NIU Cloud (?)

[blackblade]

Nein, die akzeptieren bestimmt keine fremden Zertifikate. Bei TLS stellst Du quasi zwei Verbindungen her, einmal zwischen Handy und Proxy (geht übrigens auch mit Wireshark) und einmal zwischen Proxy und Server. Der NIU-Server sieht nur den Proxy als Endgerät und auf dieser Strecke ist natürlich alles mit dem NIU-Zertifikat verschlüsselt, zwischen Proxy und Handy dann alles mit dem Zertifikat vom Proxy (das Du deshalb vorher als vertrauenswürdig einstufen musst).

Wenn die App irgendwelche Zertifikate akzeptiert und nicht nur das bekannte des NIU Servers, ist die Kommunikation nicht sicher. Dass das Zertifikat aus Sicht des Systems korrekt ist, ändert daran nichts. Irgendeine Form von Certificate Pinning durch NIU würde das verhindern.

Zurück zum Roller - war ganz schön frisch heute früh.

tom

[Gunni]

Weiss nicht sicher wann ich dazu komme, das mal geordnet hinzubekommen, daher hier schonmal für die die was damit anfangen können was ich grob habe:

Code: Alles auswählen

// Node.js Beispiel
const curl = new (require( 'curl-request' ))();
var config = {
  "niutoken" : 'TOKEN.TOKEN.TOKEN-TOKEN',
  "niusn" : 'SERIENNUMMER'
}


var endpoint ='/v3/motor_data/index_info';
//var endpoint ='/v3/motor_data/battery_info';
//var endpoint ='/v3/motor_data/battery_info/health';
//var endpoint ='/v3/motor_data/archives';
//var endpoint ='/v3/checkversion/getversion'; // Wird ohne SN angesprochen
//var endpoint ='/v3/motorota/getfirmwareversion'; // Wird ohne SN angesprochen

curl.setHeaders([
    'user-agent: User-Agent:Gunni (nodejs curl-request);lang=de-DE;clientIdentifier=Overseas;timezone=Europe/Berlin',
    'Content-Type:application/json',
    'token:' + config.niutoken,
    'Host:app-api.niu.com',
    'Connection:Keep-Alive',
    'Accept-Encoding:gzip',
    'content-length:0'
])
.get('https://app-api.niu.com' + endpoint + '?sn=' + config.niusn)
.then(({statusCode, body, headers}) => {
    console.log(statusCode, body, headers)
})
.catch((e) => {
    console.log(e);
});

Code: Alles auswählen

curl -H 'User-Agent:manager/3.4.8 (android; SM-G900F 7.1.2);lang=de-DE;clientIdentifier=Overseas;timezone=Europe/Berlin' -H 'Content-Type:application/json' -H 'token:TOKENTOKENTOKEN' -H 'Host:app-api.niu.com' -H 'Connection:Keep-Alive' -H 'Accept-Encoding:gzip' -H 'content-length:0' 'https://app-api.niu.com/v3/motor_data/index_info?_=-1366490101&sn=SNSNSNSNSNSNSNS'

Und Alfe die keine Ahnung haben, sollen mal bitte die Fresse halten. Und in anderen Threads ihren Müll ablassen.

[vsm]

[...]Wenn die App irgendwelche Zertifikate akzeptiert und nicht nur das bekannte des NIU Servers, ist die Kommunikation nicht sicher. Dass das Zertifikat aus Sicht des Systems korrekt ist, ändert daran nichts. [...]

Grundsätzlich wird Kommunikation als sicher eingestuft, wenn ausschließlich als vertrauenswürdig eingestufte Instanzen Zugriff auf die unverschlüsselten Daten erlangen können. Apps verlassen sich bei der Kommunikation mit TLS in der Regel auf das Framework des Host-Systems, was meiner Meinung nach auch mehr Vor- als Nachteile bietet. Niu ist hier also nichts vorzuwerfen, was Du nicht auch Deiner Bank vorwerfen könntest.

[...]Irgendeine Form von Certificate Pinning durch NIU würde das verhindern. [...]

Das ist korrekt, allerdings gibt es auch hier Nachteile. So würden heute in sechs Wochen alle bisherigen App-Versionen die Kommunikation mit der API einstellen müssen, weil dann das aktuelle Zertifikat ausläuft...

Weiss nicht sicher wann ich dazu komme, das mal geordnet hinzubekommen, daher hier schonmal für die die was damit anfangen können was ich grob habe[...]

Interessant wäre natürlich noch, wie man an einen (neuen) Token kommt. Oder bleibt der unbegrenzt gültig?

[dasaweb]

Hab die Diskussion bisher nur grob gelesen und selbst noch nicht mit den Codeschnipseln gespielt, aber ich muss schon sagen, dass das bisher der interessanteste Thread im ganzen Forum ist (obwohl ich auch schon sonst einiges am NIU gebastelt habe, inspiriert durch das Forum hier, ich will das nicht kleinreden)! Genau diese Spielereien waren mit ein Grund, einen NIU und nicht z.B. eine UNU zu kaufen.

Respekt und go on!

[otten.l]

Ich kann zwar ehrlich gesagt auch nicht mehr komplett folgen, bin aber sehr gespannt auf das Ergebnis. Eine gut dokumentierte API würde sicherlich die ein oder andere interessante Zusatzfunktion ermöglichen. Ich drücke die Daumen.

Gruß Lennart

[Firestarter]

Hallo zusammen,

gibt es hierzu schon weitere Erkenntnisse?

Habe zu Hause eine Smarthome-Steuerung mit Tablet im Flur. Wäre schon cool, darauf den aktuellen Ladestand des Niu's mit einblenden zu lassen

[Zwurg]

Was es im Moment gibt ist diese Seite hier https://staging.niubase.com
Habe ich in der Facebook Gruppe gefunden und ist von einem User.
Anmelden einfach mit den gleichen Daten wie in der App.
Bei der Ersten Anmeldung dauert es etwas bis er alle Daten von dem Server geladen hat.

[Ultraschorsch]

Was es im Moment gibt ist diese Seite hier https://staging.niubase.com
Habe ich in der Facebook Gruppe gefunden und ist von einem User.
Anmelden einfach mit den gleichen Daten wie in der App.
Bei der Ersten Anmeldung dauert es etwas bis er alle Daten von dem Server geladen hat.

Das ist ja cool! Ich bin in der Toplist im Verbrauch unter den Top 20

[cactus-online]

Freut sich der Betreiber: Wieder UserID und Password von einem NIU-Fahrer mehr.

Schöner wäre es, wenn der dort verwendete Code veröffentlicht würde ... .

[AndreBI]

Was es im Moment gibt ist diese Seite hier https://staging.niubase.com
Habe ich in der Facebook Gruppe gefunden und ist von einem User.


Darf da auch ein M Fahrer rein?