your dd image using the following linux
commands :
echo -n 2faf32c6f26b5cc021c18988019af3a5 | xxd -r -p > tm.key
cryptsetup create recipes YourDDImage.img -c aes-cbc-plain -s 128
--key-file tm.key
mkdir recipesmount
mount /dev/mapper/recipes recipesmount
If the mount command works, your image is correct, else all is lost :(
@Xeno 2 : thanks for the confirmation, I'll try without the magnets on
my TM5 !
Great stuff Truggy...
This is what I get from the mounted image (mounted at /mnt/cdrom):
root@raspberrypi:/mnt/cdrom# ls -la
insgesamt 5765
drwx------ 3 root root 77 Jun 5 2014 .
drwxr-xr-x 3 root root 4096 Dez 1 12:28 ..
-rwxr-xr-x 1 root root 5898240 Jun 2 2014 ext.sdb
-rw-rw-r-- 1 root root 256 Jun 5 2014 ext.sdb.sig
drwxr-xr-x 3 root root 28 Jun 2 2014 material
Yes, thanks for confirming!!!
However I will try skipping the step using another USB Stick, but using
a RPi zero in USB OTG Mode instead. Maybe I can also install a small
Selector switch on some of the RPi ios and switch between multiple
images.
Hallo,
I habe angefangen dem Editor von Kyroth das Datenbankformat vom Rezept
Chip beizubringen.
Das entpackte Image vom Rezept-Chip (enc_dump) wird benötigt um den
Editor zu testen.
Zzt. kann er nur Rezeptdaten einlesen. TM-Schritte und
Änderungen/zufügen folgt im Laufe der Zeit.
Kann das alles nur nicht testen, da der Raspistick bei mir leider nicht
funzt.
Würde mich sehr freuen wenn jemand mit mehr Zeit und/oder besseren
Programmierkenntnissen
das Teil übernehmen will (Benötigt HTML/JS/SQL Kenntnisse)
Quellcode ist zzt ein wenig chaotisch da ich einfach über den Code von
Kyroth "drüberprogrammiert" habe.
Das Bild stammt von einem Test, lasst euch also nicht verwirren, er
liest das schon richtig ein.
Hello,
I have added basic database support for Kyroth's editor (from 2016)
atm, it can only read in the recipes from the cook stick (enc_dump is
needed from your recipe-chip).
I can unfortunately not test whether changed/new data is compatible,
because the raspi stick does not work for me.
But i will continue on this editor until somebody with better
programming skill and/or more time will adopt it.
It uses HTML/JS/SQL and was tested on Mozilla and Chrome.
Scource Code is a mess right now, because I have overwritten SOME parts
to get the database included.
The picture is from a test so don't get irritated - recipe reading works
well.
Peter
...just a short one: do the "old" Cookeys still work with the latest TM5
firmware? I can't imagine why they should not....
Reason for asking: for now I refused to install the latest Firmware
Update, which is advertized everxy time when starting the TM5 with Wifi
Key plugged in.
The disadvantage is, that you don't get your TM5 to sync with the VW
Server with an outdated Firmware.
But in case understood correctly, there's no way to block a cloned
Recipies Chip, because it can't be differentiated by the TM5 if its
original or clone, right? Don't want to close a door I probably would
like to go through soon.
In particular: does the serial number glitch with the RpiZero still work
with the latest firmware?
@Peda : wouhaou, what a work ! how long have you been working on it,
that's a real good start !
@Ralf : yes, of course "old" Cookeys still work with the latest TM5
firmware.
And no, I think there is no way to distinguish an original from a cloned
stick, it should only be based on encryption key (tm.key) and serial
number.
As I said, the serial number glitch won't work directly on newer
firmware : they have implemented a pre-check to see if all bytes of the
serial number are numerical.
Note : you can get rid of the update advertising by removing the file
tm5.img in the second partition of the cookey; maybe the tm5 will
re-download it as soon as it is connected to internet, to be checked !
Truggy M. schrieb:> As I said, the serial number glitch won't work directly on newer> firmware : they have implemented a pre-check to see if all bytes of the> serial number are numerical.
Understood! But setting it to the serial stored on the original stick
might work?
> Note : you can get rid of the update advertising by removing the file> tm5.img in the second partition of the cookey; maybe the tm5 will> re-download it as soon as it is connected to internet, to be checked !
Unfortunately I'm one step ahead: I installed the firmware stored on the
WiFi Stick, because without, our TM5 refused to work with WiFi at all.
Now, with this version installed and when connected to WiFi & Internet,
each time when starting up, the TM5 does a Firmware version check.
