De functie ‘Zoek mijn’ van Apple is bedoeld om verloren apparaten terug te vinden. Een beveiligingsonderzoeker heeft ontdekt hoe je deze functie kunt misbruiken om álle Apple-apparaten als netwerk in te zetten. Zo kun je van overal willekeurige data doorsturen, zolang er een Apple-apparaat in de buurt is. Wij bouwden hierop voort om apparaten die geen internetverbinding hebben sensordata te laten doorsturen.

Code downloaden

Met de app Zoek mijn van Apple kun je een verloren iPhone, iPad, Mac(Book), Apple Watch of AirPod terugvinden, evenals de AirTag die in april werd aangekondigd. Dat werkt doordat Apple-apparaten bluetooth-signalen uitzenden, die door andere apparaten worden opgepikt en dan naar Apple worden verzonden. Dat gebeurt met respect voor privacy: die bluetooth-signalen bevatten noch je identiteit noch andere persoonsgegevens. Andere Apple-gebruikers en zelfs Apple krijgen dus niet te zien waar je apparaten zich bevinden.

01 OpenHaystack

Onderzoekers van het Secure Mobile Networking Lab van de TU Darmstadt in Duitsland hebben als onderdeel van hun project Open Wireless Link de werking van het Zoek mijn-protocol van Apple gereconstrueerd. Ze hebben op basis hiervan ook hun eigen framework gemaakt om bluetooth-apparaten te traceren via het Zoek mijn-netwerk: OpenHaystack. Op dit project bouwen we voort in deze masterclass.

Voor OpenHaystack heb je macOS 11 (Big Sur) nodig. De installatie is wat omslachtiger dan je gewend bent van Mac-software, omdat de locatierapporten alleen via een niet-publieke API van Apple beschikbaar zijn. De ontwikkelaars hebben toegang tot die gegevens gekregen door een aangepaste plug-in voor Apple Mail te schrijven. De plug-in erft dan de toegangsrechten van Apple Mail over.

©PXimport

02 Installeer OpenHaystack

Download de nieuwste release van OpenHaystack van GitHub en open de applicatie op je Mac. Je krijgt de vraag om de plug-in voor Mail te installeren. Daarvoor moet je tijdelijk de beveiligingsfunctie Gatekeeper van macOS uitschakelen. Open een terminalvenster en typ daarin de volgende opdracht:

sudo spctl --master-disable

Open dan in Mail Voorkeuren en klik in het tabblad Algemeen op Beheer plugins. Krijg je die laatste knop niet te zien, voer dan in de terminal de volgende opdracht uit:

sudo defaults write "/Library/Preferences/com.apple.mail" EnableBundles 1

Vink in het venster om de plug-ins te beheren de optie OpenHaystackMail.mailbundle aan en bevestig dat je de plug-in toegang wilt geven tot de data waar Mail toegang tot heeft. Je hoeft dit niet blindelings te vertrouwen: je kunt in de broncode van de plug-in bekijken wat die doet. Je e-mails worden bijvoorbeeld niet bekeken. Herstart daarna Mail. En schakel Gatekeeper weer in met de volgende opdracht:

sudo spctl --master-enable

©PXimport

03 Voeg een apparaat toe

OpenHaystack toont nu een kaart. Als het bolletje rechtsboven groen is, heeft de applicatie toegang tot het Zoek mijn-netwerk. Klik op de plusknop bovenaan om een accessoire toe te voegen. Klik met de Ctrl-toets ingedrukt op het accessoire en kies dan Rename om het een naam te geven. Met een klik op het pictogram ervoor kun je dit pictogram en de kleur aanpassen.

Verbind dan een ondersteund apparaat via usb met je Mac. Dat is voorlopig beperkt tot ESP32-ontwikkelbordjes en de BBC micro:bit v1. Als je op de knop Deploy naast het aangemaakte accessoire klikt, installeert de applicatie de juiste firmware op je apparaat.

©PXimport

04 Bouw de firmware

Lukt dit installeren om een of andere reden niet, dan kun je ook zelf de firmware flashen, en dat kan ook op een andere (Mac- of Linux-)computer dan je Mac met de OpenHaystack-applicatie. Voor de ESP32 installeer je eerst ESP-IDF en Python. Download dan het bestand Source code van de nieuwste release van OpenHaystack. Ga in een terminalvenster naar de map Firmware en dan ESP32 met de opdracht:

cd Firmware/ESP32

Bouw dan de firmware met ESP-IDF:

idf.py build

©PXimport

05 Flash de firmware

Klik nu weer met de Ctrl-toets ingedrukt op het accessoire in OpenHaystack en kies dan Copy advertisement key (Base64). Keer dan weer terug naar het terminalvenster waar je de OpenHaystack-firmware zojuist gebouwd hebt en flash de firmware met de gekozen sleutel, bijvoorbeeld als volgt:

