Hack the Dashbutton - Updated

Beitrag vom 20.07.2017

Seit kurzem sind Amazons Dash Buttons auch in Deutschland verfügbar. Ein daumengroßer Button, welcher sich in ein WLAN einbucht und ein Event abschickt.

Eigentlich ist dieser dazu gedacht, nach Einrichtung mit der Amazon App, Produkte im Amazon Store im einem Klick bestellbar zu machen. Man soll diese Buttons im Haus verteilen, und damit Verbrauchsprodukte nachbestellen.

Aber das wäre ja langweilig.

licht aus

Netzwerk Setup - Normaler Haushalt

Der Trick ist einfach, bei der Einrichtung kein Produkt zu wählen. So wird bei Betätigung des Buttons auch kein Produkt bestellt.

  • Amazon App installieren
  • Login
  • Mein Konto -> Meine Geräte -> Neuer Dash Button
  • Anweisungen folgen
  • Bei der Auswahl der Produkts nichts wählen und App schließen
  • Fertig

Hack, der keiner ist

Anstatt die Firmware des Dash Buttons anzugreifen, machen wir uns einfach der Stromsparfunktion des Button zunutze. Der Button ist nur ganz kurz im Netzwerk online um die Bestellung abzusenden. Danach geht dieser direkt wieder offline, um Strom zu sparen.

Unser Linux Rechner muss sich im Subnetz des Dash Buttons befinden. Dann kann einfach das DHCPDISCOVER, ein Datenpaket welches eine IP Adresse vom DHCP Server anfordert, mit iptables geloggt und weiterverarbeitet werden. Aus diesem Log Eintrag geht die MAC Adresse des Buttons hervor, welche zur Identifikation genutzt wird.

MAC Adresse herausfinden

Die MAC Adresse des Dash Buttons brauchen wir für die Scripte. Entweder man schaut im DHCP Server in der Liste der aktuellen Leases, oder loggt kurz den Traffic im Subnetz mit Wireshark.

Das sollte ungefähr so aussehen:

$ tshark -i eth1
  1   0.000000 50:f5:da:xx:xx:xx -> Broadcast    LLC 60 S P, func=RNR, N(R)=64; DSAP NULL LSAP Individual, SSAP NULL LSAP Command
  2   0.031323      0.0.0.0 -> 255.255.255.255 DHCP 303 DHCP Request  - Transaction ID 0x6ce7ec6b

ulogd

Geloggt wird natürlich nicht einfach in eine Datei. Der ulogd kann auch mit FIFO Pipes umgehen, sodass der Logeintrag direkt ohne Verzögerung an ein Shellscript weiter gegeben werden kann.

Damit der User welcher das Script ausführt und auch ulog auf das FIFO File zugreifen können, muss ulog Mitglied in der Gruppe des amdash Users befinden.

apt-get install ulogd
groupapp amdash
useradd -G amdash -s /bin/bash -d /home/amdash -m amdash
gpasswd -a ulog amdash
mkfifo /tmp/ulogdash.fifo
chmod ug=rw,o=- /tmp/ulogdash.fifo

ulogd Konfiguration:

stack=logdash:NFLOG,base1:BASE,ifi1:IFINDEX,ip2str1:IP2STR,print1:PRINTPKT,emudash:LOGEMU

[logdash]
group=1

[emudash]
file="/tmp/ulogdash.fifo"
sync=1

Neustart von ulogd nicht vergessen. Anschließend im syslog prüfen ob alles korrekt gestartet ist.

iptables

In iptables habe ich eine neue Chain erstellt, auf welche anhand der MAC Adresse des Gerätes weitergeleitet wird. Innerhalb der Chain wird der Log Eintrag für das DHCP Discover abgesendet.

iptables -N AMDASH
iptables -A INPUT -m mac --mac-source ac:63:be:xx:xx:xx -j AMDASH
iptables -A INPUT -m mac --mac-source ac:63:b3:xx:xx:xx -j AMDASH
iptables -A AMDASH -d 255.255.255.255 -j NFLOG --nflog-group 1 --nflog-prefix "AMDASH"
iptables -A AMDASH -j RETURN

Script

Das Script liest in einer Endlosschleife das FIFO File Zeile für Zeile. Es wird aus dem Log Eintrag die MAC Adresse extrahiert und versucht, einen Symlink für diese MAC Adresse zu finden, welcher dann auf das eigentliche Script zeigt.

Anschließend wird das Script dann ausgeführt.

