Ford-Account-Login gesperrt wegen Nutzung von Drittanbieter-Apps

Naja, wenn jemand deine Zugangsdaten in die Finger bekommt (auf welchem Weg auch immer), wird es mit Datensicherheit eng und eine 2 Faktor Authentifizierung kommt bei einer API für eine Auto-Userapp aus Bedienbarkeitsgründen nicht in Frage.
Dass dein Webauftritt gesperrt ist und die API nicht liegt vermutlich schlicht daran, dass die Zugänge auf unterschiedlichen Servern liegen und man den API-Zugang nicht so einfach schließen kann, weil dann auch die API und PaaK nicht mehr funktionieren. Die Webpage wird auf IBM Servern gehostet. Wo die API liegt weiß ich nicht. Hab ich mir noch nicht näher angesehen.

Fakt ist aber, dass es immer nur um die Nutzung der offiziellen Ford-API und deren Möglichkeiten geht.
Das machen Tronity, ioBroker und die Widgets vermutlich alle gleich.
Das hat also mit "in die Tiefen des Autos vordringen" und "hacken" nichts, aber auch gar nichts zu tun.

Ob die API sicher ist? Vermutlich ist im Leben außer dem Tod nichts so sicher wie die Gewissheit, dass kein technisches Gerät mit Internetzugang wirklich sicher ist.
Entsteht daraus ein mögliches Gefahrenpotenzial? Ja klar. Da die API sowohl den Standort des Fahrzeugs preis gibt als auch das Auto öffnen kann ist das für Kriminelle natürlich schon interessant. Von daher ist es relativ wichtig ein sicheres Kennwort nach den üblichen Regeln zu nutzen. D.h. dein Passwort sollte aus mindestens 10 Zeichen (besser 12 oder 14) bestehen und es sollte Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen enthalten. Dann hast zumindest du dein möglichstes getan um den Zugang zu schützen. Ob du dabei die API mit Fremdsoftware nutzt ist wieder egal.

Mit das meiste bin ich einverstanden.

Auch ein API-zugriff kann man absichern mit ein gemeinsame Geräte-"secret" die von Anwender am Anfang genehmigt wird und verschlüsselt auf das Gerät abgelegt wird. (Vielleicht ist das schon implementiert)

Der App das gleiche mit eine gemeinsame "Secret", und das es nur entsperrt wird entweder mit Passwort oder Gesichtserkennung/Fingerprint.

Der Weblogin sollte auch 2 Faktor sein.

Und das mit Server-Overload, eine Pushmeldung vom Server wäre auch möglich. Ich kann mir nicht vorstellen das die Ford-Server alle Autos "pollen". Damit währe eine Pushmessage zum Drittanbieter, wann etwas sich ändert, auch möglich.

Und Ja absolute Sicherheit gibts nicht, (ausser den Tod), aber den heutige Stand der Technik sollte man doch folgen.

Hat sich eigentlich Tronity bei jemanden zu Wort gemeldet?

Erhalte von Tronity seit 6 Tagen keine Antwort.

Habe also bis heute keine offizielle Antwort von denen.

Finde auch auf der Homepage keine Info darüber.

Weiß jemand wie Tronity dazu steht?

Verstehe Ford da überhaupt nicht.

Den User sperren, anstatt einfach den Zugriff von Tronity sperren bzw. müssten sich Ford eigentlich an Tronity wenden.

Die verwenden die API, obwohl sie "anscheinend" nicht dazu berechtigt sind, so weit ich gelesen habe.

Zitat von chrisonline

Verstehe Ford da überhaupt nicht.

Den User sperren, anstatt einfach den Zugriff von Tronity sperren bzw. müssten sich Ford eigentlich an Tronity wenden.

Die verwenden die API, obwohl sie "anscheinend" nicht dazu berechtigt sind, so weit ich gelesen habe.

Warum sollte sich Ford an irgendwelche App-Hersteller wenden? Wieviele gibt es davon und wieviele kommen da regelmäßig dazu? Das wäre so einfach wie einen Sack Flöhe zu hüten. Fremdzugriff - Sperre. Basta. Warum soll Ford da rumdiskutieren? Andersrum wird ein Schuh draus. Die App-Anbieter sollten sich an den Hersteller wenden und die Nutzung abklären. Sonst veräppeln Sie die Nutzer, von denen Sie Geld verlangen und werden wohl auch Abmahnungen seitens Ford riskieren. Dünnes Eis.