./flash_esp32.sh -p /dev/tty.usbserial-210 "DwUEQ/a+QCDuKVa+p2H4HIvDz/P1Fs/4D3odsA=="

De tekens tussen de aanhalingstekens zijn de Base64-codering van de sleutel, voer hier in de plaats daarvan de jouwe in. Het apparaatbestand /dev/tty.usbserial-210 heeft ook een aanpassing aan jouw eigen situatie nodig. Je kunt in een terminalvenster op je Mac bekijken welk apparaatbestand het moet zijn:

ls /dev/tty.usbserial-*

Onder Linux heeft het apparaatbestand de vorm /dev/ttyUSB*.

Zodra de firmware is geflasht, reset je het bordje, bijvoorbeeld door de usb-kabel er even uit te trekken en weer aan te sluiten. Klik met de Ctrl-toets ingedrukt dan in de OpenHaystack-applicatie nog eens op je accessoire en kies Mark as deployed. Als je ESP32 zich nu in de buurt van Apple-apparaten bevindt, wordt de locatie van je bordje normaal binnen een halfuur zichtbaar in de OpenHaystack-applicatie.

©PXimport

06 Hoe werkt OpenHaystack?

Wanneer je een accessoire aanmaakt in de OpenHaystack-applicatie, maakt die een sleutelpaar. De geheime sleutel blijft in de sleutelhangertoegang (keychain) op je Mac. De bijbehorende publieke sleutel wordt in de firmware van je accessoire (de ESP32 of de BBC micro:bit) geschreven.

Zodra de firmware op je accessoire staat, stuurt die de publieke sleutel elke seconde uit in BLE-pakketjes (bluetooth low-energy). Als iPhones met iOS 13 (of nieuwer) in de buurt die pakketjes oppikken, versleutelen ze hun huidige locatie met de publieke sleutel van je accessoire en uploaden ze dit locatierapport naar Apple.

Apple ziet alleen versleutelde informatie op zijn servers binnenkomen en weet niet eens welke locatie bij welk apparaat of welke gebruiker hoort. Je kunt dus niet aan Apple vragen om de meest recente locatierapporten van al je apparaten te zien. Maar elke Apple-gebruiker kan elk locatierapport downloaden zolang ze de publieke sleutel ervan kennen.

OpenHaystack downloadt dus de locatierapporten van je ingestelde accessoires op basis van hun publieke sleutels. Daarna gebruikt de applicatie de bijbehorende geheime sleutel (opgeslagen in de keychain van macOS) om het rapport te ontcijferen, waarna ze de locatie van je accessoire op de map kan tonen. Apple laat wel alleen geauthentiseerde gebruikers toe om locatierapporten te downloaden. Daarom moet je Apple Mail openhouden wanneer je de OpenHaystack-applicatie gebruikt: die communiceert met de plug-in in Mail om de rapporten te downloaden.

07 Stuur willekeurige data door

Beveiligingsonderzoeker Fabian Bräunlein van Het Berlijnse bedrijf Positive Security ging nog een stapje verder: hij vond een manier om willekeurige data via het Zoek mijn-netwerk van Apple te versturen. De aanpak noemde hij Send My.

Het idee is dat je bit 0 codeert door één publieke sleutel en bit 1 door een andere publieke sleutel. Je zendt dus een van de twee publieke sleutels door, afhankelijk van de bit in je data. Daarna vraag je beide sleutels bij Apple op. De sleutel die je terugkrijgt, bepaalt of de verzonden bit 0 of 1 is.

Uiteraard ben je niet zeker of er een Apple-apparaat in de buurt je pakketten ontvangt en of ze wel in de juiste volgorde aankomen. Daarom wordt in de publieke sleutel een index gecodeerd (voor het eerste, tweede, derde bit enzovoort), een message-ID (zodat je meerdere boodschappen na elkaar kunt sturen) en een modem-ID (zodat meerdere apparaten hetzelfde systeem kunnen gebruiken). Helemaal achteraan in de sleutel komt dan de bitwaarde. Wil je een boodschap sturen, zend dan voor elk bit een voor een de bijbehorende publieke sleutel uit.

08 Zelf een soort modem maken

Positive Security heeft firmware voor de ESP32 ontwikkeld waarmee het bordje een modem wordt voor het Zoek mijn-netwerk. Via een seriële verbinding vanaf je computer naar de ESP32 typ je boodschappen in en de ESP32 codeert die in de vorm van publieke sleutels die het via bluetooth verzendt. Daarna kun je in de bijbehorende DataFetcher-applicatie op je Mac de gedecodeerde boodschappen inlezen.

