Qurrent Qbox zelf uitlezen

Gisteren heb ik bij mijn geliefde kringloopwinkel voor een prikje een Qurrent Qbox mini Duo pakket op de kop getikt. Dit pakket bestaat uit twee (volgens mij vrijwel identieke) qboxen. Een hiervan is bedoeld om in de meterkast te verbinden met de meter, de andere om aan het internet aan te sluiten. De kastjes maken volgens https://www.qurrent.nl/Si...icatieQbox-Solar-2015.pdf verbinding met elkaar via Z-Wave.

Het jammere van de qboxjes is helaas dat ze zelf geen webinterface of iets dergelijks draaien, maar alle data gewoon doorschuiven naar de servers van Qurrent zodat men alleen met een account op de site van Qurrent de meterstanden kan inzien. Hiervoor is een flyer met een activatiecode nodig die helaas ontbrak in mijn pakket.

Mijn bedoeling is nu om de data die de qbox naar Qurrent verzendt te onderscheppen en zelf te registreren. Door de pakketten van en naar de qbox af te luisteren ben ik er achter gekomen dat de qbox verbinding probeert te maken met 'qserver.qurrent.nl' naar welke deze vervolgens middels POST requests data stuurt naar de url /device/qbox/REPORT_ID waarbij REPORT_ID een string van het formaat 0000-0000-000/00-00-000-000 is waarbij de nullen voor getallen staan. Dit report id staat op de achterkant van de qbox aangegeven.

Dit geleerd hebbende heb in mijn netwerk qserver.qurrent.nl omgeleid naar mijn eigen laptop waarop ik met netcat op poort 80 luisterde. Hieruit bleek dat achtereenvolgens steeds de volgende data wordt gePOST:

25000500000064001101000100000000
25010500000078001101000100000000
250205000000B4001101000100000000
250305000000F0001101000100000000
2504050000012C001101000100000000

Iedere regel staat hier voor een los request. Na deze vijf requests begint het verhaal weer opnieuw.

Gedurende dit alles knippert het lampje op de qbox voortdurend groen, hetgeen volgens de handleiding (op internet, ontbrak ook uit de doos) betekent dat de qbox wacht op activatie.

De volgende stap om de data zelf te kunnen opvangen zou dus het spoofen van een activatiepacket moeten zijn. Helaas heb ik echter geen idee wat voor reactie de qbox verwacht te ontvangen. Gezien het feit dat in de gelinkte technische specificaties wordt aangegeven dat er versleutelde data wordt verzonden zou dit helaas nog wel eens lastig kunnen worden vrees ik.

Zou iemand met een geactiveerde qbox wellicht de pakketten die deze verzendt en ontvangt kunnen sniffen? Specifiek dan graag na een reboot van de qbox. Wellicht verwacht de qbox bij iedere boot een blijk van activatie alvorens de gemeten data wordt verzonden. Hiernaast zijn ideeën wat de gePOSTe data betekent ook bijzonder welkom.

Na een van de qboxen open te hebben gemaakt (makkelijker gezegd dan gedaan) ben ik er inmiddels achter dat het report ID bestaat uit respectievelijk een productnummer en een serienummer. Voor mijn beide qboxen is het productnummer gelijk. Mogelijk is dit voor alle qboxen van hetzelfde type het geval.

Ik heb nog eens goed naar de doos waarin de qboxen zaten gekeken en zag dat er aan de buitenkant 'Report ID:' stond met daaronder een streepjescode en in cijfers het serienummer van de internet-qbox. Achter dit serienummer stond echter nog een extra getal dat op de qbox zelf nergens stond aangegeven. Dit heb ik bij wijze van test ingevoerd op de activatiepagina van Qurrent en waarempel, het werkt. De activatiecode voor een qbox is dus gewoon het serienummer plus een controlegetal. Na enig neuzen in de broncode van de activatiepagina blijkt dat gebruik wordt gemaakt van het Luhn algoritme. Door het controlegetal van het serienummer van de meterkast-qbox te berekenen zou deze mogelijk ook los kunnen worden gebruikt.

Ik heb mijn qbox dus inmiddels geactiveerd op de site van Qurrent, maar ik heb helaas nog geen mail ontvangen met een bevestiging. Ook staat de qbox nog gewoon groen te knipperen en blijkt deze dus nog niet geactiveerd te zijn. Zodra ik de activatiemail heb ontvangen zal ik 'm weer aansluiten en kijken wat er gebeurt.

Ik heb de qboxen inmiddels werkend gekregen nadat de Qurrent klantenservice wat (ongespecificeerde) aanpassingen aan de qboxen heeft gedaan. In hun communicatie gaven zij aan dat de qboxen van een duo set niet los (als mono) gebruikt kunnen worden. Hiervoor zouden ze moeten worden omgeruild voor een Qbox mono.