And as said: it refuses to sync with the VW Cookidoo Server until more
recent Firmware is installed. In this state the WiFi Stick is more or
less useless.
Will try to complete the adaptor today, connecting the RPi to the TM5
By the way: I guess I do know now, why the original stick was refused by
the TM5: from the mounted image I tried to copy all files for playing
with the database. It seems that about 50 images are broken. cp reports
an io error and those have a lenght of zero.
Does someone have an intact image for me please? As I own the original
key, I hope this should not violate any copyright.
Ralf G. schrieb:> Understood! But setting it to the serial stored on the original stick> might work?
I think Yes.
Actually, I have recreated an image of a cookey recipe, encrypted it,
and managed to write it on a USB drive with correct serial number :
if I dump the image it can be mounted correctly, but it doesn't work on
my TM5...
I'll have a closer look at what's wrong : the mount of the device
"/dev/sr1" fails on my linux, whereas the dump works, strange...
ok, I found my error, the clone is working :
I tried to setup an ext4 filesystem but when decrypted the cookey is a
squashfs filesystem...
I could also add a file in the filesystem of my clone, the cookey is
still working !
Note : my TM5 detects the cookey ONLY if the magnets are present
I had success with a Raspberry Pi Zero W and an image I created a while
back.
Thanks everyone for the instructions.
I got a used recipe chip off of e-bay (to reduce friction at home ;))
and replaced the USB stick with a USB extension cable.
The next step will be to modify the existing image to add own recipes…
@Ralf : Which cookey was it ?
And good job Tobias, looks good !
Luckily if you have an old firmware and you can use the flaw of the
serial number to modify the recipes.
Mine has been updated, I need to find another way around !
As someone proposed before, you could imagine a small touchscreen on the
rpi to switch from a cookey image to another ;)
Note : cookey raw images are about 4GB, but compressed it only use 3Mb :
you could put all known cookeys in a single RPi (And I think it will
work) :)
Ralf G. schrieb:> It was "Wertvoll geniessen" .... do you want to see a pic as a proof of> ownership? ;-)
Unfortunately I don't have this cookey...
I'd guess that all same cookeys have the same serial number, but it's
only a guess : I'll check with friends if this is the case !
If the serial doesn't change, you could ask anybody to give you its
files, though I don't know how legal this is (if you really care about
it !!)
I’d really stay away from anything other than knowledge sharing here.
We don’t want to give Vorwerk any reason to claim it’s about copyright
violation and “piracy”.
At least from my perspective it’s solely about exploring the tech and
being able to create my own guided recipes.
Complete agree Tobias, you're right.
My goal is to have free, shared and legit recipes : I wouldn't be
investigating this if Vorweck have an open system !
Nice, that there are working Chips with rPi to make sure that clones of
the books can be saved and used! :-)
OT: Is there a stored copy of this whole thread? Only for the case that
it'll be shut down deleted whatever? If it'll happen, I think a
discord channel would be a perfect way to continue this topic.
Truggy M. schrieb:> @Peda : wouhaou, what a work ! how long have you been working on it,> that's a real good start !
don't ask :(
but I made some progress in code cleanup, more supported tables etc.
the database is a MESS. most data is double (or more) in the tables,
much useless data and, and, and...
but I hope to get guideSteps in the sidebar soon completed.
what you see in the sidbar picture is a mix of real and test data, but I
have my hands on it.
if anybody has trouble with this editor just drop me a line - I will fix
it.
my biggest problem is that I cannot test the database on writing. either
the sig is opened soon ;) or I will need a painless betatester for this
phase.
btw, my email provider (squirrelMail) told me today:
1
Dataloss: All changes made to accounts between 25th November at around 7:30 and 2nd December 11:00 UTC were lost due to a disk corruption resulting in a corrupted database. Accounts created during that timeframe will have to be re-created.
so if you already send me a mail - you have to do it again :(
1
many thanks to the guys here in the forum. i didnt had a chance to make anything on my own here. the work on the encryption, the skeleton of the editor, the tutorial for the pi-stick - whick didnt work for me :( etc...
Peter T. schrieb:> Don't waste your time with the sticks, rather read the whole thread and> wait for our discord server.
Why would you want to distract by moving to a discord server? I see no
benefit in it.
Tobias C. schrieb:> Peter T. schrieb:>> Don't waste your time with the sticks, rather read the whole thread and>> wait for our discord server.>> Why would you want to distract by moving to a discord server? I see no> benefit in it.
I only want to help with my information.