Download het bestand Source code (zip) van de laatste release via www.bit.ly/firmsource. Pas in de code in Firmware/ESP32/main/openhaystack_main.c de variabele modem_id aan: vul hier een willekeurig getal van vier bytes in hexadecimale cijfers in, iets als 0x6ecc7c95.

Open daarna een terminalvenster, ga met deze opdrachten naar de map met de firmware en bouw hem met ESP-IDF:

cd Firmware/ESP32

idf.py build

Sluit daarna je ESP32-bordje aan via usb en flash de firmware:

./flash_esp32.sh -p /dev/tty.usbserial-210

Bekijk net zoals in paragraaf 5 eerst welk apparaatbestand je nodig hebt.

©PXimport

09 Typ je data in

Als je nu je ESP32 reset (usb-kabel eruit trekken en er weer in steken), begint deze de standaardboodschap TEST MESSAGE rond te sturen via bluetooth low-energy. Je kunt nu via een seriële verbinding via usb vanaf je computer met de ESP32 verbinden. Dat kan bijvoorbeeld in Arduino IDE in het menu Hulpmiddelen / Seriële monitor. Door in het tekstveld bovenaan een nieuwe boodschap te typen en op Verzenden te klikken, wordt deze boodschap verzonden.

Op je Mac heb je ook een applicatie nodig: DataFetcher OFFetchReport. Download het bestand DataFetcher.zip van de nieuwste release op de GitHub-pagina bereikbaar via www.bit.ly/firmsource. Dit programma vereist de plug-in van OpenHaystack voor Apple Mail. Als je het programma start, vul je de acht hexadecimale cijfers van de modem-ID van je ESP32 in, iets als 6ecc7c95. Klik dan op Download data. De boodschap met message-ID 0 wordt dan geladen en je kunt de andere boodschappen ook inladen. Zie je <None> of vraagtekens, dan zijn nog niet alle bits van je boodschap aangekomen. Als er Apple-apparaten in de buurt zijn, duurt het doorgaans een minuut tot een half uur voordat je ze in DataFetcher ziet.

©PXimport

10 Een sensor op het Zoek mijn-netwerk

Het blogartikel van Positive Security waarin ze hun hack aankondigen, spreekt al over het gebruik van de techniek door kleine sensoren. Die kunnen dan in een omgeving zonder toegang tot mobiel internet toch hun sensordata uitsturen, zolang er maar Apple-apparaten in de buurt zijn. Op die manier kun je goedkope sensoren maken die lang op één batterij meegaan.

Maar de code van Positive Security was voor een ESP32, die nog altijd vrij veel energie verbruikt en niet zo compact is. Daarom hebben we de techniek voor andere hardware geprogrammeerd, namelijk de RuuviTag. Dit is een klein sensorbordje met sensoren voor de temperatuur, luchtvochtigheid, luchtdruk en beweging dat de sensordata via bluetooth verstuurt. Met de standaard firmware gaat het apparaatje meerdere jaren mee op een CR2477-batterij. Ons idee was om zelf firmware te programmeren en in ieder geval de temperatuur van de RuuviTag via het Zoek mijn-netwerk rond te sturen met de techniek van Positive Security.

©PXimport

11 Zephyr

De firmware hebben we geschreven in C en gebaseerd op het besturingssysteem Zephyr, dat ideaal is voor dit soort door batterij gevoede toepassingen. Volg de instructies om een Zephyr-ontwikkelomgeving te installeren. Dat kan op Windows, macOS en Linux.

We hebben onze code getest op de RuuviTag, maar je hebt ook een RuuviTag Development Kit nodig. Daarom hebben we ook een goedkopere oplossing getest, die er wel minder dan een afgewerkt product uitziet: een nRF52840-dongel van Nordic Semiconductor, waarop je een break-outbordje met BME280-sensor aansluit. Je kunt headers op de pingaten van de nRF52840-dongel solderen en dan met jumperdraden de sensor aansluiten. Of je soldeert de sensor rechtstreeks op de pingaten. SDA van de BME280 gaat naar pin 0.31 van de nRF52840-dongel, SCL naar pin 0.29, GND naar GND en VCC naar VDD.

