Nach der Toniebox schauen wir uns die Tigerbox Touch genauer an. Wir öffnen, prüfen und rooten sie. Was ist drin in der Hörbox für Kinder?
Musik-Player für Kinder sind derzeit groß in Mode. Neben der Toniebox, die wir kürzlich untersucht haben, entwickelten andere Hersteller noch andere ähnlich konzipierte Abspielgeräte wie die Tigerbox. Unsere Autorin honeybee konnte leider schon bei der ersten Sichtung technische Probleme ausmachen, die sie dem Hersteller gemeldet hat.
Die Tigerbox auf dem Prüfstand
Es geht um Produkte, die heute in vielen Kinderzimmern den früheren Kassettenrekorder und den CD-Player ersetzen sollen und dabei das Risiko minimieren „Opfer“ von Bandsalat und zerkratzen Silberscheiben zu werden. Die bekanntesten kommerziellen und kindgerechte Lösungen heißen Hörbert, Jooki, Toniebox oder Tigerbox (Touch). Natürlich ist die Open Source und Maker-Szene in diesem Bereich auch aktiv und hat ihre eigenen Bastellösungen entwickelt, wie z.B. die Phoniebox auf Raspberry Pi Basis und den TonUINO, welcher auf einem Arduino aufsetzt.
Als Hacker hat man sowieso einen ganz anderen Blick auf viele technische Dinge. Besonders wenn es um Produkte geht, die die eigenen Kinder benutzen möchten, sollen oder wollen. Der Datenschutz steht dort zusammen mit der IT-Security an erster Stelle.
Daher würde für mich persönlich niemals eine Lösung ins Haus kommen, die diese beiden Punkte nicht wertschätzt. Systeme wie z.B. Amazon Echo oder Google Home sind deshalb außen vor. Aus diesem Grund hat sich Team RevvoX entschlossen, neben der Toniebox sich nun einmal die Tigerbox TOUCH einmal genauer anzusehen.
Der Text kam Dir irgendwie bekannt vor? Dann hast du sicher den Artikel “Toniebox – eine Musikbox für Kinder unter der Lupe” hier auf der Tarnkappe mit dem Fokus auf der Toniebox gelesen. Heute setzen wir den Fokus auf die Tigerbox TOUCH aus dem Hause tigermedia: Wir haben die Box in ihre Einzelteile zerlegt und uns die Hardware und Software genauer angeschaut.
Was ist die Tigerbox TOUCH?
Bei der Tigerbox TOUCH handelt es sich um einen Würfel mit knapp über 11cm Kantellänge, der Hörspiele und Musik abspielen kann. Die Inhalte kann man entweder über den Touchscreen aus dem verfügbaren Online-Katalog auswählen, wenn man das dazugehörige tigerticket Abo gekauft hat. Das Abo für 12 Monate kostet derzeit 72,74 €. Oder man steckt ein RFID-Kärtchen in den vorgesehen Slot, um den damit verknüpften Inhalt abzuspielen. Die Inhalte werden ähnlich wie bei der Toniebox aus der Cloud heruntergeladen und auf dem Gerät zwischengespeichert.
Ein nützlicher Hinweise der Box gleich beim ersten Start…
Auffällig war beim ersten Start ein Ladebildschirm der direkt einen nützlichen Hinweis gab. “Android wird gestartet… Apps werden gestartet…”. Als Technikfetischist kommen einem sofort folgende Fragen in den Sinn: Kann man eigene Apps installieren? Welche Android-Version? Hat das Gerät einen Recovery? Kriegt man irgendwie root?
Öffnen der Tigerbox TOUCH – oben oder unten?!
Von unten:
Leider gibt es bei der Box keine direkt sichtbaren Schrauben, sodass ich zunächst einmal das Gummi an der Unterseite entfernt habe. Dort mussten insgesamt fünf Schrauben entfernt werden. Erst dann kann man das transparente Plastik an der Unterseite von der Box abtrennen.
Dort kommen vier LEDs zum Vorschein. Durch das Lösen von weiteren Schrauben lässt sich
A) die Schlaufe und
B) die Anschlussplatine für USB-C, Recovery-Taster und den Klinkenanschluss abnehmen.
Ein Kabel mit mehreren Adern führt in den inneren Kern der Box. Unter dem Mesh-Stoff waren leider keine weiteren Schrauben zu finden. Fragt sich nur: Wie komme ich denn nun endlich an die Hauptplatine?!
