Volkswagen memblokir Home Assistant karena mewajibkan client assertion

 (github.com/robinostlund)
1 poin oleh GN⁺ 14 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Issue #967 masih berstatus terbuka, dan item terkait yang ditampilkan mencakup #971 serta rilis terbaru v5.4.7, tetapi dari diskusi yang tersedia saja belum bisa dipastikan apakah masalah ini sudah benar-benar terselesaikan
  • Laporan awal menyebutkan bahwa setelah autentikasi homeassistant-volkswagencarnet di Home Assistant kedaluwarsa, login ulang dengan email dan kata sandi menjadi tidak mungkin, sementara login di aplikasi Android dan browser tetap berfungsi
  • Langkah reproduksinya adalah memasukkan email dan kata sandi, lalu muncul pesan galat Anmeldung bei Volkswagen Connect nicht möglich. Bitte überprüfe deine Zugangsdaten und stelle sicher, dass der Dienst verfügbar ist.
  • Seorang peserta menilai ini bukan bug, melainkan akibat Volkswagen menonaktifkan API secara permanen, lalu peserta lain merangkum bahwa ada API resmi berbayar dan API tidak resmi gratis, dan yang terakhir kini tidak lagi berfungsi
  • Beberapa pengguna melaporkan login web masih memungkinkan, tetapi API dan aplikasi tidak berfungsi atau respons aplikasi sangat lambat, sementara pengguna lain melaporkan login aplikasi Android masih bisa, tetapi setelah Home Assistant dimulai ulang masalah yang sama muncul
  • Ada laporan bahwa CarConnectivity-plugin-mqtt berfungsi, tetapi muncul bantahan bahwa karena memakai API yang sama, konfigurasi lama mungkin hanya bertahan sampai token kedaluwarsa dan pengguna baru mungkin tidak bisa memakainya
  • Pengguna lain melaporkan bahwa bahkan saat pertama kali memakai CarConnectivity-plugin-mqtt, data tetap bisa diambil dengan token autentikasi baru, sehingga keberlanjutan alternatif tersebut belum dapat dipastikan dari diskusi ini
  • Perubahan terkait juga dibagikan di forum Facebook Skoda EV, dan seorang peserta yang tidak melihat pengumuman resmi menilai perubahan ini kemungkinan berdampak pada seluruh merek VAG
  • Sebagai alternatif, Smartcar dan Tibber ikut disebut; pada Smartcar, alur data kendaraan dan penerapan GDPR dibahas, dan seorang pengguna membagikan komentar di wbyoung/smartcar#110 sambil menyebut Smartcar membuatnya “setidaknya bisa berjalan”
  • Ada laporan bahwa Tibber berfungsi melalui integrasi Tibber bawaan di Home Assistant, tetapi muncul kekhawatiran bahwa jika Tibber membayar biaya akses API enterprise, mereka mungkin tidak akan lama membiarkan lonjakan pengguna baru yang tidak membayar
  • Seorang peserta menafsirkan pengumuman Skoda bukan sebagai tuntutan pembayaran, melainkan bahwa pengguna API harus terdaftar di Volkswagen, lalu menanyakan apakah proyek ini sudah terdaftar; maintainer menjawab bahwa ia tidak lagi memiliki kendaraan Volkswagen sehingga belum menanganinya secara langsung
  • Maintainer juga menilai pendaftaran itu mungkin memerlukan kunci per pengguna, dan meminta bantuan orang yang bisa menyelidiki serta membantu pemeliharaan proyek, sehingga arah penyelesaiannya untuk saat ini masih bergantung pada dukungan komunitas

Bacaan terkait

1 komentar

 
GN⁺ 14 jam lalu
Komentar Hacker News

  • Sepertinya EU Data Act memang dibuat untuk mencegah situasi seperti ini, khususnya Pasal 4 dan 5 tampaknya relevan: https://digital-strategy.ec.europa.eu/en/policies/data-act
    Jika pengguna tidak dapat mengakses secara langsung data dari produk yang terhubung atau layanan terkait, pemegang data harus tanpa penundaan memungkinkan pengguna mengaksesnya dengan mudah, aman, gratis, dalam format yang terstruktur, umum digunakan, dan dapat dibaca mesin, serta bila diperlukan dan secara teknis memungkinkan, secara berkelanjutan/real-time
    Ada juga panduan terpisah dari EU untuk data kendaraan: https://digital-strategy.ec.europa.eu/en/library/guidance-ve...