©PXimport

Proof-of-concept

12 OpenHaystack voor Zephyr

Installeer eerst de OpenHaystack-module voor Zephyr. Dat kan (als je de Zephyr-ontwikkelomgeving in paragraaf 11 hebt geïnstalleerd) met de volgende opdrachten in de terminal:

west init -m https://github.com/koenvervloesem/openhaystack-zephyr --mr main zephyr-workspace

cd zephyr-workspace

west update

Als je gewoon je apparaatje wilt volgen via de OpenHaystack-applicatie, volg dan de instructies op de GitHub-pagina van openhaystack-zephyr.

13 Zend mijn sensor

Installeer nu de code voor Send My Sensor, de Zephyr-firmware die we op Send My hebben gebaseerd:

git clone https://github.com/koenvervloesem/send-my-sensor

cd send-my-sensor

Pas eerst in de code in app/src/main.c de variabele modem_id aan: vul hier een willekeurig getal van vier bytes in hexadecimale cijfers in, iets als 0x6ecc7c96.

Bouw dan de firmware voor de nRF52840-dongel met de opdracht:

west build -p auto -b nrf52840dongle_nrf52840 -s app

©PXimport

14 Installeer de firmware

Installeer nu het pakket nrfutil met:

pip3 install nrfutil

Maak dan een installeerbaar firmwarebestand met de opdracht:

nrfutil pkg generate --hw-version 52 --sd-req=0x00 --application build/zephyr/zephyr.hex --application-version 1 send-my-sensor.zip

Steek de dongel in de usb-poort van je computer, druk op het resetknopje (let op: dat is het knopje rechts van het witte knopje zoals te zien op afbeelding 11 en je drukt het vanaf de zijkant in) en flash de firmware met de opdracht:

nrfutil dfu usb-serial -pkg send-my-sensor.zip -p /dev/tty.usbserial-210

Kijk weer zoals in paragraaf 5 welk apparaatbestand je nodig hebt. Onder Linux gebruik je deze keer /dev/ttyACM0.

Als alles goed gaat, staat de firmware nu op je apparaatje en begint het via bluetooth signalen uit te sturen. Eerst een testboodschap en daarna de temperatuur gemeten door de BME280-sensor. Open de DataFetcher-applicatie op macOS, vul de modem-ID in die je in je apparaatje hebt geflasht en dan zou je de sensorwaardes moeten zien binnenkomen.

©PXimport

15 En verder

In een omgeving met weinig Apple-apparaten is deze manier van data doorsturen niet betrouwbaar. Pas als de signalen van je sensorbordje door talloze apparaten worden opgepikt en naar Apple worden doorgestuurd, kun je de sensordata in DataFetcher lezen. En als ook maar één bit uit een byte niet ontvangen wordt, is het overeenkomende teken onleesbaar en toont DataFetcher het als een vraagteken.

Afbeelding 14 was het resultaat van een test met de RuuviTag in onze broekzak terwijl we in een vol restaurant zaten. Je kunt er nog net uit afleiden dat het in mijn broekzak tussen de 29 en 31 graden was. Al met al is deze techniek dus nog een prototype, maar het toont wel aan dat je met wat creativiteit heel leuke dingen kunt doen met Apples Zoek mijn-netwerk.

Diensten als iCloud-foto’s en Google Foto’s zijn handig om je foto’s te back-uppen, beheren en delen. Alleen is de online opslagruimte beperkt. Ook je kijkt naar je privacy, zijn deze oplossingen niet altijd ideaal. Er zijn gelukkig gratis tools waarmee je bijna dezelfde ervaring hebt als bij deze online diensten. Je zet je foto’s niet in de cloud, maar gewoon op je eigen pc of NAS.

Er is weinig mis met de gespecialiseerde cloudopslagdiensten van Apple, Google, Microsoft (OneDrive) en Dropbox. Je kunt hiermee prima foto’s bewaren en delen. De tools zijn voor dit gebruik zelfs uitstekend, maar de opslagruimte is vaak beperkt en het blijven cloudoplossingen. Je bestanden staan dus ergens anders opgeslagen.

Overweeg je een alternatief om foto’s te synchroniseren zonder cloudopslag, dan zijn er meerdere opties, zoals Nextcloud (met de Photos-app), PhotoPrism, digiKam en Piwigo. Wij zijn gecharmeerd van de opensource-dienst Immich en Synology Photos, die je specifiek voor de Synology-NAS kunt gebruiken. Beide tools bieden functies als automatische fotoback-ups, album- en gebruikersbeheer, gezichtsherkenning, tijdlijnweergave, tagging, locatiegebaseerd zoeken, delen, raw-bestanden en toegang via een webinterface. Kortom, er is weinig in de cloudoplossingen dat je bij deze gratis tools niet vindt. We maken eerst kennis met Immich (uitgesproken als het Engelse ‘image’) en daarna met Synology Photos. We focussen ons hierbij op de installatie, de initiële configuratie en het basisgebruik.