Von oben:
Wie sich später herausstellte, lässt sich die Box an der Oberseite sehr leicht öffnen, da sie oben nur gesteckt ist. Durch vorsichtiges Hebeln mit einem Plastikspatel lässt sich der Holzdeckel abheben. Dort versteckt sich auch die Hauptplatine. Die dort angeschlossenen Kabel sind recht kurz, daher sollte man dort nicht zu tief stochern. Die fünf Anschlusskabel für die Anschlussplatine, die beiden Lautsprecher, die Stromversorgung und die Logobeleuchtung müssen abgezogen werden. VORSICHT! Die Buchsen dabei festhalten, da man sie sonst von der Platine löst. Außerdem: Die Kabel der WLAN Antenne und des RFID-Empfängers haben keinen Stecker und sind mit dem Kabel fest an die Platine gelötet!
Um an die andere Seite der Hauptplatine zu gelangen, müssen mehrere Schrauben gelöst und die Flachbandkabel gelöst werden. Diese sind teilweise verklebt und die Buchse und die Hebelchen sind sehr filigran und brechen sehr leicht ab! Auch an dem Punkt hat der Hersteller kein Herz für neugierige Bastler und Löter übrig.
Hardware der Tigerbox Touch
Durch fachgerechte Zerlegung der Box können wir nun bequem ablesen welche Bauteile so verbaut sind:
– Prozessor: Rockchip RK3128 Quadcore ARM Cortex-A7MP mit bis zu 1,3GHz
– RAM: 2x256MB DDR3L SDRAM Samsung K4B2G1646F-BYMA
– Bildschirm: 3,97” (10,08cm) mit einer Auflösung von 800×480
– Digitizer: XLD438-V0
– Speicher: 8GB eMMC
– Akku: 3,7V 4000mAh Lithium-Ionen Akku
– Bluetooth Audio Modul: BK3266 (aktuell von der Box nicht verwendet)
– NFC-Modul
– Lautsprecher: 2x
– Steckkarte (MIFARE Ultralight)
Ein Blick auf die Platine von oben:
Ein Blick auf die Platine von unten:
Root, bitte! Danke!
Ein beliebter Weg sich das Innere eines Gerätes vorzutasten ist eine serielle Schnittstelle. In der Regel sind bei verschiedenen Prozessoren dafür einzelne Pins dafür vorgesehen. Zum Glück sind auf der Rückseite der Hauptplatine zweimal zwei Pads mit der Beschriftungen RX/TX zu finden, was die Suche nach der seriellen Schnittstelle enorm erleichtert hat. Ein Blick ins Datenblatt verrät die Spannung (3.3V) der Schnittstelle. Mit Hilfe eines passenden USB-Serial Moduls und einem passenden Tool wie Termux oder PuTTY lässt sich nun mit der Baudrate 115200 eine Verbindung herstellen und man kann die serielle Ausgabe der Box verfolgen.
Interessant ist, dass es beim Booten Hinweise auf den Bootloader UBOOT und einen FIQ Debugger gibt. Sobald sich die Ausgabe etwas beruhigt hat, könnte man ja mal versuchen ein einfaches Kommando an die Box zu senden, oder? Erstmal ein ls[Enter].
BINGO eine Antwort mit dem Verzeichnisinhalt und dem Kommandoprompt >127|shell@rk312x:/ $”.
Jetzt nochmal “su” – Keine Fehlermeldung nur
>“1|shell@rk312x:/ $”.
Bitte, danke, wir haben vollen root Zugriff!
ADB, Android Apps und Android 5.1.1?!
Zunächst einmal solltest Du sicherstellen, dass du die Box über den vom Hersteller vorgesehenen Weg mit deinem WLAN verbunden hast. Alternativ kannst du auch manuell einen Eintrag im wpa_supplicant.conf über die serielle Schnittstelle machen.
Anschließend kannst du dann ADB über WLAN auf Port 5555 aktivieren in dem du folgende Kommandos in den Kommandoprompt eingibst:
>setprop service.adb.tcp.port 5555
>stop adbd
>start adbd
Anschließend lässt sich dann über einen beliebigen Rechner eine Verbindung mit dem Gerät per ADB aufbauen:
>adb connect
Das nachträgliche Installieren von Software ist nun kinderleicht. Empfehlenswert ist F-Droid und der OpenLauncher (als neuer Launcher). Und von da aus dann der Aurora Store und VirtualSoftKeys. Warum? Da der Box die Tasten fehlen und die Softkeys deaktiviert sind. YouTube läuft leider aktuell nicht, aber NewPipe als Alternative!
