Exploit in WebUI Media Player Classic geeft toegang tot privéfoto's

Het blijkt mogelijk om via de webinterface van Media Player Classic - Home Cinema foto's van een computer binnen hetzelfde netwerk te stelen. Om dat te kunnen doen, moet de WebUI-functie in MPC-HC wel aanstaan.

De WebUI-functie wordt door veel Android- en iOS-apps als api gebruikt om toegang te krijgen tot afstandsbedieningsfuncties voor MPC-HC binnen een lokaal netwerk. Het lek werd ontdekt door een schrijver van het Tumblr-blog 3vildata die de broncode van MPC-HC doornam om beter te worden in het lezen van C++.

Als de WebUI-functie aanstaat, luistert de mediaspeler via de externe interfaces van de machine waar het programma op draait naar input. De webinterface is een krachtige tool: het is bijvoorbeeld mogelijk om een simpele bestandsverkenner te openen, het volume te regelen of de computer geheel uit te schakelen. Via de interface kunnen door MPC-HC ondersteunde bestanden geopend worden. Omdat er geen authenticatie nodig is om de webinterface te bedienen, kan een kwaadwillende grappen uithalen, zoals een video laten afspelen door binnen hetzelfde netwerk de mediaspeler aan te sturen via de cli.

mpc-hcmpc-hc

De schrijver van het artikel merkt op dat dit hooguit voor flauwigheden gebruikt kan worden door bijvoorbeeld een netwerkschijf aan het netwerk te hangen en zo ongewilde video's af te spelen. Het is misschien vervelend dat dit mogelijk is, maar het is niet mogelijk externe inhoud te wijzigen en alleen de door MPC-HC ondersteunde bestandsformaten kunnen door de browser geopend worden.

Het blijkt echter mogelijk om screenshots te maken én te exporteren naar een andere machine via een functie met de naam OnSnapshotJpeg() op line 806 in WebClientSocket.cpp. Via de functie kan een snapshot gemaakt worden van wat op dat moment wordt weergegeven in MPC-HC. Op deze manier is het mogelijk om via MPC-HC plaatjes te openen en ze te downloaden als /snapshot.jpg. Een simpel proof-of-concept-script laat zien hoe dit bijvoorbeeld zou kunnen.

De exploit werd door de auteur al op 5 mei van dit jaar gemeld aan het team van MPC-HC, maar ondanks de snelle reactie en de hoogste prioriteit, is er volgens de auteur nog niets gebeurd om het probleem op te lossen. De ontwikkelaars zeggen dat het team te weinig mankracht heeft om beter naar het probleem te kijken. De informatie was sinds de melding al publiekelijk beschikbaar in de bugtracker van MPC-HC, wat de auteur deed besluiten er een blogpost aan te wijden. Misbruik is makkelijk te voorkomen door de webinterfacetoegang niet aan te vinken buiten een vertrouwd netwerk.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 03-08-2015 11:14
26 • submitter: Rafe