    • Betul, ini tampaknya area di mana hak akses bisa direbut kembali lewat Data Act
      Namun, sepertinya strukturnya bukan seperti Pasal 79 GDPR, di mana kita bisa langsung menuntut hak akses terhadap Volkswagen: https://gdpr-info.eu/art-79-gdpr/
      Tidak banyak tulisan tentang mekanisme penegakannya, jadi saya membaca aturannya langsung, dan Pasal 39 tampaknya mengharuskan kita lebih dulu mengajukan pengaduan ke otoritas berwenang yang ditunjuk negara anggota tempat tinggal: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:...
      Jika otoritas itu tidak mengambil tindakan apa pun, maka menurut hukum nasional kita berhak atas upaya hukum yang efektif atau peninjauan oleh lembaga independen yang memiliki keahlian
      Namun dalam kasus itu, tampaknya pihak yang digugat bukan perusahaannya melainkan otoritas berwenang tersebut, dan 39(3) memperjelas hal itu
      Saya harap saya salah
      Mungkin argumen seperti dalam perkara Muñoz vs. Superior Fruiticola, yakni “kewajiban itu harus dapat ditegakkan melalui proses perdata”, bisa berlaku, tetapi saya tidak yakin, dan ini jauh lebih lemah daripada jalur yang secara eksplisit diberikan GDPR: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELE...
      Kalau ada referensi yang lebih baik tentang bagaimana individu bisa menegakkan Data Act, saya ingin tahu
    • Volkswagen juga punya situs EU Data Act: https://drivesomethinggreater.com/eu-data-act

  • Cukup banyak produsen lain juga melakukan hal yang sama
    Saya memakai library Polestar hasil reverse engineering untuk mendapatkan status pengisian daya, tetapi karena saya tidak bisa percaya mereka tidak akan memblokir dengan cara yang sama, saya sedang membuat CAN bus sniffer yang melakukan hal serupa
    Rasanya ini juga bukan sumber pendapatan yang besar, jadi saya benar-benar tidak paham kenapa mereka melakukannya sambil membuat marah orang-orang yang paling terlibat dengan produknya

    • Beberapa pesan CAN sudah diberi autentikasi kriptografis agar tidak bisa dimodifikasi
      Menambahkan enkripsi pun tampaknya hanya soal waktu
      Menurut saya ini terutama soal penghindaran risiko di perusahaan
      Suatu divisi menulis dokumen penilaian risiko berisi daftar risiko kecil, misalnya kemungkinan backend aplikasi pihak ketiga diretas atau judul media lokal seperti “pengembang hobi meretas mobil untuk menghubungkannya ke Home Assistant”
      Daftar itu beredar, tidak ada manajer menengah yang ingin bertanggung jawab, dan karena tidak ada use case positif yang disetujui secara resmi, tindakan balasan yang keras pun dirancang dan dibuat satu per satu
    • Betul, menurut saya perusahaan pertama di segmen mana pun yang benar-benar merangkul Home Assistant akan mendapat keuntungan penjualan atau pemasaran yang cukup besar
      IKEA bisa dibilang contoh yang lumayan bagus
    • Ini menjadi kontras yang menarik dengan BSH, perusahaan Jerman
      Di sisi peralatan rumah tangga Bosch dan Siemens, mereka tampaknya melihat pembukaan platform Home Connect sebagai bagian dari kepatuhan terhadap aturan EU soal transparansi dan portabilitas data
    • Kemampuan untuk berinteraksi dengan mobil pada dasarnya berbenturan dengan arah regulasi yang menuju ke “enkripsi semuanya”
      Coba lihat apa yang sedang dilakukan di sisi RISC-V otomotif atau persyaratan EU Cyber Resilience Act
    • Produk open-source yang mungkin cocok untuk kebutuhan itu adalah WiCAN: https://www.meatpi.com/products/wican-pro