We can do:
- decrypt cook-sticks, modify and add recipes with a python library
- simulate cook-sticks with rpi zero
- download recipes from cookidoo and add them to a cook-stick
- make TM accept modified cook-sticks on firmware 2.4 and before
- gain root access on firmware 2.4 and before
- emulate firmware with qemu, unpack update packages
We can not do:
- make TM accept modified cook-sticks on firmware >2.4
- gain root access on firmware >2.4
- downgrade TM to 2.4
- emulate TM's touchscreen gui with qemu
We will do:
- create web gui running on rpi zero, using the library, to add, edit
and share recipes comfortably
We could do:
- test things for you with root access on our second TM
- help you working on downgrading to 2.4
If you have questions or want to contribute to the web gui, please write
a message.
[cook-stick=no wifi]
Today I noticed that the known signature bypass doesnt work on older
firmware versions. I cant verify it since I have no dump of these
versions.
So if your TM doesnt accept your stick even tho you did everything
right, you maybe need to update to 20160523 with a cook-key.
Please can someone with firmware version 2.5, 2.6 or 2.7 post
busybox+dhcp version(check in TM settings menu) and netlink hash/update
image(extract from the cook-key)?
Hi Peter/All,
As requested
Version 201504080000
BBox 1.15.0
DHCPD 3.0.3b1
I have no WIFI CookKey. This machine has never been updated.
I own two recipe chips that the machine refuses to read (non german).
One starts reading and then gives C513 error the other is not recognized
at all.
Trying to fix this I disassembled the chips and dumped on the PC without
any read problem (dd if=/dev/sr1 of=file.img) Not sure if I needed to
skip any bytes.
Then I've setup a Raspberry pi zero to try to see if I could simulate
the chips. On machine I've got an error stating that the product is not
genuine. On PC I can dump the simulated raspberry successfully but
truncated to g_mass_storage max CD size (2.4 Gb).
I tried:
- Setting the original serial number
- Setting serial injection hack.
- Setting all product/vendor... parameters
I have not been able to mount the images in my computer. I think that
the key might be different.
I'm available to test anything required.
Tinco A. schrieb:>> I have not been able to mount the images in my computer. I think that> the key might be different.
Update: I managed to mount one of the images. The key works.
I could see the pictures but the database is corrupt.
[13470.092436] SQUASHFS error: Unable to read data cache entry [1e3a3]
[13470.092437] SQUASHFS error: Unable to read page, block 1e3a3, size
b1a6
[13470.092543] SQUASHFS error: lzo decompression failed, data probably
corrupt
[13470.092545] SQUASHFS error: Failed to read block 0x1e3a3: -5
[13470.092853] SQUASHFS error: lzo decompression failed, data probably
corrupt
[13470.092855] SQUASHFS error: Failed to read block 0x14c7e: -5
When using this chip on the machine it displays the splashscreen and
then it fails. Probably when trying to open the database.
I think that I would need to find a working chip.
Tinco A. schrieb:> Hi Peter/All,>> As requested>> Version 201504080000> BBox 1.15.0> DHCPD 3.0.3b1
Thanks for your help, I wrote you a message to fix your problems.
@Everyone:
If you have tm5.img files or dumps of the wifi-cookey(2019 or older),
please send them to me.
I already collected the following:
20160523 - md5: 7bf5904c8c7d1cc1d220aacb26afb321
20170629 - md5: 32017f670bcf3d948e0a9fd6da4230a3
20170913 - md5: 1e693b9f6189ddf94697d7976ab33a9c
20190710 - md5: 2fd89e67848dfe05c6dc5201a439aa70
Hi,
I wrote a service to create custom recipes database. A format to share
recipes and other few extra things.
Enjoy and feel free to test and give feedback.
Please check at:
https://gitlab.com/tincomisc/recipeton
Fipsy O. schrieb:> Nice, that there are working Chips with rPi to make sure that clones of> the books can be saved and used! :-)>> OT: Is there a stored copy of this whole thread? Only for the case that> it'll be shut down deleted whatever? If it'll happen, I think a> discord channel would be a perfect way to continue this topic.https://web.archive.org/web/20210522150711/https://www.mikrocontroller.net/topic/thermomix-rezeptchips?page=single
anything before this post should appear at this link soon. (for creating
a newer freeze use the "save page now" feature of the wayback machine)
Edit: falscher Timestamp in der url korrigiert
I everybody
I'm looking to repair a TM5, where it seems the flash has been corrupt
or is bad.
Anyone already dump the raw flash image (128MB) for the TM5 somewhere ?