Immich

Docker-installatie

Immich wordt frequent geüpdatet en is beschikbaar voor meerdere platformen. Wij gaan aan de slag met de installatie onder Windows. Dit doen we via het gratis Docker Desktop. Docker Desktop beheert containers, een soort lichte, afgescheiden virtuele omgevingen met alle benodigde apps, services en instellingen. Installeer de app met enkele muisklikken en start deze op (de eerste keer kun je op Accept en tweemaal op Skip klikken). Minimaliseer vervolgens het venster, maar laat de app actief.

Goed om te weten: je kunt Immich via Docker ook op je NAS installeren, wat hier ook wel Container Manager (Synology) of Container Station (QNAP) genoemd. In dit artikel gaan we hier alleen niet verder op in.

Docker Desktop heb je met een paar muisklikken geïnstalleerd en opgestart.

Voorbereiding

Immich installeren we dus als Docker-container. Eerst voer je enkele voorbereidingen uit. Open de verkenner en ga naar de map Linux (onderaan). Open vervolgens de submap docker-desktop en dan Home. Maak hier een map met jouw naam en daarbinnen de submap Docker. Binnen deze docker-map maak je de map Immich-app aan. Het pad wordt dus: \\wsl.localhost\docker-desktop\home\<je_naam>\docker\immich-app.

Creëer nu twee submappen in een andere map op een schijf met genoeg opslagruimte: Library en Postgres (bijvoorbeeld C:\Users\<je_accountnaam>\Docker\Immich\library).

Navigeer nu in de verkenner naar de map Immich-app. Houd de Shift-toets ingedrukt, klik met rechts op een lege plek en kies PowerShell-venster hier openen. Houd de verkenner geopend en ga via deze pagina naar de downloadsite. Klik bij Get docker-compose.yml file op het documenten-pictogram (Copy), plak dit in PowerShell met Ctrl+V en druk op Enter om het yml-bestand te downloaden. Herhaal dit voor het commando bij Get .env file, zodat zowel het yml-bestand als het env-bestand in de map Immich-app staan.

Open het env-bestand in een teksteditor, bijvoorbeeld Notepad++ of Kladblok, en pas de volgende variabelen aan:

Zorg ervoor dat de paden kloppen met jouw situatie en sla het aangepaste bestand op.

Voordat je de container installeert, moet je eerst enkele variabelen aanpassen in het env-bestand.

Installatie

Alles is nu klaar om de Docker-container met Immich te draaien. Ga terug naar de map Immich-app en voer het commando docker-compose up -d uit. Dit zorgt ervoor dat alle benodigde onderdelen worden gedownload en uitgevoerd. Na enkele minuten zie je in het Docker Desktop-venster, bij Containers, dat de vier Immich-onderdelen actief zijn. Test dit direct door Localhost:2283 op de adresbalk van je browser in te vullen. Dit is de standaardpoort waarop Immich draait; dit zie je bij Immich_server in het Docker-containeroverzicht. Als het nodig is, kun je het poortnummer aanpassen in het yml-bestand. Klik in de webinterface op Aan de slag om daadwerkelijk met Immich te starten.

Je kunt de containers op elk moment stoppen en starten vanuit Docker Desktop. Dit doe je in de rubriek Containers: selecteer Immich en druk op Stop of Start.

De vier containers zijn gestart en Immich is nu bereikbaar vanuit de webinterface.

Configuratie

Je begint met het aanmaken van een beheerdersaccount. Vul de gevraagde gegevens in en bevestig met Registreren. Log daarna in met het opgegeven e-mailadres en wachtwoord.

Klik in het welkomstvenster op Thema, kies Licht of Donker, en ga naar Privacy. Hier kun je de kaartfunctie inschakelen (om foto’s via coördinaten op een kaart te tonen) en de versiecontrole activeren (voor het ontvangen van updates).

Ga vervolgens naar Opslagtemplate en bepaal of je fotobestanden automatisch wilt ordenen op basis van metadata. Als dit ingeschakeld is, kun je bij Voorinstelling een structuur kiezen met een sjabloon. Kies bijvoorbeeld voor {{y}}-{{MMMM}}-{{dd}}/{{filename}}. Bevestig met Klaar.

Je kunt via een sjabloon je foto’s bewaren op basis van bepaalde metadata.

Basisgebruik

Links in de webinterface zie je een venster met onderdelen als Foto’s, Verkennen, Kaart, Delen, Favorieten, Albums en Gereedschap. Open Foto’s, klik op de plusknop en selecteer de gewenste fotobestanden. De geüploade foto’s verschijnen als miniaturen in een tijdlijn. Bovenaan zie je een zoekbalk met rechts een filterknop om media te selecteren op onder meer naam, plaats, camera, datum en type. Gebruik Uploaden (rechtsboven) om extra foto’s toe te voegen.