Von dort aus ist es ein kurzer Weg über den Launcher in die Einstellungen und in das “Über” Menü und die Entwickleroptionen.
In den Entwickleroptionen wird direkt einer der oben genannten Teckiefragen beantwortet: Die Tigerbox TOUCH läuft auf Android 5.1.1 mit Patchlevel 04/2016. Das es sich hierbei bereits zum Marktstart der Tigerbox TOUCH im Q4/2019 um ein stark veraltete Software handelt, braucht man an dieser Stelle nicht zu erwähnen…
Nach kurzer Recherche zeigt sich, dass es für dieses Patchlevel einige interessante Sicherheitslücken gibt. Als Beispiel CVE-2017-13208, eine Lücke, die es erlaubt beliebigen Code über WLAN auf die Box zu schmuggeln.
Es ist daher empfehlenswert die Box ausschließlich in einem von anderen Geräten abgeschotteten Gastnetzwerk zu betreiben, damit die Tigerbox TOUCH nicht über andere Geräte im gleichen Netzwerk über diese oder andere Lücken angegriffen werden kann. Andere Angriffsszenarien sind bei der Box sehr unwahrscheinlich, da die Box sich ausschließlich mit den herstellereigenen Servern verbindet.
Reaktion vom Hersteller tigermedia
Im direkten Austausch mit tigermedia haben wir unsere Erkenntnisse und Bedenken vorgetragen. Das Management von tigermedia hat uns eine Antwort zukommen lassen, und zu allen von uns angesprochenen Themen Stellung bezogen. Folgend eine Zusammenfassung:
Das Patchlevel der Box soll zunächst auf 2018 angehoben werden. Damit würden zunächst die meisten CVEs, besonders die kritischen wie CVE-2017-13208, behoben. Das Update ist für die erste Jahreshälfte 2021 geplant.
Da die verwendete Hardware keine neuere Android Version erlaubt, steht zur Debatte die verbaute Hardware zu aktualisieren. Dafür muss die komplette Hauptplatine der tigerbox TOUCH überarbeitet werden, was einige Zeit in Anspruch nimmt und gut geplant werden will. Daher ist damit eher gegen Ende 2021 zu rechnen.
Die Firma Zühlke aus Schlieren in der Schweiz wird bei der Planung und bei weiteren Security-Assessments mit einbezogen. Bei weiteren Gesprächen mit Zühlke ist man zu dem Schluss gekommen, dass selbst wenn ein Angreifer Zugang erlangen sollte, auf der Box kaum Daten zu bekommen sind. Selbst in der Cloud sind weder Abrechnungs- noch personenbezogene Daten zu finden.
Update 02.01.2022: Das Gerät ist nach einem Systemupdate weiterhin auf Android 5.1.1 / Patchlevel April 2016.
AGB und Datenschutz
Leider gab es bisher keinen dedizierten Abschnitt zum Thema Datenübertragung der Tigerbox TOUCH in den AGB oder der Datenschutzerklärung. Auf Anfrage bei tigermedia wurde aber im Abschnitt Hilfe der Box ein neuer Unterpunkt angelegt und die übertragenen Daten offengelegt:
Alle Daten werden immer verschlüsselt übertragen.
● Bei der Einrichtung der Box:
Mailadresse und Passwort des Nutzers (verschlüsselt), UID der Box
● Bei der Nutzung:
○ Start- und Endzeitpunkt des zuletzt gehörten Titels
○ Aktuelle Firmwareversion
● Zum Abspielen tigercard und wildcard
○ Code und ID der Karte
● Zum Einlösen tigerticket:
○ Code und ID der Karte, eingegebene PIN
● Zum Verknüpfen einer wildcard:
○ Code und ID der Karte
Die gemachten Angaben haben wir bisher noch nicht nachgeprüft.
