Brauchen Inspiration für neue My Spring EV-App

[PeterS]

Wie verwende ich das Timer-Laden?
1. Schließen Sie den Spring an die Ladestation an
2. Starten Sie den Ladevorgang an der Ladestation
3. Überprüfen Sie auf dem Spring-Dashboard, ob der Ladevorgang begonnen hat. Sie können dann sehen, wie lange das Laden dauert.
4. Öffnen Sie die SprigDirect-App und „Laden stoppen“
5. Warten Sie einige Minuten
6. Klicken Sie oben in der App auf die Batterie, um Batterieinformationen anzuzeigen. Wenn die Information „Bereit für Timer“ lautet, ist die Feder für den Timer-Start bereit.
7. Klicken Sie nun unter „Zeitplan“ auf den Datum-Uhrzeit-Bereich und stellen Sie den Timer ein.
8. Wenn alles korrekt ist, wird der Datums-/Uhrzeitbereich grün.

Wenn Sie die App neu starten und in „Schedule“ das Datum-Uhrzeit-Feld grün ist, dann ist dies die Datumszeit, zu der die App den Befehl zum Starten des Ladens an den Sprung sendet. Mit anderen Worten, dies ist das Fortsetzen des Ladens.

Ich hoffe mein Google Translate Deutsch ist verständlich.

Peter

 

[PeterS]

Das Projekt wurde aufgrund von Sicherheitsproblemen gestoppt. Es war lehrreich und ich möchte allen für ihre Hilfe danken.

Peter

 

[ronman]

@PeterS,
danke für deine Mühe, machst du weiter oder ist das Projekt entgültig gestorben?
Danke und Gruß Ronman

 

[Gast1118]

Um etwas Transparenz dazu zu schaffen:

Mir ist gestern Abend aufgefallen, dass die Login-Informationen (E-Mail und Passwort) im Klartext an einen Server geschickt werden, der nicht zu Dacia oder Renault gehört. Das heißt (ohne etwas Böses oder Absicht unterstellen zu wollen): Prinzipiell hat Peter unsere Zugangsdaten.

• Ich kann damit nur jedem, der die Beta bisher verwendet hat, raten, sein Passwort zu ändern und die Beta-App nicht mehr zu nutzen.
• Solltet ihr bei anderen Diensten das selbe Passwort verwendet haben, auch zur Sicherheit dort ändern.

Die App scheint nicht direkt mit den Dacia-/Renault-Servern zu kommunizieren, sondern mit einem Drittserver, welcher wiederum die Verbindung zu den Dacia-/Renault-Servern aufbaut.

• Potenziell hat Peter damit auch die bei Dacia hinterlegten Kundendaten sowie alle bisher über die App abgefragten Fahrzeugdaten incl. des Fahrzeugstandorts bei sich gespeichert.
  (Auch hier, ohne etwas unterstellen zu wollen: Der Spring ist momentan nur mit langer Wartezeit zu bekommen, aber Nachfrage ist durchaus da - gut, wenn man weiß, wo üblicherweise welche stehen).

Da ich auf meine ursprüngliche Nachricht von gestern Abend an Ihn auch nur ein sinngemäßes "ich stoppe das Projekt" bekommen habe, habe ich heute nochmal nach Details gefragt, welche Daten er von uns noch gespeichert hat (siehe unten).

Zur Vollständigkeit auch meine kompletten persönlichen Nachrichten, die ich ihm geschrieben habe:
Ursprüngliche private Nachricht (09.08.2022, 20:13):

Hi Peter,

thanks for providing a beta for your SpringDirect App. Really appreciate your work!
But currently I'm a little bit concerned because i've found out that the App sends the login Information (Mail and password) in cleartext (without ssl encryption etc.) when it's opened to an URL at "oti.livecodehosting.com":

GET /spring/naam.lc?email=<email>&wachtwoord=<password>&pushid= HTTP/1.1 User-Agent: Dalvik/2.1.0 (Linux; U; Android 11; FP4 Build/RKQ1.210503.001) Host: oti.livecodehosting.com Connection: Keep-Alive Accept-Encoding: gzip

As the dutch word "wachtwoord" is used in this URL, i assume this is an URL of your Apps Backend and not an API URL for Renault or Dacia.

Event if the connection would be SSL encrypted: The login Information would be transmitted to your backend and - in principle - you could do with it whatever you want.
I don't want to accuse you of anything bad but i think you understand my concerns.

Could you maybe give a short explanation for this?

Kind regards,
Lothar

Nachricht mit Nachfrage zu Details, welche Daten er noch genau von uns gespeichert hat (10.08.2022, 06:45):

Good that you stopped the test because of this issue.
But a simple "I stop the project" does not reduce my concerns. Because of that i will post my initial message publicly in the forum to at least give the other users a hint that they should change their passwords.

Would you please give me an answer to the following questions:

• Do you still have the login information of anyone who used the beta of your app (within logfiles etc.)?
• Have you logged GPS data or anything else of the data which came from the Dacia-/Renault-API?
  • Could this logged data be linked to a specific login/user?

Thank you

 

[Gast1118]

Nachtrag:
Peter hat mir geantwortet, dass er keinerlei Daten mitgeloggt oder noch gespeichert hat.
Nachprüfen kann man es halt leider nicht.

