Albert Heijn zelfscan WiFi en VPN

leuke, ik durf het niet te zeggen, ga het eerdaags wel eens uitproberen

van wat ik heb gezien is dat op het moment dat je connectie maakt met de wifi de app het ok vind om te scannen, mocht je op dat moment die sessie niet op kunnen zetten kan je ook niet scanner dus mijn gevoel zegt dat je het meteen weet. Ik moet zondag weer boodschappen doen, dan zal ik het eens proberen via mijn pivpn

Ik kan me niet voorstellen dat dit binnen het lokale netwerk zou blijven. Volgens mij zit het voordeel voor AH er juist in dat ze meteen centraal de informatie over scangedrag krijgen en kunnen analyseren.

(Mij lijkt de gewone scanner trouwens veel handiger omdat je die makkelijker even in het wagentje zet. Maar dat zal persoonlijk zijn.)

Dus je hebt een hele mooie VPN-opstelling die op geen enkel moment split-tunnel toelaat? Ja, dan gaat het inderdaad niet werken.

Maar waarom de aanname dat jouw scans via WiFi naar "domeinen" of "het internet" moeten? Misschien is het alleen heatmapping van in welke volgorde user195468923 iets scant om zo te begrijpen wat men pakt, of men daarna logisch het volgende ingredient gaat zoeken of dat men de kar vult op volgorde van de paden.

Of de zelfscan ziet puur en alleen door volgorde van scannen (en dat is dus net zo logisch alleen realer timer) als hoe jij alles op de band legt (namelijk omgekeerde volgorde) wat je pakt en op je bonnetje ziet.

Maar ja, wij hebben 0 inzicht in jouw VPN-setup, je PiHole-setup, de (paranoia) om 24/7 een VPN te gebruiken dus, zoals je zelf al voorspelde: ga het eens proberen.

Werkt niet, toevallig van de week geprobeerd.

AlwaysON IKEv2 VPN met een iPhone.

Ondanks dat dit om een supermarktnetwerk gaat, heeft dit vrij weinig met het Shopping Forum te maken. Daarom geef ik het topic ook een zetje richting PB.

MAX3400 schreef op zaterdag 21 maart 2020 @ 10:12:
Of de zelfscan ziet puur en alleen door volgorde van scannen (en dat is dus net zo logisch alleen realer timer) als hoe jij alles op de band legt (namelijk omgekeerde volgorde) wat je pakt en op je bonnetje ziet.

Inderdaad werkt de zelfscan alleen op hun wifi. Ik meen me te herinneren wel eens met vpn te hebben getest en dat dat niet ging, maar weet het niet zeker..

Al is het imho vrij simpel: schakel toch even je vpn uit in de winkel als het niet met werkt. Schakel voordien auto-mailophalen etc uit als je niet durft te vertrouwen op de reguliere versleuteling.

Voor de privacy maakt het linksom of rechtsom niet uit, je data gaan sowieso naar AH.nl

Je zou het SSID van de winkel thuis kunnen nabootsen en kijken welke verkeer daar overheen gaat.
Misschien een vast IP of lokale domainname waar die naar zoekt.
Via VPNis die immers niet bereikbaar

WhatsappHack schreef op zaterdag 21 maart 2020 @ 00:51:
Ik zag dat, om met je telefoon te scannen bij de appie, je verbinding moet maken met hun publieke WiFi-netwerk.

Vandaag ook de app eens gebruikt ipv. de handscanner, maar zonder verbinding te maken met hun Wifi volgens mij (niet expliciet verbinding gemaakt, of ze moeten het wifi-netwerk vanuit de app op je telefoon installeren). Volgens mij werkt het ook gewoon over 4G.

[ Voor 12% gewijzigd door jurri@n op 21-03-2020 14:53 ]

jurri@n schreef op zaterdag 21 maart 2020 @ 14:52:
[...]


Vandaag ook de app eens gebruikt ipv. de handscanner, maar zonder verbinding te maken met hun Wifi volgens mij (niet expliciet verbinding gemaakt, of ze moeten het wifi-netwerk vanuit de app op je telefoon installeren). Volgens mij werkt het ook gewoon over 4G.

ik heb zelf de ervaring dat je echt op hun netwerk moet zitten en de VPN uit moet staan.
Moet wel zeggen dat ik het al een tijd niet gedaan heb.
Meestal scan ik het bij de kassa zelf en als ik veel heb pak ik de handscanner.
Maar goed met al dat corona gedoe snap ik dat mensen het liever met hun telefoon doen.
Maar goed zet je VPN gewoon uit vooralsnog en het werkt.