  • BYD mengirim permintaan DMCA untuk seluruh repositori koneksi kendaraan saya: https://github.com/github/dmca/blob/master/2026/05/2026-05-2...
    Sangat disayangkan perusahaan mobil mengunci kendaraan yang dibeli dengan harga premium dan melancarkan perang salib terhadap open-source

    • Sebaiknya kirim email ke Louis Rossmann, dia pernah membantu orang-orang dalam situasi serupa
    • Ini terbaca seperti “kami tidak bilang Anda melakukan sesuatu yang ilegal, tetapi kami akan membuatnya terlihat ilegal”
      Seperti menaruh kunci tempat umum di bawah keset pintu depan sambil menulis “kunci ada di sini”, lalu mengeluh bahwa orang tidak boleh masuk ke ruang yang memang sudah terbuka dengan kunci itu
    • Penasaran apakah itu sudah dipindahkan ke tempat lain
      Saya sudah cek Codeberg, tapi tidak ada di sana
    • Jika mereka mengklaim enkripsinya dibobol, maka dalam kasus ini DMCA mungkin memang relevan
      Sebaliknya, jika tidak ada cara resmi untuk mendapatkan token autentikasi atau menghubungkan mobil ke Home Assistant, itu harus dianggap sebagai cacat layanan
      r/opensource_legalaid
      Balas saja dan tuntut akses ke datanya

  • Saya sangat suka komentar yang menerjemahkan bahasa korporat menjadi bahasa manusia: https://github.com/robinostlund/homeassistant-volkswagencarn...
    Kenapa mereka malah merugikan diri sendiri? Apakah ini benar-benar sumber pendapatan yang berarti? Apakah ini benar-benar meningkatkan keamanan?

    • Mereka tidak sedang merugikan diri sendiri
      Mayoritas pengguna tidak peduli, dan seorang manajer menengah di MySkoda bisa melapor bahwa “kami telah mencegah risiko keamanan besar dan mengembalikan data ~~ternak~~ pengguna yang berharga ke tempatnya”
    • Saya pernah melihat langsung trafik yang dibuat Home Assistant, dan model penggunaannya memang terbalik
      Infrastruktur, server, dan bandwidth itu berbiaya
      Baik atau buruk, kebanyakan perangkat tidak punya antarmuka lokal
      Dalam 1–2 tahun terakhir memang muncul beberapa perangkat Matter, tetapi tidak semua data dan fungsi tersedia lewat Matter, dan kecil kemungkinan perangkat lama akan diperbarui agar mendukung Matter
      Selain itu, HA adalah aplikasi yang berjalan secara lokal dan berfokus pada lokal, jadi tanpa pengembangan tambahan dari pihak OEM, ini tidak cocok dengan sistem pengiriman API/data berbasis cloud
      Terakhir, ketika dihitung di sistem internal, selama 24 jam trafik HA mencapai sekitar 20% dari total, sementara proporsi penggunanya kurang dari 1%
      Ini karena setiap instans memanggil API secara langsung setiap beberapa menit, atau bahkan lebih sering
      Jika seorang eksekutif mendengar angka ini, kemungkinan besar mereka akan memerintahkan pemblokiran
      Terlepas dari benar atau salah, begitulah reaksi orang
    • Terkait pembicaraan soal sumber pendapatan tambahan, dulu untuk mengakses data VW memang sudah perlu langganan WeConnect
      Biayanya 100 euro per tahun, hanya saja saat itu data yang sama masih bisa diakses lewat aplikasi atau otomasi lain
      Sekarang, meski sudah membayar biaya langganan, untuk mengakses data yang sama Anda tetap harus memakai WeConnect dan mitranya
    • Karena orang tetap akan membeli mobilnya
      Pengguna rata-rata hampir tidak peduli soal privasi, dan kita telah dibiasakan untuk mati rasa
      Ini memang sumber pendapatan nyata, dan tidak meningkatkan keamanan
    • Kebanyakan eksekutif mengambil keputusan yang merugikan secara komersial demi mendapatkan kekuasaan lebih besar
      Hampir seperti hukum bisnis, eksekutif memprioritaskan kekuasaan mereka sendiri di atas margin keuntungan perusahaan
      Ini salah satu alasan outsourcing pemrograman tetap populer meski tidak menghemat biaya dan secara komersial merupakan bencana
      Dalam hubungan itu, para eksekutif jauh lebih berada di kursi pengemudi dibanding saat bekerja dengan kami
      Ada juga yang bilang segmen konsumen Home Assistant “tidak penting”, padahal sebenarnya penting
      Namun inti masalahnya tetap pada keuntungan yang terlihat dari pengendalian atas data, versus kerugian yang kurang terlihat berupa hilangnya simpati konsumen
      Perusahaan bukanlah entitas yang semata-mata memaksimalkan laba berapa pun biayanya
      Pemegang saham dan eksekutif bukan satu tubuh tunggal; mereka punya kepentingan yang berbeda dan kadang sangat bertentangan