Did someone already done a wiki and or markdown site on github or
somewhere with interessting information (serial ports, protocol used,
....) ?
Thanks in advance !
Ich möchte ein TM5 reparieren, wo es scheint, dass der Flash beschädigt
oder schlecht ist.
Hat jemand schon irgendwo das Raw-Flash-Image (128 MB) für das TM5
abgelegt?
Hat jemand schon eine Wiki- und/oder Markdown-Site auf github oder
irgendwo mit interessanten Informationen (serielle Ports, verwendetes
Protokoll, ....) erstellt?
Viele Danke
Nicolas
My TM5 currently shows an error code (C150) followed by an automatic
shutdown. This is related to a mechanical problem which already has been
repaired. Did the research on the debug port yield any results towards
resetting stored errors? Any hint/PN would be highly appreciated.
Disclaimer: I am not interested in cloning anything but rather to
execute my right to repair.
Thanks.
Hello guys,
It's been a while !
Well, hope there's still people here who want to take control of the
device :)
I think I've found a way to downgrade the device, it may not work if you
have the latest 2.12 version.
This will ease a lot the research to free the device for the ones like
me who have an already patched firmware after the ethical report of the
french researcher (very good writeup / speaker Jean-Michel !).
I think we can go back to the vulnerable firmware 20160523.
For now, I'm quite fearful to try it on my device (yeah, my wife would
kill me!), do you think it's really risky ?
Cheers !
PS : I usually don't look at my emails / private message, please
consider posting here first
Truggy M. schrieb:> Hello guys,>> It's been a while !> Well, hope there's still people here who want to take control of the> device :)>> I think I've found a way to downgrade the device, it may not work if you> have the latest 2.12 version.>> This will ease a lot the research to free the device for the ones like> me who have an already patched firmware after the ethical report of the> french researcher (very good writeup / speaker Jean-Michel !).>> I think we can go back to the vulnerable firmware 20160523.> For now, I'm quite fearful to try it on my device (yeah, my wife would> kill me!), do you think it's really risky ?>> Cheers !>> PS : I usually don't look at my emails / private message, please> consider posting here first
Hey Mate,
Great to read that there are stil ppl working with the device, we worked
hard to free the device but I dont see many ppl benefit from it.
I am excited to test your downgrade method, I also already found a way
to upgrade to a specific version on purpose, which is necessary since
the root shell was only introduced with the wifi firmware.
Feel free to contact me and also checkout the subreddit :p
Edit:
I originally planed to make some polished showcase video about what you
can do with the tm, but there was no time for that. So instead I am
sharing some bad recordings I found on my hard drive, maybe it will
motivate someone to work with the tm, we are still missing a DOOM build
:)
Hans H. schrieb:>> Edit:> I originally planed to make some polished showcase video about what you> can do with the tm, but there was no time for that. So instead I am> sharing some bad recordings I found on my hard drive, maybe it will> motivate someone to work with the tm, we are still missing a DOOM build> :)
Wow! That interface looks neat! Would love to have that on my TM5 as
well. I have a really old version installed right now, 2014something.
But as far as I have seen, I first need a cook-key/cookido for
rooting/to gain access.
Would you provide your modified firmware?
Jonas W. schrieb:> Hans H. schrieb:>>>>> Edit:>> I originally planed to make some polished showcase video about what you>> can do with the tm, but there was no time for that. So instead I am>> sharing some bad recordings I found on my hard drive, maybe it will>> motivate someone to work with the tm, we are still missing a DOOM build>> :)>> Wow! That interface looks neat! Would love to have that on my TM5 as> well. I have a really old version installed right now, 2014something.> But as far as I have seen, I first need a cook-key/cookido for> rooting/to gain access.>> Would you provide your modified firmware?
I dont have a pre-wifi firmware dump to analyze, but as far as I
remember the serial number exploit was also introduced with the wifi
firmware, so I think you at least need version 201605230000 to have some
fun.
The good news: you can update to a specific firmware version, even
without a real cookidoo, by simulating the wifi cookidoo with a
raspberry pi zero and placing the update package on the simulated
cookidoo. I will release a step by step tutorial for this very soon.
After the update you can use the serial exploit to run scripts on the
tm5. With an USB hub you can also mount another usb drive to dump files.
Regarding my UI image: this is just a joke, sorry :D it only shows a
static image of the new TM6 UI. Maybe we will do some custom UI in the
future.
The injection through the serial USB number was fixed around March/April
2019 so any version before that will do.