Könnte mir auch vorstellen, dass sich Ford da absichert und wir beim Kauf mit den seitenlangen AGBs unterschrieben haben, dass sowas ausgeschlossen ist. Wer liest schon AGBs komplett durch... Moment... mlapp wahrscheinlich.

Wenn Ford das ganze vernünftig aufsetzen würde, gäbe es eine ggf, kostenpflichtige nutzbare Datenschnittstelle. Ich benötige die Tronity-App, um den SoC für meine Wallbox auszulesen. Von nahezu allen anderen Herstellern gibt es dazu entsprechende Module. Ford ist blank, weswegen ein Drittanbieter eingebunden werden muss 🤷‍♂️

Zitat von stud_rer_nat

Warum sollte sich Ford an irgendwelche App-Hersteller wenden? Wieviele gibt es davon und wieviele kommen da regelmäßig dazu? Das wäre so einfach wie einen Sack Flöhe zu hüten. Fremdzugriff - Sperre. Basta. Warum soll Ford da rumdiskutieren? Andersrum wird ein Schuh draus. Die App-Anbieter sollten sich an den Hersteller wenden und die Nutzung abklären. Sonst veräppeln Sie die Nutzer, von denen Sie Geld verlangen und werden wohl auch Abmahnungen seitens Ford riskieren. Dünnes Eis.

Könnte mir auch vorstellen, dass sich Ford da absichert und wir beim Kauf mit den seitenlangen AGBs unterschrieben haben, dass sowas ausgeschlossen ist. Wer liest schon AGBs komplett durch... Moment... mlapp wahrscheinlich.

Hast ja recht, aber im Zuge vom Kundenservice müsste das anders laufen.

Denn es gibt einen offiziellen Anbieter (Tronity), der auch noch Geld verlangt und es wird vom User erwartet lt. Ford, dass er prüft, wie dieser Anbieter zu den Daten kommt, bevor er dort ein Abo abschließt.

Da muss ich schon sagen, dass ich eigentlich dann von Tronity erwarte, dass sie das prüfen, ob das erlaubt ist, bevor sie das anbieten und dann noch dafür Geld verlangen.

Und von Ford würde ich erwarten, dass sie einfach den Zugang von Tronity sperren und nicht den User selbst aus der Ford Account.

Zitat von Nitram

go to Post #43 in diesem Thread!

Danke, habe mittlerweile auch von Tronity eine Antwort erhalten:

Leider ist die Situation mit Ford sehr unangenehm und es tut uns sehr Leid. Wir haben versucht mit FordPass Kontakt aufzunehmen - bisher vergeblich.

Sobald es Neuigkeiten gibt, lassen wir es alle Betroffenen selbstverständlich wissen.

Und auch von Ford Österreich habe ich eine Antwort bekommen:

Der Zugriff von Dritten auf APIs ist nicht gestattet

Folgendes steht in den AGBs:

1. Folgendes ist Ihnen und von Ihnen angewiesenen Dritten untersagt: die Erstellung von FordPass abgeleiteten Produkten, die Anwendung des Data-Minings, die Nutzung von Robots oder ähnlichen Datensammlungs- und Datenextraktions-Tools in Bezug auf FordPass, die Erstellung einer Datenbank, das systematische Herunterladen oder Speichern von Materialien aus FordPass oder Webseiten (ganz oder teilweise), die Verlinkung zu oder das Framing von jeglichen Teilen von FordPass, der Versuch oder die tatsächliche Durchführung einer Extraktion oder einer anderweitigen Art der Erlangung von Quellcodes oder der Strukturen von FordPass (ganz oder teilweise) mit Hilfe von Reverse Engineering, Disassemblierung oder Dekompilierung oder auf sonstige Art und Weise;

3. es ist Ihnen untersagt, FordPass zusammen mit anderen Inhalten oder auf eine Art und Weise zu verwenden, bei der Sie sich als eine andere Person, als ein Unternehmen oder als ein Rechtsträger (einschließlich uns) ausgeben;

da bin ich bei dir, grundsätzlich richtig.

aber du musst bedenken, dass die OBD Schnitstelle von TÜV, GTÜ und Co. zum auslesen genutzt wird, genauso wie von den Werkstätten (Marken gebunden oder Freie). Die nutzen alle unterschiedliche Geräte. Ford würde es schwer haben nur gewisse Geräte fürs auslesen zuzulassen, freie Marktwirtschaft.