Selecteer een of meer foto’s. Rechtsboven verschijnen meerdere knoppen, zoals Toevoegen aan favorieten (voor de rubriek Favorieten) en een menu om de selectie te downloaden, archiveren, verwijderen, de datum of locatie te wijzigen, of miniaturen en metadata te vernieuwen.

Via Toevoegen aan kun je foto’s aan een album toevoegen. Klik op +Nieuw album om een album te maken dat je terugvindt in de rubriek Albums. Gebruik Verkennen in het linkervenster om foto’s gegroepeerd te zien op tijd, locatie of – via AI – op herkenbare objecten, gezichten of thema’s, zoals berglandschappen.

De webinterface van Immich heeft wel wat weg van Google Foto’s.

Back-ups en delen

Je vindt in de webinterface ook de optie Delen. Klik hierop, voeg een beschrijving toe en eventueel een wachtwoord. Geef aan of de ontvanger foto’s mag downloaden en/of uploaden. Stel hiervoor een verloopdatum in, bijvoorbeeld over 1 dag. Klik op Link maken om een link te genereren. Deze link is mogelijk http://localhost<…>, maar je kunt dit aanpassen naar het interne ip-adres van je Immich-server, of een extern adres dat vanaf internet bereikbaar is (zie tekstkader ‘Vanaf het internet’).

Wil je media delen met specifieke personen? Klik hiervoor rechtsboven op je accountpictogram en kies Beheer. Ga naar Gebruikers, klik op Gebruiker aanmaken, vul de gegevens in en bevestig. Bij het openen van een fotoselectie of album kun je dan via de deelknop direct de gewenste gebruiker(s) selecteren, zodat de media in hun webomgeving beschikbaar zijn.

Voor Android en iOS kun je de mobiele Immich-app installeren. Vul het ip-adres van je Immich-server in en meld je aan. Tik op de upload-knop, geef Immich de nodige machtigingen en kies Selecteer om aan te geven welke fotoalbums de app moet back-uppen naar je server. Zet Albums synchroniseren aan om dit te automatiseren en bevestig met Back-up uitvoeren.

Immich is ook beschikbaar als mobiele app, wat handig is voor (automatische) mediaback-ups.

Synology Photos

Voorbereiding

We gaan uit van een Synology-NAS (Network Attached Storage) die via een webinterface toegankelijk is. Verbind via je browser met de webinterface van DSM, het Synology-besturingssysteem.

Open nu eerst het Configuratiescherm, kies Gebruiker en groep, ga naar Geavanceerd en zorg dat Gebruiker basismap inschakelen is ingeschakeld (op het gewenste volume). Bevestig met Toepassen. Open daarna de app File Station, waar je ziet dat de mappen Home en Homes (met persoonlijke submappen voor elke NAS-gebruiker) zijn aangemaakt.

Ga vervolgens naar Package Center in het hoofdmenu. Als de app Synology Photos nog niet is geïnstalleerd, zoek dan naar de naam van deze app. Klik vervolgens op Installeren en daarna op Openen. Klik rechtsboven op je profielicoon, kies Instellingen en open het tabblad Gedeelde ruimte. Schakel eventueel Gedeelde ruimte in en bevestig met Opslaan. Gedeelde media worden nu standaard opgeslagen in de map \photo.

Het is even wennen, maar je persoonlijke media en je gedeelde media belanden voortaan in de daarvoor bestemde mappen.

Gedeelde media

Als je nu foto’s met bijvoorbeeld familieleden wilt delen die toegang hebben tot je NAS, volg dan deze stappen. Ga naar Configuratiescherm / Gebruiker en groep, open het tabblad Groep en klik op Maken. Geef een groepsnaam op (bijvoorbeeld Familie) en druk op Volgende. Selecteer de gewenste leden, druk drie keer op Volgende en vink Synology Photos in de kolom Toestaan aan. Bevestig met Volgende (tweemaal) en met Voltooid.

Open vervolgens de app Synology Photos. Bij Instellingen / Gedeelde ruimte klik je op Toegangsmachtigingen instellen. Selecteer de groep (Familie) en kies Volledige toegang in de uitklapmenu’s. Bevestig met de plusknop en klik op Opslaan. Zet daarna op het tabblad Gedeelde ruimte een vinkje bij zowel Gezichtsherkenning inschakelen in Gedeelde ruimte als Onderwerpherkenning inschakelen in Gedeelde ruimte. Bevestig met Opslaan.