There is also an unpublished way (MSD TOCTTOU-based) of rooting the TM5
on version prior to around March 2021.
Hans (check your priv messages :) )
Hans H. schrieb:> The good news: you can update to a specific firmware version, even> without a real cookidoo, by simulating the wifi cookidoo with a> raspberry pi zero and placing the update package on the simulated> cookidoo. I will release a step by step tutorial for this very soon.> After the update you can use the serial exploit to run scripts on the> tm5. With an USB hub you can also mount another usb drive to dump files.>
Hans, are you able to downgrade the device with your method ?
From what I've searched it doesn't look possible "easily", yet I haven't
analyzed the possibilities of the AX88772/72A/72B adapter.
Thank you Schang too for the report of TOCTTOU, I was about to spend
some time on it, do you think they fixed the problem after having read
my message of 14.11.2020 15:13 ?
Something else, does anyone know if the rootfs is signed and checked at
bootup ?
Truggy M. schrieb:> Hans H. schrieb:>> The good news: you can update to a specific firmware version, even>> without a real cookidoo, by simulating the wifi cookidoo with a>> raspberry pi zero and placing the update package on the simulated>> cookidoo. I will release a step by step tutorial for this very soon.>> After the update you can use the serial exploit to run scripts on the>> tm5. With an USB hub you can also mount another usb drive to dump files.>>>> Hans, are you able to downgrade the device with your method ?> From what I've searched it doesn't look possible "easily", yet I haven't> analyzed the possibilities of the AX88772/72A/72B adapter.>> Thank you Schang too for the report of TOCTTOU, I was about to spend> some time on it, do you think they fixed the problem after having read> my message of 14.11.2020 15:13 ?>> Something else, does anyone know if the rootfs is signed and checked at> bootup ?
I thought you know a downgrade method :D
I will make further investigations to check the OTP fuses that are
meaned to be burned with updates. Idk if its possible to bypass them
atm.
I also played around with the AX88772/72A/72B adapter but could not find
anything useful yet.
Well, based on a single test for now, downgrade method looks to be
working !
I strongly advise not to update to the latest firmware if you want to
free your device ;)
More information to come...
hey guys, I've read through this thread with great interest and wondered
if you would be interested to join a discord server for easier
information sharing. I've just created one here for any RE discussions
regarding TM5, TM6, ...:
https://discord.gg/FrhGSQyWJp
Would be appreciated if you join and probably boost progress :)
Truggy M. schrieb:> You'll be glad to hear that we have found another good vulnerability,> tests are really promising, stay tuned ;)
Chad Truggy strikes again :3
Hello back there !
Good, we've now got working 2 proofs of concept to root the TM5.
Before releasing it publicly, I'd like to give Vorwerk the opportunity
to have a look at them and evaluate the risks for them, as a responsible
vulnerability disclosure.
So, if anyone working at Vorwerk (security, IT, support, ...) is still
reading this thread, I'm willing to first share with you the details.
Please write me a private message through the forum messaging, or in
discord.
The last vulnerability was marked here the 25th of march, I'll wait
until the 25th of June (3 months after) and will release it publicly if
no contact is made.
Thank you !
Hello,
I've been contacted by Vorwerk, so I won't be releasing details of the
POCs until agreed with Vorwerk, sorry for those who were waiting for it
with a lot of hope...
I'll post the news here or in Discord when possible.
Cheers!
Gilbert H. schrieb:> The Discord link from @SK F. now links to the old Discord, once> you> join.
Hi Gilbert, It is impossible to be added to the Discord. My user is
somo19976#0329
Enrique S. schrieb:> Gilbert H. schrieb:>> The Discord link from @SK F. now links to the old Discord, once>> you>> join.>> Hi Gilbert, It is impossible to be added to the Discord. My user is> somo19976#0329
You should be able to join the discord server with this link:
https://discord.gg/3XX2PQxWBv
Hans H. schrieb:> We can do:> - decrypt cook-sticks, modify and add recipes with a python library> - simulate cook-sticks with rpi zero> - download recipes from cookidoo and add them to a cook-stick> - make TM accept modified cook-sticks on firmware 2.4 and before> - gain root access on firmware 2.4 and before> - emulate firmware with qemu, unpack update packages
Are there any sources for that, a Github repo with tutorials or
something similar?
Raul K. schrieb:> Was mich mal interessieren würde an alle die sowas zu Hause haben:> Wie> oft nutzt ihr das wirklich zum kochen?
Mehrmals wöchentlich. Allerdings per HW-Downgrade auf den TM31.