Was vielleicht eine Alternative für die Fahrzeughersteller wäre, ist eine Lizenz oder Tokenlösung für TÜV, Werkstätten und Dritte wie z.B. Tronity. Lizenz oder Token werden im OBD Adapter gespeichert (wie bei UCDS) und dann hast du als User die Möglichkeit gewisse Daten auszulesen in Abhängigkeit zu der erworbenen Daten-Freigabe Lizenz.

Das würde natürlich aber auch bedeuten, dass die dafür benötigten OBD Stecker teurer würden und die Hersteller sich auf eine halbwegs einheitliche Lösung einigen müssten.

Zitat von su-ch+mache

und die Hersteller sich auf eine halbwegs einheitliche Lösung einigen müssten

Oh das ist dann schon das Argument, warum so etwas sicherlich nicht kommt

Das Kernproblem ist doch, dass scheinbar haupsächlich Ford sich so anstellt.

Laut der Liste der kompatiblen Fahrzeuge auf Tronity können aktuell nur Ford und Mercedes Fahrzeuge nicht registriert werden. Alle anderen E-Autos gehen.

Ich habe gestern erst meinen gerade gekauften Seat Mii electric registriert und es läuft wunderbar.

Also scheint z.B. der VW-Konzern gar nichts dagegen zu haben.

Hallo alle zusammen!

Auch unser Account wurde gesperrt und wir benutzen Tronity seit 30.3.2022. Wir benötigen Tronity, weil das Fahrzeug in der Familie "geteilt" wird, sprich wir genau wissen wollen wer, wann, wieviel gefahren ist und dementsprechend kWh verbraucht hat.

Gibt es eine andere Lösung außer Tronity?

BTW: Hat einer von den "gesperrten" Accounts noch ein OTA bekommen? Irgendwie habe ich so ein Gefühl, dass seit dem der Account gesperrt wurde wir keine OTA mehr empfangen ...

Ich benutze _nicht_ Tronity, aber EVCC und Homeassistant, die beide regelmäßg Daten über mein Auto holen. Jetzt wurde (scheinbar?) auch was gesperrt, zumindest weiß EVCC nicht mehr den SoC des Autos und kann nur noch ganz "dumm" aufladen. Sehr schade. Auch ich wäre bereit, für eine gescheite API ein paar Euro zu bezahlen, denke jedoch, dass sowas im Autopreis eingerechnet sein sollte. Das Backend zur Verfügung zu stellen kostet im Endeffekt keinen Euro pro Monat pro Auto. Wenn man es halbwegs richtig macht.

Die Kommunikation zwischen Auto und Server scheint nicht gestört zu sein, sonst könnte die App auch keine aktuellen Daten mehr anzeigen.
Die Sperrung scheint sich bisher nur auf die Webseite auszuwirken.
OTAs kommen ja auch nicht alle 14 Tage oder so. Mein Account ist z.B. nicht gesperrt und das letzte Update ist schon über vier Wochen her.

Zitat von Nitram

Mach-E ist derzeit als Dienstwagen / Firmenfahrzeug ungeeignet und kann daher nicht empfohlen werden!

Also ich habe ihn als Dienstwagen. Einer von ca150 Autos. Er ist schön und von der Reichweite besser als der Etron 55 den ich vorher hatte in vielen Belangen. Wir haben aber auch keine besonderen Anforderungen an die software. Unsere Fahrtabrechnung machen wir über unsere Projektabrechnung im SAP.

Da werden losgelöst von dem Fahrzeug nur die Fahrzeiten und Km erfasst. Wir machen nur pauschal Versteuerung also kein „Fahrtenbuch“. Da gibt es dann auch nicht unbedingt viel vom Finanzamt zu meckern.