Test de instellingen door een gebruiker uit de groep aan te melden op je NAS, bijvoorbeeld via een incognito-tabblad in je browser. Zodra deze gebruiker Synology Photos opent, kan ook hij media uploaden in zowel de persoonlijke ruimte als de gedeelde ruimte. Links bovenaan in het applicatievenster kun je tussen deze ruimtes schakelen. De inhoud van deze ruimtes kun je overigens ook op bestandsniveau beheren via de overeenkomstige mappen in File Station (althans als administrator).

Als lid van de groep Familie krijgt deze gebruiker meteen ook toegang tot de gedeelde ruimte.

Basisgebruik

We laten nu zien hoe je met fotoalbums werkt. Gebruik eerst de knop Filter tonen (rechtsboven) om filters te activeren en snel de gewenste foto’s te vinden. Selecteer vervolgens een reeks foto’s; er verschijnt een rode balk. Klik hier op de plus-knop Toevoegen aan album, kies +Nieuw album, vul een naam in en druk op OK. Ga naar Albums (tweede knop) in het applicatievenster. Hier kun je foto’s opvragen volgens Recent toegevoegd, Labels en Locaties en, indien eerder ingeschakeld, volgens Mensen (gezichtsherkenning) en Onderwerpen (objectherkenning). Je albums vind je hier ook. Met de plus-knop rechtsboven kun je hier nieuwe albums maken.

Ga met de muisaanwijzer boven een album staan; er verschijnt een knop met drie puntjes. Klik op Delen. Schakel Koppeling delen in en stel bij Privacy-instellingen in of het album Privé of Openbaar is (eventueel met downloadmachtiging). Bij Privé selecteer je bij Lijst van genodigden de gewenste gebruiker(s) of groep(en) en geef je de machtigingen aan: Weergave, Downloaden of Provider (beheerder). Je kunt ook een wachtwoord en vervaldatum instellen. Kopieer de link en bevestig met Opslaan.

Klik op Delen (derde knop) in het applicatievenster en kies Fotoverzoek. Klik op Fotoverzoek maken, vul een onderwerpsregel in, selecteer een bestemmingsmap en bevestig met Verzoek maken. Je hoeft nu alleen maar de link te sturen naar de mensen van wie je graag foto’s wilt ontvangen voor je collectie.

Goed om te weten: er is ook een mobiele app voor Android en iOS van Synology Photos met de functie Photo Backup. Daarmee synchroniseer je opgeslagen foto’s en video’s.

Je kiest zelf met wie je albums deelt en met welke machtigingen je dat doet.

De Denon AH-C500W-oortjes beloven vanwege de open pasvorm comfort en omgevingsbewustzijn. In de praktijk pakt dit concept echter minder goed uit. Het ontbreken van rubber oortips resulteert in een pasvorm die niet echt aansluit op de gehoorgang.

Het ontwerp van de Denon AH-C500W is volgens de fabrikant gericht op comfort; daarvoor heeft de fabrikant een zogenaamde 'open pasvorm' in het leven geroepen die niet diep in je gehoorgang zit. Hierdoor voelen de oordopjes licht aan en kun je ze lang zonder enige irritatie dragen. Bovendien blijf je goed in verbinding met je omgeving, omdat er geen ruisonderdrukking is en de dopjes zelf niets tegenhouden. Dat zijn allemaal mooie manieren van omdenken. De AH-C500W-dopjes hebben dan ook geen rubber tips die in je oren gaan en de boel afsluiten, maar vallen bij bewegingen daardoor ook makkelijk uit je oren.

De oordopjes beschikken over moderne technologie zoals bluetooth 5.3 met multipoint-connectiviteit, waardoor je met twee apparaten tegelijk kunt verbinden. De totale batterijduur bedraagt 24 uur, inclusief de oplaadcase. Dankzij de IPX4-classificatie zijn ze bestand tegen zweet en spatwater, maar gezien de vorm zijn ze niet echt geschikt voor sporters. De bediening verloopt via gevoelige aanraakoppervlakken op de oordopjes of via de gratis app. Verder hebben ze microfoons met beamforming voor heldere telefoongesprekken.

©Wesley Akkerman

Gladde oortjes

Aan de functionaliteit ligt het dus zeker niet. Denon zet daarmee in op een breed publiek. We vinden het alleen jammer dat de oortjes geen rubber tips hebben, want die helpen vaak bij het blijven zitten in de gehoorgang. We realiseren ons dat dit een persoonlijke voorkeur is; er zijn immers nog steeds mensen die liever gladde oordopjes hebben dan rubber of siliconen oortips die je dieper in je oor moet duwen. Maar als je lang haar hebt, je veel met je hoofd beweegt of de oordopjes met de hand (en niet via de app) bedient, is de kans groot dat je ze verplaatst of dat ze uit je oren vallen.