(Der ist nicht smart und gängelt daher der User auch nicht mit
Zwangspausen beim Öffnen des Deckels, usw, ...)
PS: Diese ganzen Geräte sind total nutzlos, außer man befasst sich
damit. Bei den smarten Teilen geht der Einstieg natürlich etwas
leichter.
Der für mich einzig sinnvolle Hack wäre, mich per Wi-Fi mit dem TM
verbinden zu können und alternativ zu den offiziellen Rezepten eine
eigene Datenbank hierfür zu nutzen, die von der Community gepflegt wird.
Alles Andere ist sicherlich eine tolle Leistung, aber der WAF ist
suboptimal ;-)
Das Kaufargument für das Teil ist ja gerade, dass es einfach
funktionieren soll.
Wir nutzen den TM übrigens täglich. Frau und Kinder machen sich da von
der Suppe über Kakao vieles. Das Einzige, dass die Lieblingsfrau nervt,
ist, dass sie den TM5 kurz vor Erscheinen des 6ers gekauft hat und nun
einige Funktionen nicht vorhanden sind, was permanent in Vorwerk
Mailings klar wird. Ist halt nicht, wie bei AVM, wo die Fritz!Boxen auch
nach Erscheinen neuer Modelle liebevoll gepflegt werden.
Raul K. schrieb:> Was mich mal interessieren würde an alle die sowas zu Hause haben: Wie> oft nutzt ihr das wirklich zum kochen?
Bitte hier jetzt keine Diskussion über Sinn und Unsinn von dem Gerät.
Mach dafür gerne irgendwo ein Offtopic auf, aber bitte nicht hier in
diesem Thread.
Hallo zusammen,
ich bin leider auch gerade mit dem Thema Rezeptchips von Vorwerk
beschäftigt.
Ich habe hier leider einige Chips meiner Frau, die den Geist aufgegeben
haben und da mich das total anstinkt, das Vorwerk hier so billige
USB-Chips verbaut hat und ich auch etwas versiert bin in der
Elektrotechnik, suche ich eben Lösungen und nicht nur reinen
"Neukauf"... zumal die Produktion ja schon eingestellt wurde und die
gebrauchten Teile bei z.B. bekannten Kleinanzeigen-Portalen leider auch
nicht alle des Gelbe vom Ei sind (leider nun auch schon einige defekte
daher erhalten -.-).
Ich habe mir mit meinem 3D Drucker nun eine Lesestation gebaut, wo ich
funktionierende Chips auslesen kann .... -> funktioniert
Ich habe mir nun von meinen Bekannten einige Chips ausgeliehen, die bei
uns defekt sind und habe ein Image davon gezogen .... -> funktioniert
Jetzt möchte ich probieren, ob die Teile auch am TM5 geclont
funktionieren.
Hierfür habe ich eine Werbestick rausgekramt, der aber leider nicht mit
einem Controller von SMI, sondern von FirstChip bestückt ist.
Nunja, es gibt ja die bekannten MpTools auch für FirstChip.
Leider aber ist es mir noch nicht gelungen, eine funktionsfähige Kopie
meines Rezeptchips zu erzeugen.
Hat hier schon jemand Erfahrungen darin, ob auch andere
Controller-Hersteller neben SMI funktionieren?
Weiter oben habe ich ja bereits gelesen, dass es nicht auf den genauen
Chiptyp selbst ankommt aber leider habe ich nichts zu anderen
Herstellern gelesen.
Ich würde mir gern von China ein paar USB-UDP-Chips kaufen wollen, dann
habe ich Ruhe vor dem Ausfall der Rezeptchips.
Ein Backup von jedem Kochbuch auf die Festplatte und wenn wieder mal ein
Chip ausfällt, einfach einen der UDPs beschrieben, fertig.
Leider aber bieten einschlägige Auktionshäuser nur Chips mit Controllern
von Alcor an. Hat vielleicht schon jemand Erfahrung damit?
VG MH
My TM5 currently shows an error code (C150) followed by an automatic
shutdown. This is related to a mechanical problem which already has been
repaired. Did the research on the debug port yield any results towards
resetting stored errors?
Hi all
sorry to write in english ,
I'm french and I wrote a topic to fix one of the issue of TM5 (lost of
temp sensor)
have a look here if you wish (it is in french)
:https://www.abcelectronique.com/forum/showthread.php?t=107314
I also discovered the video from my compatriote JM Besnard.... amazing
I don't anderstand nothing in linux and all that fancy stuff that you
did here.
today I wonder if you could tell me how to reset errors like the C72 .