Dit laatste vind ik echter erg vreemd. De beide Qboxen zijn uiterlijk volledig identiek, afgezien van stickers welke aangeven welke bedoeld is voor in de meterkast en welke voor aan de internetaansluiting. Beide boxen hebben zowel een poort om aan het internet aangesloten te worden als om aan een meter aangesloten te worden. Mijn vermoeden is daarom dat de qboxen op de een of andere manier als duo set of zelfstandig geprogrammeerd kunnen worden. Dit zou wellicht gedaan worden middels een knop die bereikbaar is via de achterzijde van de qbox waarover geen woord gerept wordt in alle documenten betreffende de Qbox. Het resetten van een qbox geschied of via de klantenservice of door achtereenvolgens meerdere malen de stroomkabel uit de qbox te verwijderen. Toen ik bij een van de boxen op de knop drukte begon deze ook andere gegevens te verzenden naar de servers van Qurrent.

Gezien het feit echter dat ik met de hulp van de Qurrent klantenservice al een hoop gedoe met de apparaten heb gehad en de boxen versleutelde gegevens verzenden vrees ik dat het erg lastig gaat zijn de qboxen buiten de systemen van Qurrent om te gebruiken.

[ Voor 15% gewijzigd door BAJansen op 26-01-2017 12:52 ]

Yelti schreef op maandag 30 januari 2017 @ 17:05:
Aangezien het Z-wave gebruikt zou je het kunnen proberen koppelen op een z-wave stick.
Hiermee kan je misschien rechtstreeks de data uitlezen.

Moet ergens een knop aanzitten zodat je deze kan koppelen aan het z-wave netwerk.

Dat zou heel misschien kunnen. Er zit dus inderdaad een knop aan de achterkant met een onduidelijke functie. Gezien het feit dat Qurrent de boxen tegen borg uitdeelt aan klanten krijgen ze er waarschijnlijk ook redelijk wat retour en is het aannemelijk dat de boxen simpel (met een druk op de knop dus) in een andere functie geprogrammeerd moeten kunnen worden.

Daar in ieder geval de hardware van de boxen echter compleet identiek is lijkt het me echter niet onwaarschijnlijk dat de gegevens die door de verzendende qbox door de lucht worden verzonden exact identiek zijn aan de gegevens die door de ontvanger daadwerkelijk naar Qurrent worden verzonden en dus direct al versleuteld zijn.

Ik ben een tijd terug wat verder in de Qbox gedoken en heb toen het een en ander gevonden:

1. De Qbox haalt zijn firmware van http://firmware.qurrent.n...uctnummer/$serienummer/R0 Hierbij is $productnummer voor zover ik weet voor alle Qboxen gelijk en $serienummer staat ergens op de Qbox vermeld. Hoewel de URL afsluit met 'R0' lijkt dit optioneel te zijn en kan dit weggelaten worden of naar iedere andere mogelijke waarde worden aangepast.
   De firmwarebestanden die door de Qbox worden gedownload zijn in Intel hex formaat. Deze kunnen naar een meer standaard binary formaat worden geconvert middels het volgende commando:

   objcopy -I ihex <firmwarebestand> -O binary <outputbestand>

   Binwalk snapt helaas niets van de firmware, maar dit bestand kan wel worden gehexdumpt voor verdere analyse.
   
   Ook interessant, wanneer je de firmware URL zelf bezoekt bevat de bestandsnaam van het firmwarebestand de string "ENCRYPT_ON". Na een beetje spelen met het serienummer in de URL heb ik ook een firmwarebestand gevonden met "ENCRYPT_OFF" in de bestandsnaam.
2. De firmware is niet versleuteld en diens integriteit wordt ook niet geverifieerd. Ik heb nog geen wezenlijke aanpassingen aan de firmware gedaan, maar ik kon een in de firmware hardcoded IP-adres van OpenDNS zonder problemen aanpassen naar een ander IP waarna deze firmware gewoon door de Qbox werd ingeladen.
3. In tegenstelling tot wat Qurrent zelf aangeeft, is de data die bij een Qbox duo set over Z-Wave wordt verzonden helemaal niet versleuteld. Met de Z-Wave documentatie erbij kon ik met een HackRF zonder problemen mijn eigen meterstanden uit de lucht trekken.

Zoals eerder genoemd in dit topic wordt de data over HTTP naar 'qserver.qurrent.nl' gezonden, maar doet men wel iets geks met de data zelf. Deze lijkt echter niet 'echt' versleuteld aangezien er delen van opvolgende POSTs erg veel op elkaar lijken.

Qurrent is zo vriendelijk geweest de serverapplicatie welke de Qbox data verwerkt te open-sourcen en te porten naar .NET core. De code is hier te vinden.

Verder heeft iemand een wiki opgezet met het een en ander aan instructies.