Wenn die Box ausschließlich die oben genannten Daten an den Hersteller übertragt, wäre dies sehr löblich. Im Kontrast dazu steht die Toniebox, die jeden Tastendruck protokolliert und sogar die SSID des gerade angemeldeten WLANs an den Hersteller Boxine versendet…
Hardwarefehler der Tigerbox TOUCH
In diversen Foren und auf Facebook häufen sich in den letzten Monaten immer mehr Meldungen über die Tigerbox TOUCH, dass sie einen Hardwarefehler meldet und nicht mehr benutzt werden konnte. Die Boxen werden dann vom Hersteller vorbehaltlos ausgetauscht. Der Hardwarefehler wird softwareseitig erkannt und ist erst nach einem Softwareupdate erstmalig angezeigt worden. Leider gab es bisher keine öffentlich verfügbaren Informationen warum die Tigerbox TOUCH der betroffenen Kunden ausgetauscht wurden. Auf unsere Anfrage hin hat tigermedia aber offen kommuniziert, was die Ursache dafür ist:
Bei der Montage in China ist der Audioamplifier einer kleinen Charge nicht immer korrekt verbaut worden. Dieser Umstand ist uns im Rahmen von eigenständigen Produkttest und durch User-Feedback gewahr geworden. Der Amplifier fällt im Schadenfall schleichend aus und die Lautsprecher der Box funktionieren dann nicht mehr vollends, die Kopfhörer schon noch. Das Fehlerbild der Box beim Ausfall des Amplifiers ist durchaus virtuos und nicht immer leicht einzuordnen. Da wir unseren Kunden ein bestmögliches Medienerlebnis anbieten wollen, haben wir uns entschieden eine softwareseitige Einrichtung zu installieren, die einen korrupten Amplifier erkennt und dem Kunden signalisiert, dass etwas mit der Box nicht stimmt. Die Kunden melden sich dann mit genau diesem Fehler bei uns und wir tauschen die Boxen kulant (ohne Wenn und Aber) durch.
Fazit Tigerbox TOUCH
Laut Hersteller arbeitet die Tigerbox TOUCH datensparsam und überträgt ausschließlich notwendige Daten an deren Server. Dies muss aber noch in weiteren Tests von Team RevvoX bestätigt werden.
Wegen der veralteten Android Version sollte die Tigerbox TOUCH ausschließlich in einem abgeschotteten Gastnetzwerk betrieben werden. Das Problem wird seitens des Herstellers tigermedia ernst genommen und das Patchlevel soll zumindest auf das aktuellste Patchlevel von Android 5.1.1 von Anfang 2018 angehoben werden. Für die nächste Generation der Tigerbox TOUCH soll eine aktuellere Android Version zum Einsatz kommen.
Weiterhin lässt sich die Box mit etwas Geschick zu einer offenen Android Musikbox umgestalten, da durch den Root Zugang beliebige Apps nachinstalliert werden können und so auch die großen “Kinder” zum Spielen einlädt.
Alles in allem ein an sich schönes Produkt bei dem die aufgedeckten Probleme ernst genommen und diese auch kurz- bis mittelfristig vom Hersteller in Angriff genommen werden.
Team RevvoX
Team RevvoX besteht aus insgesamt vier Mitgliedern. Nämlich aus g3gg0, Gambrius, honeybee und moritz.
Ausblick
Team RevvoX steht noch recht am Anfang der technischen Analyse der Box. Mit einem passenden CWM oder TWRP Recovery für den RK3128 lässt sich in Zukunft sicher die komplette Firmware des Geräts sichern und somit vermeiden die tigerbox TOUCH bei weiteren Experimenten in einen Backstein zu verwandeln (Brick).
Über den Recovery könnte man anschließend probieren SuperSU, Xposed und Magisk zu installieren. Damit sind dann kleinere Modifikationen ohne größeren Aufwand möglich um zum Beispiel die Statusleiste und die virtuelle Knopfleiste einzublenden. Es ist noch offen, ob ohne Modifikation der Hardware ADB über den USB-C Anschluss realisiert werden kann. Natürlich ist auch eine weitere Analyse der als Android App realisierten tigerbox TOUCH Software interessant. Einerseits die Prüfung der übertragenen Daten und der verwendeten Protokolle und Datenstrukturen. Andererseits auch wie die zwischengespeicherten Dateien mit den Karten und Inhalten verknüpft werden.
Alle Informationen sind zukünftig im Tigerbox Repo auf GitHub und im Tigerbox Hacking Channel auf Telegram zu finden.
Abschließend sein noch mal die vorbildliche Kommunikation seitens tigermedia zu erwähnen, die sich sämtlichen Themen von uns offen gegenüber gestellt und zeitnah beantwortet haben. Wir konnten den Eindruck gewinnen, dass hier ein Interesse bezüglich technischen Mängeln und Problemen vorhanden ist und Anregungen seitens der Kunden ernst genommen werden.
Jetzt gilt es nur, den angekündigten Optimierungen seitens tigermedia auch Taten folgen zu lassen.
Tarnkappe.info