Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties
Submitter: Rafe

Het blijkt mogelijk om via de webinterface van Media Player Classic - Home Cinema foto's van een computer binnen hetzelfde netwerk te stelen. Om dat te kunnen doen, moet de WebUI-functie in MPC-HC wel aanstaan.

De WebUI-functie wordt door veel Android- en iOS-apps als api gebruikt om toegang te krijgen tot afstandsbedieningsfuncties voor MPC-HC binnen een lokaal netwerk. Het lek werd ontdekt door een schrijver van het Tumblr-blog 3vildata die de broncode van MPC-HC doornam om beter te worden in het lezen van C++.

Als de WebUI-functie aanstaat, luistert de mediaspeler via de externe interfaces van de machine waar het programma op draait naar input. De webinterface is een krachtige tool: het is bijvoorbeeld mogelijk om een simpele bestandsverkenner te openen, het volume te regelen of de computer geheel uit te schakelen. Via de interface kunnen door MPC-HC ondersteunde bestanden geopend worden. Omdat er geen authenticatie nodig is om de webinterface te bedienen, kan een kwaadwillende grappen uithalen, zoals een video laten afspelen door binnen hetzelfde netwerk de mediaspeler aan te sturen via de cli.

mpc-hcmpc-hc

De schrijver van het artikel merkt op dat dit hooguit voor flauwigheden gebruikt kan worden door bijvoorbeeld een netwerkschijf aan het netwerk te hangen en zo ongewilde video's af te spelen. Het is misschien vervelend dat dit mogelijk is, maar het is niet mogelijk externe inhoud te wijzigen en alleen de door MPC-HC ondersteunde bestandsformaten kunnen door de browser geopend worden.

Het blijkt echter mogelijk om screenshots te maken én te exporteren naar een andere machine via een functie met de naam OnSnapshotJpeg() op line 806 in WebClientSocket.cpp. Via de functie kan een snapshot gemaakt worden van wat op dat moment wordt weergegeven in MPC-HC. Op deze manier is het mogelijk om via MPC-HC plaatjes te openen en ze te downloaden als /snapshot.jpg. Een simpel proof-of-concept-script laat zien hoe dit bijvoorbeeld zou kunnen.

De exploit werd door de auteur al op 5 mei van dit jaar gemeld aan het team van MPC-HC, maar ondanks de snelle reactie en de hoogste prioriteit, is er volgens de auteur nog niets gebeurd om het probleem op te lossen. De ontwikkelaars zeggen dat het team te weinig mankracht heeft om beter naar het probleem te kijken. De informatie was sinds de melding al publiekelijk beschikbaar in de bugtracker van MPC-HC, wat de auteur deed besluiten er een blogpost aan te wijden. Misbruik is makkelijk te voorkomen door de webinterfacetoegang niet aan te vinken buiten een vertrouwd netwerk.

Moderatie-faq Wijzig weergave

Reacties (26)

Ik zie vrij weinig reden om deze snapshot feature in de WebUI te houden, zeker omdat het in de WebUI niet beschikbaar was. Ik ben een van de ontwikkelaars van dit project, dus ik zal kijken of ik het team kan overtuigen deze feature te verwijderen.

UPDATE: Deze feature werd wel degelijk gebruikt, het is deel van het speler interface dat bereikbaar is in de WebUI.

UPDATE 2: Even dieper op ingekeken, deze "exploit" is dus al sinds minstens 2006 een feature van het webinterface. Je kan het speler interface te zien krijgen met een langzaam verversend beeld van wat er op de speler te zien is. We zullen een privacy optie toevoegen waardoor standaard deze feature uitgeschakeld is.

[Reactie gewijzigd door Armada651 op 4 augustus 2015 00:24]

Misschien een idee voor een quick fix:
Maak een vinkje in de settings waarbij je de screenshot functie uit kunt zetten. Zet hierbij de melding dat foto's kunnen lekken en je hebt een voorlopige fix.

Een idee voor een permanente fix zou iets van authenticatie zijn. Een random string voor het screenshot moet al kunnen. (Yeybjodewhku.jpg ipv screenshot.jpg)
Ik begrijp niet wat het probleem is. De gebruiker heeft vanaf een andere computer in de juiste omstandigheden namelijk gewoon toegang tot c:\users\pictures. Het zelfde resultaat kan gewoon via reguliere weg worden gereprocuceerd.
Ben benieuwd of deze bug ook in MPC-BE zit, de versie die ik nu standaard gebruik in Windows 10, met name omdat het een veel mooier zwarte UI heeft. Verder zou het voor 99% identiek aan MPC-HC moeten zijn.
Je zou zoals de huidige ontdekker de source kunnen downloaden, en vergelijken.
Ik neem aan dat als hij dezelfde basis gebruikt, en 'alleen' het uiterlijk aangepast heeft, dan zal dezelfde bug/exploit er inzitten
Volgens mij is er in de video gesleuteld aan de windows security settings alvorens het misbruiken van de WebUI-functie....
Je bedoelt dat hij de poort open heeft gezet in Windows Firewall? Dat zou kunnen, maar dat heeft de gebruiker dus al gedaan op het moment dat hij de WebUI gebruikt.
Hi. No tinkering with the Windows security setting was required, when you enable the WebUI the listener binds to a port and it becomes externally available. The machine is a Win 7, fully patched with default security settings, i.e. what most users will have. Cheers!

