Kommunikation einer Daikin Wärmepumpe abfangen

[HeadsetKauf]

Ich habe mir gegen Ende letzten Jahres eine Daikin Wärmepumpe (Multisplit Luft-Luft) gegönnt.

Jetzt musste ich leider ernüchternd feststellen das jegliche Zeitgemäße Steuerung nur noch über deren Server möglich ist.
Allerdings hängen die Dinger ja in meinem Netzwerk. Daher müsste ich ja an jeden Traffic herankommen notfalls indem ich mich mit selbst erstellten ARP Paketen als deren Server ausgebe.

Mir ist klar das mir da potentiell proprietäre Protokolle oder SSL Zertifikate einen Strich durch die Rechnung machen können. Aber komplett kampflos aufgeben will ich nicht.

Wie gehe ich an sowas ran?

Ach, das ist vermutlich noch relevant:
Wenn ich die IP der Geräte mit dem Browser aufrufe bekomme ich eine FreeRTOS Lizensinformation. Also wird da vermutlich eine Version davon darauf laufen.

 

[Dr. M.]

Wie gehe ich an sowas ran?

Ich wuerd erst mal versuchen, den Traffic mitzuschneiden. Dann siehst du auch, ob er verschluesselt ist. Das geht entweder mit einem Sniffer (Wireshark, tcpdump, ...) auf einem Geraet wo der Traffic eh durchgeht, z.B. am Router wenn du da eine Shell hast, oder alternativ per MitM-Angriff von jedem Geraet im Netzwerk (z.B. ARP Poisoning mit ettercap).

Ausserdem koenntest du evtl. mal per nmap schauen, welche Services auf den Geraeten laufen, vielleicht ist da ja ein verstecktes API oder sogar eine Shell...

 

[drfuture]

Man kann an jeder Fritzbox Datenverkehr mitschneiden FritzBox: Netzwerkverkehr mitschneiden und auswerten - Lost in IT

Du kannst ja einmal noch hier vorbei schauen

Daikin AC

Instructions on how to integrate Daikin AC devices with Home Assistant.

www.home-assistant.io

 

[HeadsetKauf]

Stimmt, Nmap hätte ich auch noch posten sollen:

Host is up (0.086s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
80/tcp open  http

Http pentesting mäßig habe ich noch nichts versucht.

Was interessantes was ich auf die schnelle im traffic gefunden habe:

...

0050   74 61 72 66 69 65 6c 64 20 54 65 63 68 6e 6f 6c   tarfield Technol

0060   6f 67 69 65 73 2c 20 49 6e 63 2e 31 3b 30 39 06   ogies, Inc.1;09.

0070   03 55 04 03 13 32 53 74 61 72 66 69 65 6c 64 20   .U...2Starfield

0080   53 65 72 76 69 63 65 73 20 52 6f 6f 74 20 43 65   Services Root Ce

0090   72 74 69 66 69 63 61 74 65 20 41 75 74 68 6f 72   rtificate Author

00a0   69 74 79 20 2d 20 47 32 30 82 01 22 30 0d 06 09   ity - G20.."0...

...

Von dem sniffing feature der Fritzbox wusste ich noch nichts. Ich muss sagen das Ding überrascht mich immer wieder positiv. Alleine für die Fax Funktionalität hätte ich mir schon viel früher eine gekauft.

Außerdem kommuniziert das System mit:
99.80.34.243 Was wohl irgendwas von Amazon ist. Das heisst Daikin hostet irgendwas vom service dort.
34.255.149.217 auch Amazon laut google

Daikin Mobile Controller:
Diese App ist für dein Gerät nicht verfügbar

Da nächste Firmware update werde ich natürlich mitschneiden.

 

[Dr. M.]

99.80.34.243 Was wohl irgendwas von Amazon ist. Das heisst Daikin hostet irgendwas vom service dort.
34.255.149.217 auch Amazon laut google

Ja, ist Amazon EC2. Der Trafficausschnitt darueber laesst ja vermuten, dass SSL zum Einsatz kommt.

Interessant waer vielleicht noch, ob im Traffic auch DNS-Queries sind, und wenn ja, fuer welche Hostnamen- ich vermute mal, die Firmware hat keine IP-Adressen hardcoded.
Dann koenntest mal versuchen, den Hostnamen (z.B. per dns-mitm) oder die IP (per Routing) auf eine lokale IP umzubiegen und da die HTTPS-Verbindung per MitM (z.B. mitmproxy) aufzubrechen. Mit etwas "Glueck" verifiziert die Firmware die Zertifikate nicht.

Ansonsten kannst du auf dem Webserver auf Port 80 mal schauen, ob der das "alte" Daikin-REST-API wie in drfuture's Link oder hier beschrieben exponiert, also ob z.B. ein GET auf http://<DaikinIP>/common/basic_info funktioniert.