Vollständiges Script mit Beschreibung auf github

Mapping

Durch den Mapping Mechanismus weiß man schon durch das simple Auflisten des Verzeichnisinhalts, welche MAC Adresse hinter welchem Dash Button steckt.

amdash@iot:~/dash$ ls -lisa by-mac/
2752545 4 drwxr-xr-x 12 amdash amdash 4096 Apr  7 22:17 .
2752546 4 drwxr-xr-x  8 amdash amdash 4096 Jul 20 08:46 ..
2752548 4 drwxr-xr-x  2 amdash amdash 4096 Sep 23  2016 ac:63:be:e3:ff:ff

amdash@iot:~/dash$ ls -lisa by-id/
2752561 4 drwxr-xr-x 2 amdash amdash 4096 Apr  7 22:18 .
2752546 4 drwxr-xr-x 8 amdash amdash 4096 Jul 20 08:46 ..
2752550 0 lrwxrwxrwx 1 amdash amdash   28 Sep 22  2016 001 -> ../by-mac/ac:63:be:e3:ff:ff/

amdash@iot:~/dash$ ls -lisa by-name/
2752549 4 drwxr-xr-x 2 amdash amdash 4096 Jul 20 00:06 .
2752546 4 drwxr-xr-x 8 amdash amdash 4096 Jul 20 08:46 ..
2752551 0 lrwxrwxrwx 1 amdash amdash   13 Sep 22  2016 radio-bath -> ../by-id/001/

Die einzelnen Symlinks erlauben es dann, den Dash Button über eine Nummer oder einen Alias Namen zu identifizieren. Im Logging taucht auch immer die Nummer und der Klarname mit auf. Die MAC benötigt man also nach der ersten Einrichtung nicht mehr.

Alternative ARP Sniffing

Ein guter Bekannter hatte mich auf die Idee mit iptables und ulog gebracht. So eine passive Lösung finde ich viel besser, als die anderen Lösungen welche sich im Netz finden lassen. Viele Grüße an der Stelle.

Viele Beispiele welche ich im Netz gefunden habe suchen nach ARP Requests der entsprechenden MAC Adresse. Problem ist hierbei, dass man hier aktiv im Netzwerk suchen muss, sofern man nicht der Router des Subnetzes ist.

Im Gegensatz dazu verwendet mein Ansatz den Linux Kernel bzw iptables, welche ja sowieso vorhanden sind. Es werden wenig bis gar keine Ressourcen verwendet, solange sich das Script im Leerlauf befindet.

Beispiel in Python welches ARP Requests nutzt

Fallstricke seitens Amazon

  • Amazon App zur Einrichtung der Buttons benötigt
  • Einrichtung nur möglich, wenn das WiFi Netzwerk / der Dash Button Internetzugang hat
  • Ohne Produkt wird bei jedem Drücken auf den Button eine Push Nachricht in der Amazon App verursacht
  • Entfernt man den Button aus seinem Konto ohne vorher das Internet für den Button zu sperren, wird beim nächsten Drücken des Buttons die Konfiguration gelöscht

Netzwerk Setup - Profi Haushalt

Ich beschreibe die Einrichtung des Netzwerks nicht im Detail. Wer die Technik daheim hat um das umzusetzen, weiß auch wie man das macht.

Mich hat es gestört, dass bei jeder Betätigung des Dash Buttons eine Anfrage an Amazon gesendet wird. Mein UniFi AP erlaubt das erstellen von mehreren WiFi Netzen. Also ein neues VLAN im Router eingerichtet und ein IoT Wifi Netzwerk erstellt.

Im gleichen Netzwerk befindet sich auch der Linux Rechner, welcher per getaggten LAN Port angebunden ist. Alternativ kann hier ein WLAN fähiger Rechner (RPi + WLAN Stick) benutzt werden, wenn man nicht die Möglichkeit hat, VLANs einzurichten.

Im DHCP Server dieses IoT Netzwerks wird dann mein Linux Rechner welcher auf das DHCPDISCOVER wartet als Standardgateway eingerichtet. So kann man mit tcpdump und Wireshark den Traffic des Dash Buttons mitlesen.

Ein paar weitere Ausführungen gibt es auf github.

Netzwerk Traffic

Mit Wireshark aufgezeichnete Verbindungsversuche:

84.581865 ac:63:be:xx:xx:xx -> Broadcast    LLC 60 S P, func=RNR, N(R)=64; DSAP NULL LSAP Individual, SSAP NULL LSAP Command
84.609697      0.0.0.0 -> 255.255.255.255 DHCP 303 DHCP Request  - Transaction ID 0x41d3be87
84.629735 ac:63:be:xx:xx:xx -> Broadcast    ARP 60 Who has 192.168.26.2?  Tell 192.168.26.103
84.639013 192.168.26.103 -> 192.0.2.1    DNS 75 Standard query 0x2330  A time-c.nist.gov
84.639890    192.0.2.1 -> 192.168.26.103 DNS 91 Standard query response 0x2330  A 129.6.15.30
85.130081 192.168.26.103 -> 192.0.2.1    DNS 83 Standard query 0xe6df  A parker-gw-eu.amazon.com
85.131157    192.0.2.1 -> 192.168.26.103 DNS 99 Standard query response 0xe6df  A 54.239.39.76
85.134154 192.168.26.103 -> 54.239.39.76 TCP 60 50197→443 [SYN] Seq=0 Win=4338 Len=0 MSS=1446
85.134198 54.239.39.76 -> 192.168.26.103 TCP 58 443→50197 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460
85.140781 192.168.26.103 -> 54.239.39.76 TCP 60 50197→443 [ACK] Seq=1 Ack=1 Win=4338 Len=0
85.140817 192.168.26.103 -> 54.239.39.76 SSL 128 Client Hello
85.140825 54.239.39.76 -> 192.168.26.103 TCP 54 443→50197 [ACK] Seq=1 Ack=75 Win=29200 Len=0
85.142401 54.239.39.76 -> 192.168.26.103 TLSv1.2 1403 Server Hello, Certificate, Server Key Exchange, Server Hello Done
85.150187 192.168.26.103 -> 54.239.39.76 TCP 60 50197→443 [FIN, ACK] Seq=75 Ack=1350 Win=4338 Len=0
85.150299 54.239.39.76 -> 192.168.26.103 TCP 54 443→50197 [FIN, ACK] Seq=1350 Ack=76 Win=29200 Len=0
85.152582 192.168.26.103 -> 54.239.39.76 TCP 60 50197→443 [ACK] Seq=76 Ack=1351 Win=4338 Len=0
85.401907 192.168.26.103 -> 54.239.39.76 TCP 60 50198→443 [SYN] Seq=0 Win=4338 Len=0 MSS=1446
85.401949 54.239.39.76 -> 192.168.26.103 TCP 58 443→50198 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460
85.404891 192.168.26.103 -> 54.239.39.76 TCP 60 50198→443 [ACK] Seq=1 Ack=1 Win=4338 Len=0
85.404909 192.168.26.103 -> 54.239.39.76 SSL 128 Client Hello
85.404914 54.239.39.76 -> 192.168.26.103 TCP 54 443→50198 [ACK] Seq=1 Ack=75 Win=29200 Len=0
85.406437 54.239.39.76 -> 192.168.26.103 TLSv1.2 1403 Server Hello, Certificate, Server Key Exchange, Server Hello Done
85.414446 192.168.26.103 -> 54.239.39.76 TCP 60 50198→443 [FIN, ACK] Seq=75 Ack=1350 Win=4338 Len=0
85.414583 54.239.39.76 -> 192.168.26.103 TCP 54 443→50198 [FIN, ACK] Seq=1350 Ack=76 Win=29200 Len=0
85.416918 192.168.26.103 -> 54.239.39.76 TCP 60 50198→443 [ACK] Seq=76 Ack=1351 Win=4338 Len=0

Die Verbindung läuft verschlüsselt ab, was uns aber nicht weiter stören soll. Wir sollen ja einfach nur eine Verbindung zu Amazon verhindern.

Einfaches wegfiltern reicht nicht

Filtert man alle Verbindungsversuche einfach weg, dauert es ewig bis der Dash Button sich wieder abschaltet. Man muss dem Button also vermitteln, dass die Requests fehlschlagen. Aber durch einen Serverfehler, und nicht durch einen Netzwerkfehler.

Ein REJECT in iptables reicht da leider nicht.

Ich habe einfach auf meinem Linux Rechner lokal einen Webserver mit selbstsigniertem SSL Zertifikat eingerichtet, sodass es einen Server auf Port 443 gibt, welcher SSL Verbindungen annimmt.

Anschließend werden die drei IP Adressen via DNAT auf die lokale Maschine umgeleitet.

So bekommt der Dash Button schnellstmöglich eine fehlerhafte Antwort und die Aktivität dauert nur 3-5 Sekunden anstatt über 30 Sekunden.

Ein iptables Beispiel gibt es auf github.

Aus Amazon löschen

Sobald der Button keinen Internetzugriff mehr hat, kann dieser aus dem Amazon Konto gelöscht werden.

Fazit

Ein WLAN-fähiger Knopf für 5 Euro. Geil.

Eigenes Etikett

Ich habe eine Gimp Vorlage für den Amazon Dashbutton erstellt.

Hallo Internet

Mein Name ist Christian, vom Beruf bin ich Anwendungsentwickler.

In meiner Freizeit beschäftige ich mich mit verschiedensten Technologien. Hier sammele ich Dinge, die für mich interessant waren oder sind.