(sorry, I don't know Dutch :)
Dit lijkt me lastig te dicht te timmeren zonder functionaliteit te schrappen.

Je wilt een player die gemakkelijk remote te besturen is, een password op de webUI zou een optie zijn, maar is net zo makkelijk te sniffen op een intern netwerk.

Daarnaast wil je dat de player media van je interne netwerk af kan spelen (bijvoorbeeld films op je NAS)

De screenshotfunctie is ook handig voor (remote) apps die bijvoorbeeld een kleine preview willen tonen van wat er op dat moment speelt.

Het wordt een ander verhaal als deze poort naar buiten open staat, of automatisch via UPNP gemapt wordt. Maar dat lijkt me niet het geval.
Daarnaast wil je dat de player media van je interne netwerk af kan spelen (bijvoorbeeld films op je NAS)
Dat staat compleet los van de remote UI voor de speler. DLNA streaming is v.z.i.w. niet in MPC-HC ondersteund, maar een gewone networkshare (SMB, of in Win7+ ook NFS) werkt goed hoor.
Goed om te weten. Gebruik zelf de speler voor al mijn films en series. Gelukkig web UI uitstaan. Ben benieuwd hoe snel er een patch is en mensen ook echt even updaten. Hopelijk snel.
WebUI staat standaard uit. Het probleem is verder niet zo groot zo lang je de WebUI enkel binnen het eigen netwerk gebruikt.
Ik ken niemand die de WebUI gebruikt, laat staan weet dat die feature bestaat en het handmatig aanzet. "Exploit" en het filmpje vind ik echt veel te ver gaan.
Volgensmij is dit geen exploit maar gewoon een bedoelde functie van de WebUI, het doet toch precies wat het moet doen..
Zijn er zoveel gebruikers van deze software dan?
"exploit"
Dit is toch gewoon iets waar men niet aan gedacht heeft? Ik zie hier toch geen exploit in...
(Dit is een echte exploit)

[Reactie gewijzigd door lampstoelkast op 3 augustus 2015 11:20]

Exploit is de technische term, het is een probleem wat meer KAN veroorzaken.
Dat het niet kritisch is ( tenzij je de betreffende UI ook via de externe verbinding kan benaderen ) wil niet zeggen dat het geen probleem is.

Ik kan me indenken dat het een probleem kan zijn als je je laptop op het bedrijfsnetwerk aangemeld hebt, en de collega's kunnen jouw privefoto's inkijken ;)
Ik kan me indenken dat het een probleem kan zijn als je je laptop op het bedrijfsnetwerk aangemeld hebt, en de collega's kunnen jouw privefoto's inkijken ;)
Je laptop ? Op het bedrijfsnetwerk.?! En privefoto's die onbeschermd op die laptop staan ?
Dan moet je maar hebben ook; ik zou ze meteen rondsturen als ik ze vond ;)
Vast wel, maar in een BYOD omgeving kan dat prima voorkomen,

En rondsturen ...
Tja, sommige mensen hebben het ethische gedrag van een puber, en gaan direct rondsturen .., dat is een mindset die meer over jou zegt, dan over het hebben van prive-gegevens op een eigen laptop.
Zichtbare foto's op een laptop aan een bedrijfsnetwerk. En dat zegt mij dan weer wat. ;)
Een exploit is een stukje code, data of commando's die worden gebruikt om een kwetsbaarheid in andere software of hardware uit te buiten.

[Reactie gewijzigd door SeelenSchmerz op 3 augustus 2015 12:07]

En wat houdt jou tegen om een stukje code te schrijven die Google doorzoekt op de web ui, alle bestanden af te gaan en screen shots ervan te downloaden?
Nouja de vraag is eigenlijk meer of dit een "flaw" is of dat het gewoon een "feature" is. Het is nou niet dat de beveiliging word misleid ofzo, er worden functies die de WebUI gebruikt en that's it basicly. De oplossing voor dit zou meer zijn dat ze authenticatie zullen moeten toevoegen zodat je er niet meer zo bij kan.
Exploits ontstaan toch JUIST doordat ontwikkelaars niet overal aan denken?
Als iemand aan andermans prive data kan komen lijkt mij dat wel degelijk een serieus probleem!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True