03-08-2015 • 11:14

26

Submitter: Rafe

Lees meer

Media Player Classic - Home Cinema

geen prijs bekend

4.5 van 5 sterren
Lek in Truecaller-app gaf toegang tot gegevens van miljoenen Android-gebruikers
Lek in Truecaller-app gaf toegang tot gegevens van miljoenen Android-gebruikers Nieuws van 29 maart 2016
Android-lek laat malafide apps toestel volledig overnemen
Android-lek laat malafide apps toestel volledig overnemen Nieuws van 11 augustus 2015
Ontwikkelaars halen Notepad++ weg bij SourceForge
Ontwikkelaars halen Notepad++ weg bij SourceForge Nieuws van 15 juni 2015
SourceForge stopt met adware bij verlaten projecten
SourceForge stopt met adware bij verlaten projecten Nieuws van 2 juni 2015
Lek in OS X maakt onder meer Xcode, iCloud, iMovie, Office en Dropbox kwetsbaar
Lek in OS X maakt onder meer Xcode, iCloud, iMovie, Office en Dropbox kwetsbaar Nieuws van 20 maart 2015
VLC-ontwikkelaars brengen omvangrijke update uit
VLC-ontwikkelaars brengen omvangrijke update uit Nieuws van 28 februari 2015
'Volgende VLC-versie bevat Chromecast-ondersteuning'
'Volgende VLC-versie bevat Chromecast-ondersteuning' Nieuws van 17 februari 2015
VLC plaatst app opnieuw in App Store
VLC plaatst app opnieuw in App Store Nieuws van 17 februari 2015
Gebruikers Windows Phone kunnen voor het eerst VLC downloaden
Gebruikers Windows Phone kunnen voor het eerst VLC downloaden Nieuws van 5 januari 2015
Php.net-malware benutte lekken in Flash, IE, Java, Silverlight en VLC
Php.net-malware benutte lekken in Flash, IE, Java, Silverlight en VLC Nieuws van 25 oktober 2013
Meer producten en artikelen
Netwerk en systeembeheer Design en multimedia

Reacties (26)

-Moderatie-faq
26
26
23
1
0
0
Wijzig sortering
Armada651 3 augustus 2015 12:59
Ik zie vrij weinig reden om deze snapshot feature in de WebUI te houden, zeker omdat het in de WebUI niet beschikbaar was. Ik ben een van de ontwikkelaars van dit project, dus ik zal kijken of ik het team kan overtuigen deze feature te verwijderen.

UPDATE: Deze feature werd wel degelijk gebruikt, het is deel van het speler interface dat bereikbaar is in de WebUI.

UPDATE 2: Even dieper op ingekeken, deze "exploit" is dus al sinds minstens 2006 een feature van het webinterface. Je kan het speler interface te zien krijgen met een langzaam verversend beeld van wat er op de speler te zien is. We zullen een privacy optie toevoegen waardoor standaard deze feature uitgeschakeld is.

[Reactie gewijzigd door Armada651 op 25 juli 2024 16:37]

Tim_bots @Armada6513 augustus 2015 16:19
Misschien een idee voor een quick fix:
Maak een vinkje in de settings waarbij je de screenshot functie uit kunt zetten. Zet hierbij de melding dat foto's kunnen lekken en je hebt een voorlopige fix.

Een idee voor een permanente fix zou iets van authenticatie zijn. Een random string voor het screenshot moet al kunnen. (Yeybjodewhku.jpg ipv screenshot.jpg)
donderdraak @Armada6513 augustus 2015 23:20
Ik begrijp niet wat het probleem is. De gebruiker heeft vanaf een andere computer in de juiste omstandigheden namelijk gewoon toegang tot c:\users\pictures. Het zelfde resultaat kan gewoon via reguliere weg worden gereprocuceerd.
Jazco2nd
3 augustus 2015 11:36
Ben benieuwd of deze bug ook in MPC-BE zit, de versie die ik nu standaard gebruik in Windows 10, met name omdat het een veel mooier zwarte UI heeft. Verder zou het voor 99% identiek aan MPC-HC moeten zijn.
FreshMaker @Jazco2nd3 augustus 2015 12:02
Je zou zoals de huidige ontdekker de source kunnen downloaden, en vergelijken.
Ik neem aan dat als hij dezelfde basis gebruikt, en 'alleen' het uiterlijk aangepast heeft, dan zal dezelfde bug/exploit er inzitten
Armada651 @Jazco2nd3 augustus 2015 13:26
Dezelfde snapshot feature zit in MPC-BE.
donderdraak 3 augustus 2015 13:26
Volgens mij is er in de video gesleuteld aan de windows security settings alvorens het misbruiken van de WebUI-functie....
Verwijderd @donderdraak3 augustus 2015 13:46
Je bedoelt dat hij de poort open heeft gezet in Windows Firewall? Dat zou kunnen, maar dat heeft de gebruiker dus al gedaan op het moment dat hij de WebUI gebruikt.
Verwijderd @donderdraak5 augustus 2015 13:50
Hi. No tinkering with the Windows security setting was required, when you enable the WebUI the listener binds to a port and it becomes externally available. The machine is a Win 7, fully patched with default security settings, i.e. what most users will have. Cheers!