 

[HeadsetKauf]

Das gibt einen 404 (tatsächlich im Header) Seite mit Inhalt:
Page Not Found
/common/basic_info

DNS-Queries sind wohl keine drin. Um die zu bekommen müsste ich das System vermutlich Stromlos machen und dann sniffen.

Wegen eventueller Verifizierung wollte ich das Firmware Update mal ansehen. Eventuell gibts eine Möglichkeit da meine eigenen root Zertifikate rein zu bringen. Das die garnicht erst verifizieren wäre. Ähm... Gut für mich. Und ein gute Grund denen die Internetverbindung zu kappen und nie wieder Updates zu machen. Wer weiss woher die dann kommen.

Edit:
Ah doch , da sind die DNS requests drin, mein Fehler. Die gehen sogar an meinen Router. Daher kann ich wohl sicher sein das die DHCP zumindest voll vertrauen.

 

[HeadsetKauf]

Bin gerade dabei den DNS Server einzurichten.
Der läuft jetzt auf .27 und DHCP gibt auch .27 als DNS server raus.

Von daher bin ich relativ sicher das Basisfunktinalität läuft, denn ich schreibe gerade von .27

Allerdings funktionieren meine eigenen EInträge um die Anfragen hier hin umzuleiten noch nicht.
/etc/bind/named.conf.local

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "daikin" {
type master;
file "/etc/bind/db.daikin";
};

/etc/bind/db.daikin

; BIND zonefile for kinesis.eu-west-1.amazonaws.com

$TTL    7200
kinesis.eu-west-1.amazonaws.com.IN      SOA     8.8.8.8. admin.ex.com. (
                                        2023050702      ; Serial
                                        7200            ; Refresh
                                        3600            ; Retry
                                        604800          ; Expire
                                        7200)           ; NegativeCacheTTL

                        IN      NS      8.8.8.8.

kinesis.eu-west-1.amazonaws.com.IN      A       192.168.2.27
www                     IN      CNAME   kinesis.eu-west-1.amazonaws.com.
cool                    IN      A       192.168.2.27
stuff                   IN      A       192.168.2.27
jinesis                 IN      A       192.168.2.27

Ich verstehe die Logik nicht und ich weiss nicht wie die 2. Subdomain Ebene gehandhabt wird.

Für den letzten Versuch habe ich diesen Generator verwendet:

Bind Zone File Generator :: nimmneun.com

 

[Steeve]

Guten Morgen @HeadsetKauf

Wie ist das ausgegangen das ganze Thema?

 

[HeadsetKauf]

Der letzte Post ist aktuell, ich habe keine annähernd guten Ideen was zu tun ist.

 

[Fetzi]

Zitat verlinkte Seite von DrFuture:
"Daikin has removed their local API in newer products. They offer a cloud API accessible only under NDA, which is incompatible with open source. This affects units fitted with the BRP069C4x wifi adapter. Units listed under Supported Hardware below continue to have access to local control. Additionally the older but commonly available BRP072A42 adapter can be fitted to most if not all newer units for access to local control."

Also wirst du einen BRP072A42 kaufen müssen.

 

[HeadsetKauf]

Nicht unterstützte Hardware mods kommen erst in Frage wenn alles andere gescheitert ist.

Und damit meine ich: eher gar nicht weil ich vorher einen selbst gebauten Infrarotsender nutze. Dafür war letztlich die "zeitgemäß" Einschränkung im Starter.

 

[Fetzi]

So wie ich das verstanden habe benötigst du einen älteren, originalen Daikin WLAN Adapter mit BRP072A42.
Da ist kein nicht unterstützer Hardwaremod involviert, oder?

 

[Pleitgengeier]

Falls das wirklich IR ist kann man einen Fototransistor (mit IR-Filter) besorgen und an einen USB-RS232-Adapter hängen, dann musst du nur noch die Baudrate erraten - falls du nicht ohnehin ein Speicheroszi besitzt.


Ist das hier ein Spaßprojekt oder wozu das ganze eigentlich?
Ich nehme an bei Daikin gibt's auch eine IoT-App zur Fernsteuerung per Internet?

 

[Fetzi]

Falls das wirklich IR ist kann man einen Fototransistor (mit IR-Filter) besorgen und an einen USB-RS232-Adapter hängen, dann musst du nur noch die Baudrate erraten - falls du nicht ohnehin ein Speicheroszi besitzt.

Das ist natürlich bei weitem nicht alles. Man muss die Daten noch auswerten.
Wenn es dann um Steuerung geht wird es nochmal schwieriger bis unmöglich.
Die Baudrate rausfinden ist da eher das kleinste Übel.
Wird halt kein Standard Fernbedienungsprotokoll nutzen.
Die Lösung wurde ja verlinkt.