BEcause even if I fix the root cause (C72 stand for relays errors) tm5
refuse to recover properlly
at least one guy know how to :
https://www.youtube.com/watch?v=9CnJbHa2bwQ at 11:59 it connects a USB
OTG to ethernet device to TM5
then TM5 starts a console screen where I can read the ip adress
192.168.76.1
the guy says that he spend a large amount of time to write the code that
do the job...
my question is ... is it thru or BS?
I guess that vorwerk had a diagnostic tool for that right?
best regards
Hello,
after more than a year, (and no answer from Vorwerk to my last email),
I've decided to release the vulnerabilities details on the Discord
channel.
This is for educational purposes as the vulnerabilities found are really
interesting from technical and mindset points of view.
We have revisited the TOCTTOU concept to trick the Thermomix restore
process, take a look by yourself!
I hope this will benefit other vendors or software-hardware engineers in
creating more secure solutions and give ideas to pentesters ;)
Cheers !
Ein Problem ist sicher, dass das Ding in den Mülleimer gehört. Man fühlt
sich erinnert an Datas Fingerfalle oder an einen Sony DPS F7
(Effektgerät, Musik).
Prinzipiell kann man mit einem Minimoog auch viel Spaß haben.
Das alte Meal Master Programm war das viel bessere Werkzeug. Gut, wenn
man eine größere Datenbank zusammen hatte (und das ging damals sehr
schnell, viele hatten Rezepte aus guten Fernsehsendungen oder auch aus
bekannten Kochbüchern in das Meal Master Format übertragen).
Das UI war eine DOS-Konsole - aber einfach zu bedienen. Das aufwendigste
war wirklich die Datenbank anzupassen.
Man konnte dann schauen, was man im Kühlschrank, oder sonst auf Lager
hat, die Zutaten angeben, und (nicht immer, aber immer öfter) passende
Rezeptvorschläge oder gute Anregungen finden.
Blättert man ein wenig im Kochkunstführer vom Escoffier herum, und macht
sich ein paar Gedanken über die Sinnlichkeitswelten damals, verglichen
mit der Digital und Supermarktwelt heute, kommen einem echt die Tränen.
Crêpes lassen sich auf Jahrmärkten auch nur noch mit Nutella verkaufen
oder Holunderbüsche nur noch von Fliegern ernten.
(https://github.com/jeraymond/Recipe/blob/master/com.niceprograms.recipe/src/com/niceprograms/recipe/data/MealMasterImporter.java)
Hallo zusammen! Ist die Discord Community noch aktiv? Ich habe vor 2
Wochen um Freischaltung gebeten, kann aber immer noch nur den #welcome
channel sehen.
Hi folks! Is the Discord community still active? I requested access 2
weeks ago, but am still restricted to the #welcome channel only.
Hallo zusammen,
Ich bin mittlerweile verzweifelt. Ich habe gefühlt alles ausprobiert,
was ich gefunden habe in den unterschiedlichen Gitlab Repos.
Auch das cryptoloop Modul war eine harte Nuss, aber mit etwas
Transformerwissen hat das nun auch endlich geklappt.
Dennoch bekomme ich den Pi nicht zum Kommunizieren mit meinem TM.
Eventuell habe ich meinen Cookkey auch ruiniert, weil der geht selbst
nicht mehr mit dem USB-Stick.
Ich habe große Hoffnung auf den Discord, aber dort bin ich seit einem
Monat nicht freigeschaltet...
Ich würde mich über jede Hilfe freuen an der Stelle.
Moin, ich warte jetzt auch schon seit über einem Monat auf meine
Freischaltung in dem Discord, aber es scheint leider nicht wirklich
voranzugehen. Ich suche selbst nach einem Dump für die defekten
Kochbuch-Chips des TM5. Ein bereits freigeschaltetes Mitglied hat mir
erzählt, dass der Discord nicht besonders aktiv ist und auch er ewig auf
seine Freischaltung warten musste. Echt schade, dass die Community nicht
mehr so aktiv ist – da bin ich wohl zehn Jahre zu spät dran.
hello guys,
sorry i'm writing in english (i'm Italian). Today my Cooki-Key (Wi-Fi)
on TM5 got the error C513/515.
I've disassembled the key and attached the USB to my PC, and looks like
the flash is partially corrupted. I can only read first 512MB of 8GB,
that should be enought just to restore usbdisk1, usbdisk2 should be
recreated by TM5 OS..
but now my main problem is the ability to find and USB stick that can
change serial number to the original number.
Has anyone a possible solution? I know that this topic is very old, and
find so old USB2.0 stick is very hard.