  • Client Assertion memang fitur OAuth, tetapi yang dibahas di sini sama sekali bukan itu
    Ini bisa membingungkan karena hanya muncul di judul HN dan tidak disebut di halaman sumber aslinya

    • Sekarang aplikasi mewajibkan penggunaan Security Assertion oleh klien
      Dalam kasus ini, di Android ditangani oleh Play Protect, dan di iOS oleh sesuatu yang mereka gunakan di sana
    • Mungkin istilah yang lebih tepat adalah client attestation

  • Google tampaknya juga ikut berperan dalam hal ini: https://github.com/robinostlund/homeassistant-volkswagencarn...

    • Ya, Google membantu vendor memblokir akses API dengan menggunakan pembuktian perangkat keras
      Baru-baru ini saya menabrak tembok yang sama saat mencoba mengakses langsung API pembuka pintu garasi saya, MyQ
      Akan mengejutkan jika tindakan Google yang memungkinkan praktik seperti ini sama sekali tidak melanggar hukum persaingan UE

  • Melihat betapa kacaunya rantai pasok perangkat lunak belakangan ini, menghubungkan sesuatu terasa seperti bermain rolet Rusia
    Saya mengatakan ini sebagai orang yang sudah memakai Home Assistant selama beberapa tahun
    Terutama sekarang, meski mobil listrik saya bukan Volkswagen, menghubungkannya ke HA terasa seperti langkah bodoh yang cukup berisiko
    Padahal tiga bulan lalu itu pasti terasa praktis

  • Saya sudah lama berkecimpung di smart home, dan ini salah satu alasan saya meninggalkan Home Assistant
    Proyek ini sangat keren dan fungsional, tetapi sepenuhnya bergantung pada perusahaan yang terus membiarkan API mereka terbuka, atau lebih sering, tidak menambal “keajaiban” yang memungkinkan API hasil rekayasa balik tetap berfungsi
    Sayangnya, tren beberapa tahun terakhir tidak berpihak pada HA
    Tesla, Ring, MyQ, Ecobee, dan lainnya telah menutup API mereka, biasanya dengan alasan “kekhawatiran keamanan”
    Ada sedikit pembenarannya, tetapi menurut saya, kebanyakan didorong oleh ketakutan kehilangan pendapatan langganan
    Tesla memungut banyak biaya untuk aplikasi OAuth resminya
    Namun, demi adil, peretasan lama memang bergantung pada aplikasi OAuth yang bocor dan mereka biarkan tanpa ditambal
    Ecobee menyembunyikan HomeKit dan beberapa fitur di balik langganan Security+, yang terasa seperti lelucon mengingat lemahnya platform keamanan mereka
    MyQ jelas melakukan itu demi melindungi langganan tahunan $45, dan justru merugikan diri sendiri karena RATGDO jauh lebih baik
    Ring entah bagaimana masih berfungsi, tetapi dukungan HomeKit Secure Video sangat rapuh karena ada kekhawatiran mereka bisa mematikan API kapan saja
    Bagi orang seperti saya yang terutama memakai HA untuk integrasi HomeKit, bergantung pada HA adalah bom waktu
    Saat pindah ke rumah baru, saya fokus mencari perangkat yang kompatibel secara native dengan HomeKit tanpa solusi akal-akalan, dan hasilnya smart home saya sekarang bekerja jauh lebih baik