Als je een recente Samsung hebt kun je eventueel Veilige Wifi aanzetten als je bang bent voor malafide APs, daarbij kun je namelijk per app aangeven of het door de tunnel moet.

hcQd schreef op zaterdag 21 maart 2020 @ 18:28:
Als je een recente Samsung hebt kun je eventueel Veilige Wifi aanzetten

Dan gaat het verkeer door een McAfee antivirus server.
Lijkt mij niet veiliger en weet je iets over privacy dan?

Leuk onderwerp. Ik stuitte vd week ook op de zelf-foonscan, idd werkt alleen via local netwerk id winkel. In de App een website staat niet uitgelegd waarom dat is. Dus ik in de privacy voorwaarden gedoken: staat ook niets in waarom de app connectie met local netwerk vereist.. Ik vertrouw het voor geen meter. Hier zit tracking achter, dat is zeker. Ook lees ik meldingen op t net dat er gegevensuitwisseling met add firms achter zit (bron?). Ben ik nu de enige die zich er niet gemakkelijk onder voelt ? ( En dan niet zeggen, dan gebruik je het toch niet - privacy is een grondrecht).

Ik gebruik de ah-zelfscan-app eigenlijk sinds de introductie. Ben er super tevreden mee omdat je daardoor zo ontzettend makkelijk en snel door de AH heen bent. Met de telefoon scannen. Spullen direct netjes in je tas. Bij de zelfscan terminal barcode scannen, betalen met apple pay, en weg!

Corona-technisch is er maar één punt van kritiek. Je moet altijd drukken op "korte" of "lange" bon (waar iedereen op de zelfde plek klikt). Dat is het enige fysieke contactmoment (misschien hebben ze dat nu al gefixed door altijd een lange bon te printen, ik ben sinds 2e week corona alleen maar laten bezorgen en daar niet meer geweest).

Om inhoudelijk te gaan. Je gehele boodschappenlijst wordt zowel lokaal als remote bijgehouden. Dat heb ik uit het gedrag het afgelopen jaar afgeleid:
1. Je moet inderdaad op het netwerk zitten. Als je er vanaf gaat kan je je producten niet meer toevoegen.
2. Als je een embalagebon scant en je doet dat direct na uitgifte van het apparaat is ie enkele seconden nog niet geldig in de app. Dan krijg je een foutmelding. Ofwel tussen uitgifte en validatie van de code zit enige tijd (saillant detail: in het begin kon je niet als eerste een emballage scannen omdat je dan een negatief bedrag had. tegenwoordig is dat gefixed en kan je alleen niet meer afrekenen als het negatief is).
3. Aan het begin van de coronacrisis was er een nationale storing bij de AH (de remote kant). Ik kon in de winkel scannen (uiteraard als ik op hun wifi netwerk zat) en kon alles afronden. Vervolgens scan ik de barcode. Op dat moment gaf het systeem een dikke vette foutmelding en was je complete winkelmand weg en kon je alsnog alles met de hand scannen....

Losse bevinding:
Zaken als iMessage (en fotos via iMessage) werken nog steeds, maar het publieke internet is binnen het wifi netwerk van de AH waarschijnlijk geknepen (zeer traag).

Mijn vermoeden is dat het als volgt gescheiden is:
De app maakt verbinding met het wifi netwerk van je AH vestiging
De vestiging heeft mogelijk vestigingsinformatie lokaal (uitval van hun internetverbinding zou dus géén invloed moeten hebben op of zelfscannen werkt). Is dat niet het geval (centraliseren is makkelijker beheerbaar) dan zal op zijn minst er een scheiding op vestigingsniveau zijn
De diverse systemen maken gebruik van elkaar, maar zijn gescheiden van elkaar. Embalage communiceert met het zelfscannetwerk, of met een overkoepelende instantie om bonnen te 'autoriseren'.
Het kassasyteem is ook een los systeem dat van het losse/overkoepelend scan-systeem de informatie kan krijgen door de informatie op te vragen middels de code die gescand wordt bij de kassa
Het pin systeem is (uiteraard) weer gescheiden van het kassasysteem, maar dat spreekt voor zich


Om nog wat meer on-topic te gaan;
Als alleen http/https open staat kan je eerst kijken of je niet een ssh-tunnel over die porten kunt opzetten. Is dat het geval, dan is het een kwestie van je verkeer daar overheen tunnelen en/of kijken of het mogelijk is om je VPN provider over een van die poorten accepteren. Het vereist dan wel dat ze een persistent connectie accepteren.

Het kan natuurlijk zijn dat ze alles achter een proxy hebben gezet, in dat geval kan je er nog voor kiezen of je niet een tunnel over een http(s) proxy kunt opzetten. IIRC is dat gewoon mogelijk, al is het wel (nog) trager.