We vinden de bediening op de oortjes sowieso behoorlijk gevoelig, maar gelukkig kun je die uitschakelen via de gratis Denon Headphones-app. Dat hebben wij dan ook gedaan. We hebben ze regelmatig beter in onze oren moeten draaien, omdat ze niet bleven zitten, en hebben daardoor regelmatig onbedoeld functies geactiveerd. Bovendien beschikt de app over een vijfpunts equalizer. Heel handig, want daarmee verbeter je het geluid daadwerkelijk. Helaas kun je je eigen instellingen niet opslaan; als je terug wilt naar oude settings, dan moet je die handmatig invoeren.

©Wesley Akkerman

Het open karakter

Omdat de Denon AH-C500W een open karakter heeft, zijn ze lastig te vergelijken met oordopjes die wel beschikken over enige afsluiting. Maar dat is dan ook precies de bedoeling. Het is maar net wat je van een setje oortjes verlangt. En eerlijk is eerlijk: ze zijn zo licht dat je ze bijna niet voelt zitten. Door dit karakter klinkt de muziek heel helder, terwijl je ondertussen alles nog meekrijgt vanuit je omgeving. In het openbaar vervoer is dat een nachtmerrie, maar we denken niet dat Denon verwacht dat je ze overal gebruikt.

Verder is ons duidelijk dat de Denon AH-C500W flink wat kracht mist. Zonder equalizerinstellingen vallen de lagere tonen helemaal weg, waardoor je voornamelijk naar de vocalen en hogere segmenten luistert. Met de traditionele glimlachinstellingen van de equalizer (zie de screenshots verderop) trek je het middensegment verder weg van de audioweergave, maar geef je wel een flinke boost aan het onderste deel. Daardoor klinkt de muziek al wat aangenamer. Maar oordopjes met een betere afsluiting zullen in dit geval altijd beter klinken dan de AH-C500W.

©Wesley Akkerman

Open of gesloten?

Je zou de Denon AH-C500W daardoor beter kunnen vergelijken met oordopjes die je meer boven je gehoorgang plaatst – denk aan de Openfit 2+ van Shokz. Daar klinkt de soundstage daadwerkelijk warm, vol en gedetailleerd, en daar kunnen we de Denon-oortjes niet altijd op betrappen. Helemaal eerlijk is de vergelijking trouwens niet, omdat het producten uit twee technisch verschillende groepen zijn. Maar in onze beleving legt dit setje het af tegen oortjes met afsluiting en écht open oordoppen. Het is het net niet, zogezegd.

Daar speelt het ontwerp ook een grote rol in. De Denon AH-C500W's blijven minder goed zitten dan open modellen die je met een haakje om je oren bevestigt. Je bent ze bovendien voortdurend aan het bijdraaien om maar een goede pasvorm te vinden. Wellicht ligt dat deels aan de oren van ondergetekende, maar dat is nu eenmaal wel de ervaring. Ze doen bovendien sterk denken aan de AIrPods. En daardoor hebben we ook het idee dat Denon meer het Apple-publiek wil aanspreken. Een onbegonnen zaak, aangezien die mensen meestal al voorzien zijn.

©Wesley Akkerman

Denon AH-C500W kopen?

De Denon AH-C500W wil zichzelf met zijn open ontwerp neerzetten als een alternatieve keuze voor wie omgevingsbewust wil blijven. In de praktijk pakt dit concept echter minder goed uit. Het ontbreken van rubber oortips resulteert in een onrustige pasvorm, waardoor de oordopjes bij de minste beweging al dreigen uit te vallen. Deze constante noodzaak tot bijstellen leidt tot frustratie, mede door de overgevoelige aanraakbediening. Gelukkig kun je die via de app uitschakelen, maar dat verandert verder niets aan het idee dat ze niet echt lekker zitten.

Ook op audiogebied overtuigen de oortjes niet helemaal. Het open karakter levert een helder geluid op, maar de basweergave is ondermaats en vereist flinke aanpassingen via de equalizer, waarvan je de instellingen frustrerend genoeg niet kunt opslaan. De AH-C500W's vallen hierdoor in een lastig niemandsland: ze missen de geluidsisolatie en krachtige bas van afgesloten oordopjes en de stabiele pasvorm van échte open-ear modellen met oorhaken. Uiteindelijk voelen de oordopjes aan als een compromis dat op de belangrijkste vlakken helaas tekortschiet.