    • Ini tampaknya bukan alasan untuk meninggalkan Home Assistant, melainkan lebih merupakan alasan untuk tidak membeli produk tertutup dan khusus cloud yang akan dihubungkan ke Home Assistant
    • Itu seperti keluar dari wajan lalu masuk ke api
      Saya juga memulai otomasi rumah dengan cara yang sama, dan pendekatan yang berpusat pada HomeKit memang lumayan bagus
      Langkah berikutnya, saya melihat konfigurasi HA dengan perangkat yang 100% dikendalikan secara lokal lalu dijembatani ke HomeKit
      Perangkat khusus HomeKit sering kali punya stabilitas Wi-Fi yang berantakan, dan saya rasa sekarang saya perlu lebih memperhatikan bagaimana Matter/Thread berjalan
      Ada orang yang mengeluhkan Zigbee/Z-Wave, tetapi rata-rata pengalaman saya jauh lebih baik dibanding HomeKit berbasis Wi-Fi
    • Saya punya lebih dari 50 entitas di HA, dan tidak ada satu pun perusahaan di dunia yang bisa menghentikan salah satunya
      Sejujurnya, dari semua yang disebutkan, HA menurut saya justru yang paling jauh dari bom waktu

  • Mobil berikutnya jelas bukan Sköda atau Volkswagen

    • Jadi merek apa yang sedang Anda pertimbangkan?

  • Remote attestation perlu dibuat ilegal, tidak peduli siapa yang menyediakan root certificate-nya, entah Google, Apple, atau GrapheneOS
    Satu-satunya kegunaan teknologi ini saat ini adalah mencegah orang melakukan apa yang mereka inginkan pada perangkat yang mereka miliki, dan membuat interoperabilitas menjadi mustahil secara kriptografis
    Ini antikompetitif, jadi seharusnya langsung ilegal

    • Dalam 5–10 tahun ke depan, ada kemungkinan nyata kita akan melihat laptop dan smartphone dengan prosesor serta sistem operasi terbuka, dengan UX dan OS yang setara atau lebih baik daripada produk proprietari
      Tetapi jika remote attestation makin meluas, maka secara kriptografis akan menjadi sulit memakai layanan apa pun, sehingga perangkat itu bisa praktis tak berguna bagi konsumen rata-rata
    • Di UE ini sudah ilegal berdasarkan EU Data Act
      Para eksekutif VW hanyalah penjahat yang mengira mereka masih bisa membengkokkan hukum seperti dulu, jadi mereka tidak peduli
    • Yang benar-benar dicari adalah layanan atau produk tanpa API
      Artinya harus bisa berfungsi tanpa cloud
      Atau pilih produk maupun perusahaan yang secara eksplisit menyediakan akses API ke produknya
    • Berteriak bahwa remote attestation sama sekali tidak punya kegunaan yang sah itu jelas tidak masuk akal
      Ini bisa dipakai saat saya menerapkan perangkat yang saya miliki di lingkungan tempat orang yang tidak saya inginkan dapat mengaksesnya secara fisik untuk mengekstrak kredensial
      Ini juga diperlukan ketika orang hanya boleh mengakses informasi perusahaan yang sensitif dari perangkat yang disediakan perusahaan, dan agar data yang dapat diakses itu tidak bisa sembarangan disalin ke tempat lain
      Ini juga diperlukan agar orang tidak bisa memakai ponsel sebagai terminal pembayaran kartu, menampilkan satu jumlah di layar tetapi sebenarnya mengotorisasi jumlah yang berbeda
      Saya cukup kuat mendukung bahwa semua yang saya miliki harus menyediakan data yang dihasilkannya dalam format terbuka, tetapi mengatakan bahwa attestation tidak punya penggunaan yang sah adalah tidak sesuai fakta