Pas als dat is gelukt kan je eens gaan monitoren waar de app mee communiceert. Als je een beetje weet welke IP ranges de AH gebruikt kan je voor die routes gaan opgeven dat die uitgezonderd worden en niet over de VPN tunnel gateway worden gestuurd.

Ik vind het wel interessant! Ik heb er wel eens bij stilgestaan dát je daar op een public netwerk zit, maar het gemak van zelfscannen vind ik dermate hoog dat ik er nu geen moeite voor doe. Een mailtje aan de AH er aan wagen om te vragen hoe die security/privacy gewaarborgd is vind ik wel een interessante. Daar ga ik eens achteraan

MaxxMark schreef op zaterdag 25 april 2020 @ 09:57:
Corona-technisch is er maar één punt van kritiek. Je moet altijd drukken op "korte" of "lange" bon (waar iedereen op de zelfde plek klikt).

Ik kies nooit voor een bon. Als je na afrekenen teruggaat naar de app staat dat een barcode klaar waarmee je het hekje openen kunt.

Over de bon: als je lang genoeg wacht, krijg je de default lange bon. Zit gewoon een time-out op. Niet eens heel lang, soms ben ik even m'n mandje over aan het pakken in m'n tas terwijl ik al betaald heb en halverwege dat inpakken (en zoveel is dat écht niet), komt er opeens een grote bon uitrollen.. @hcQd heeft dus een hele boel bonnen in de AH achtergelaten

[ Voor 38% gewijzigd door Osiris op 25-04-2020 14:09 ]

Wachten, of op de app kijken: huh. Beide zijn me nooit eerder opgevallen.

Osiris schreef op zaterdag 25 april 2020 @ 14:08:
@hcQd heeft dus een hele boel bonnen in de AH achtergelaten

Nee, zodra je de barcode scant reset de terminal.

F_J_K schreef op zaterdag 25 april 2020 @ 14:20:

offtopic:
Osiris: het is voor iedereen beter als je tijdens kopen al je tas vult en, zeker nu de helft vd betaalplekken uit staat, niet langer dan nodig er een bezet houdt.

hcQd schreef op zaterdag 25 april 2020 @ 14:27:
[...]

Nee, zodra je de barcode scant reset de terminal.

F_J_K schreef op zaterdag 25 april 2020 @ 14:20:

offtopic:
het is voor iedereen beter als je tijdens kopen al je tas vult en, zeker nu de helft vd betaalplekken uit staat, niet langer dan nodig er een bezet houdt.

Grappig. Ik wist beide situaties ook niet. Goed om te weten! Denk dat ik dan lekker op de timeout van de lange bon ga wachten

En mbt zelfscannen is het vooral een mentale switch die je moet maken. Gelukkig wees iemand mij daar aan het begin ook op. Gewoon altijd een karretje pakken. Je tas daar in zetten. De spullen met de app scannen en meteen in de tas doen. Als je dan ook nog oplet hoe je het in je tas doet heb je ook geen gehannes met zware boodschappen op breekbare dingen.

Ik kan niet meer zonder! En ik zou graag een 'app-only' pin-terminal willen. Want bij-de-kassa-zelf-scannende-mensen houden ook de boel aardig op als ik zelf (zonder controle) met 30 sec klaar zou zijn.

Ik had niet goed opgelet, er komt dus toch een bon uit. Nou ja, ik wens de volgende klant er veel plezier mee

hcQd schreef op zaterdag 25 april 2020 @ 21:25:
Ik had niet goed opgelet, er komt dus toch een bon uit. Nou ja, ik wens de volgende klant er veel plezier mee

Hmmm, kleine moeite toch om je eigen rommel even op te ruimen... prullenbakken genoeg in de buurt van de uitgang.

vanaalten schreef op zondag 26 april 2020 @ 12:41:
[...]

Hmmm, kleine moeite toch om je eigen rommel even op te ruimen... prullenbakken genoeg in de buurt van de uitgang.

Alleen sta je al aan de andere kant van het hek als de hun eruit komt.

MaxxMark schreef op zaterdag 25 april 2020 @ 09:57:
Pas als dat is gelukt kan je eens gaan monitoren waar de app mee communiceert. Als je een beetje weet welke IP ranges de AH gebruikt kan je voor die routes gaan opgeven dat die uitgezonderd worden en niet over de VPN tunnel gateway worden gestuurd.

Met Wireguard op Android kun je applicaties white/blacklisten realiseer ik me zojuist. Always-on VPN behalve de Albert Heijn-app zou daarmee triviaal moeten zijn. Eerstvolgende winkelronde eens testen of dat inderdaad werkt.

APK bekeken. Zelfscan gebruikt selfscan.store.ah.nl:8881

[ Voor 10% gewijzigd door Thralas op 30-04-2020 18:47 ]