Thanks in advance to anyone!
Schang S. schrieb:> The serial number of the USB flash drive from the cook key is not used> for any verification so any flash drive will work just fine
So the cook key with WiFi can use any type of usb card without any
error?
I was thinking that also this stick has same behavior of the “read only”
one
Hey everyone,
If you're exploring the internals of the Thermomix TM5, especially
around the Cook-Key, the boot process, or root access via software – you
need to see this:
SSTIC 2019 talk – Reverse Engineering the TM5 Cook-Key
https://static.sstic.org/rumps2019/SSTIC_2019-06-06_P09_RUMPS_06.mp4
This French security conference presentation demonstrates:
How the Cook-Key is built (STM32 + NAND + USB/Ethernet chip AX88772)
That the TM5 reads an image file (tm5.img) in EXT4 format
The presence of a debug mode (RDV=1) that disables certain
protections
How to achieve root access using a modified rc.local in the image
Tips for QEMU emulation of the TM5 system for safer experiments
Discussion around netlink, recipe validation, and signature bypass
The video proves that it’s possible to gain root without any soldering,
just by injecting code into the mounted firmware image — a game-changer
for those who want to tinker, repair or understand how this locked-down
kitchen device works.
If you’re building a fake Cook-Key using a Raspberry Pi or USB gadget
mode, or analyzing /tmp/tm5.img, this will give you a solid technical
foundation.
Feel free to share, fork, replicate and build upon this research.
Knowledge is power, and our devices should belong to us 🔓
— Posted by MisterJack, for everyone trying to reclaim their Thermomix
Hi everyone,
Is anyone here able to accept invitations on the Discord server? Nobody
seems to have accepted anyone in the last few months. :(
Another topic: for those with "patched" TM5 firmware, has anyone tried a
NAND rewrite with a dump from a TM5 with vulnerable firmware? The NAND
dump in the video is version 202007050000 (2.10) and has already been
patched: https://www.youtube.com/watch?v=WhQaU6oh8lc
I don't know if this method will cause any problems if the TM5 is
connected to the internet, as the serial number from the dumped TM5 will
probably be cloned too...
Or can we dump our own TM5 NAND and patch it with old files from a
vulnerable firmware?
Gibt es eine Möglichkeit den Rezept chip aus zu lesen.Wenn ich den bei
mir reinstecke wird er zwar gefunden aber kommt die Meldung kann nicht
gelesen werden ignoriert oder auswerfen PC Mac
Hi community,
I am trying to find out how the german technician can reset the TM5 from
errors like the C150 over a network connection using the USB connection
from the Cook Key and a Network USB adapter (like the Amazon Basics USB
2.0 adapter), so there is no need to replace/reflash the NAND.
On one Youtube video from him I have seen that after a successful remote
login the TM5 writes the following text on the console "Client
authenticated with PANASONIC Production Authentication" (see attached
image Machine_Interface.png). Strange why it is called "PANASONIC" (like
the brand)...
So, my first step was to search the word "PANASONIC" on all files of the
TM5 file system and this was found on the binary ELF file
"machine_interface" on "/usr/bin" (see attached image
HEXVIEW_PANASONIC.png). It seems that there are also other
authentications possible (Lab, Developer, TES, LAAKEN and SEMCO).
I've tried to check with Ghidra the function from the ELF file that
checks the authentication and found something that will be computed with
sha512, but my knowledge here is very limited.
Anyone here that has some knowledge with debugging ELF files for the
ARM9 platform with Ghidra or IDA Pro? I mean, with the method used by
the german technician, it must be a way to compute the sha512, because
there is not internet involved on this method to check authentication
online.
I have attached the ELF file if anyone wants to have a try... :)
Hans H. schrieb:> I dont have a pre-wifi firmware dump to analyze, but as far as I> remember the serial number exploit was also introduced with the wifi> firmware, so I think you at least need version 201605230000 to have some> fun.>> The good news: you can update to a specific firmware version, even> without a real cookidoo, by simulating the wifi cookidoo with a> raspberry pi zero and placing the update package on the simulated> cookidoo. I will release a step by step tutorial for this very soon.> After the update you can use the serial exploit to run scripts on the> tm5. With an USB hub you can also mount another usb drive to dump files.>> Regarding my UI image: this is just a joke, sorry :D it only shows a> static image of the new TM6 UI. Maybe we will do some custom UI in the> future.
Hi Hans. H. could you share your step-by-step tutorial and the
201605230000 firmware version? I would like to downgrade my TM5...
Thanks! :)