 

[Jacky_no1]

Danke dass du das geprüft / rausgefunden hast. Ich unterstelle Peter da auch nichts böses, aber wer weiß wer noch alles Zugriff (wissentlich oder unwissentlich) darauf bekommen hat.
Ich werde mein Kennwort ändern.

 

[lumpi]

Das ist schon sehr komisch, dass man so viel Arbeit investiert und dann wegen eines (lösbaren?) Problems alles hin wirft.
Ich habe keine Ahnung von IT, aber das hat schon einen sehr faden Beigeschmack.

 

[Jacky_no1]

Wir sollten Peter erst mal Zeit lassen. Der macht das ja auch vermutlich auch nicht Hauptberuflich.
Vielleicht überlegt er sich eine Lösung und veröffentlicht sie dann wieder. Das fände ich schon gut.

 

[Martin Adler]

Wir sollten Peter erst mal Zeit lassen. Der macht das ja auch vermutlich auch nicht Hauptberuflich.
Vielleicht überlegt er sich eine Lösung und veröffentlicht sie dann wieder. Das fände ich schon gut.

Genau das! Und ... ich finde es prima, dass es bei uns so aufmerksame Menschen gibt. Danke!

 

[Gast1118]

Wir sollten Peter erst mal Zeit lassen. Der macht das ja auch vermutlich auch nicht Hauptberuflich.
Vielleicht überlegt er sich eine Lösung und veröffentlicht sie dann wieder. Das fände ich schon gut.

Gleiches denke ich auch.
Ich wollte Peter damit auch gar nichts unterstellen etc. und gehe auch von Unwissenheit oder Unerfahrenheit aus.

 

[PeterS]

Wir sollten Peter erst mal Zeit lassen. Der macht das ja auch vermutlich auch nicht Hauptberuflich.
Vielleicht überlegt er sich eine Lösung und veröffentlicht sie dann wieder. Das fände ich schon gut.

Nachdem alle Daten gelöscht wurden, ist es natürlich immer ratsam, Ihr Passwort zu ersetzen. Natürlich hatte ich mit den Daten keine bösen Absichten. Ich wollte nur mit einer intelligenten App für die Benutzer helfen. Es waren ungefähr 6 Stunden verschwendete, aber lehrreiche Zeit.

Ich wünsche allen viel Glück mit ihrem Frühling.

Peter

 

[mono]

Ich finde den Ansatz immer noch gut würde mich freuen wenn Peter und lksp1 zusammen eine Lösung finden würden evtl über einen Git

Dafür ist das git ja da man kann daraus ja immer ein snap bauen

Klar ist es über einen privaten Server eines Entwickler s einfachacher denn dann hat jeder immer die gleiche Version und man muss nicht immer das snap angeben

Aber private Server (im öffentlichen Raum (Foren ) haben halt immer auch den Beigeschmack

Wie gesagt würde mich freuen wenn ihr eine Lösung findet

Evtl auch in einem abgeschlossenen beta Bereich im Forum

 

[matzzz]

Der Server im Hintergrund wir doch benötigt um den aktuellen Status der api auszulesen zb. für den ladefüllstand in % um bei x% die Ladung zu stoppen.
Ansonsten müsste die App immer aktiv im Hintergrund sein.
Oder habe ich da was falsch verstanden?

 

[PeterS]

Es stimmt, dass der virtuelle Servercluster alles steuerte, wie das Stoppen und Starten des Ladevorgangs und die Klimatisierung. Das Projekt wurde für die Öffentlichkeit gestoppt.

 

[Springbock]

Das ist sehr schade. Ich bin ja nur ein DAU und habe keine Ahnung von der ganzen Technik hinter der Software, aber ich danke dir trotz des Stopps ganz ausserordentlich für die Mühe, die du sicher mit dem Versuch gehabt hast.
Vielleicht ergibt sich ja irgendwie ein anderer Weg. Schön wär's schon.

 

[vertico]

@PeterS
Es gibt doch sicherlich die Möglichkeit die Zugangsdaten verschlüsselt zu übertragen und auch entsprechend verschlüsselt in der Datenbank zu speichern.
Ich als "nicht Programmierer" kann den entsprechenden Aufwand natürlich nicht einschätzen, aber das sollte doch machbar sein. Drücke dir die Daumen. Wäre doch schade um das Projekt!

 

[Puhhh]

Gibt es hier etwas neues? Besteht die Möglichkeit die APK der aktuellen Version zu bekommen? Ich würde die App auch sehr gerne testen.

 

[blackspring]

Ich hoffe die App wird weiterentwickelt. Bedarf ist auf jeden Fall da. Tronity habe ich schon getestet. Super Sache aber leider zu teuer. Was wichtig wäre, ist ein automatischer Start der Klimatisierung. Z.b. jeden werktag 7.20. usw

 

[Springstar]

Hätte auch großes Interesse.
Was kann die Tronity beim Spring?
In der Liste der offiziell Unterstützen ist ist er ja leider nicht.

 

[blackspring]

Hätte auch großes Interesse.
Was kann die Tronity beim Spring?
In der Liste der offiziell Unterstützen ist ist er ja leider nicht.

Mittlerweile kann man den Spring auswählen. Vorher ging es auch schon wenn man renault ausgewählt hat. Kannst doch mal gratis testen.