(sorry, I don't know Dutch :)
Jimbolino 3 augustus 2015 13:27
Dit lijkt me lastig te dicht te timmeren zonder functionaliteit te schrappen.

Je wilt een player die gemakkelijk remote te besturen is, een password op de webUI zou een optie zijn, maar is net zo makkelijk te sniffen op een intern netwerk.

Daarnaast wil je dat de player media van je interne netwerk af kan spelen (bijvoorbeeld films op je NAS)

De screenshotfunctie is ook handig voor (remote) apps die bijvoorbeeld een kleine preview willen tonen van wat er op dat moment speelt.

Het wordt een ander verhaal als deze poort naar buiten open staat, of automatisch via UPNP gemapt wordt. Maar dat lijkt me niet het geval.
R4gnax @Jimbolino3 augustus 2015 19:15
Daarnaast wil je dat de player media van je interne netwerk af kan spelen (bijvoorbeeld films op je NAS)
Dat staat compleet los van de remote UI voor de speler. DLNA streaming is v.z.i.w. niet in MPC-HC ondersteund, maar een gewone networkshare (SMB, of in Win7+ ook NFS) werkt goed hoor.
Verwijderd 3 augustus 2015 11:19
Goed om te weten. Gebruik zelf de speler voor al mijn films en series. Gelukkig web UI uitstaan. Ben benieuwd hoe snel er een patch is en mensen ook echt even updaten. Hopelijk snel.
Verwijderd 3 augustus 2015 13:00
WebUI staat standaard uit. Het probleem is verder niet zo groot zo lang je de WebUI enkel binnen het eigen netwerk gebruikt.
Jazco2nd
3 augustus 2015 13:21
Ik ken niemand die de WebUI gebruikt, laat staan weet dat die feature bestaat en het handmatig aanzet. "Exploit" en het filmpje vind ik echt veel te ver gaan.
SuperDre 3 augustus 2015 13:30
Volgensmij is dit geen exploit maar gewoon een bedoelde functie van de WebUI, het doet toch precies wat het moet doen..
Martinspire 3 augustus 2015 19:27
Zijn er zoveel gebruikers van deze software dan?
Verwijderd 3 augustus 2015 11:18
"exploit"
Dit is toch gewoon iets waar men niet aan gedacht heeft? Ik zie hier toch geen exploit in...
(Dit is een echte exploit)

[Reactie gewijzigd door Verwijderd op 25 juli 2024 16:37]

FreshMaker @Verwijderd3 augustus 2015 11:25
Exploit is de technische term, het is een probleem wat meer KAN veroorzaken.
Dat het niet kritisch is ( tenzij je de betreffende UI ook via de externe verbinding kan benaderen ) wil niet zeggen dat het geen probleem is.

Ik kan me indenken dat het een probleem kan zijn als je je laptop op het bedrijfsnetwerk aangemeld hebt, en de collega's kunnen jouw privefoto's inkijken ;)
stresstak @FreshMaker3 augustus 2015 17:03
Ik kan me indenken dat het een probleem kan zijn als je je laptop op het bedrijfsnetwerk aangemeld hebt, en de collega's kunnen jouw privefoto's inkijken ;)
Je laptop ? Op het bedrijfsnetwerk.?! En privefoto's die onbeschermd op die laptop staan ?
Dan moet je maar hebben ook; ik zou ze meteen rondsturen als ik ze vond ;)
FreshMaker @stresstak3 augustus 2015 21:47
Vast wel, maar in een BYOD omgeving kan dat prima voorkomen,

En rondsturen ...
Tja, sommige mensen hebben het ethische gedrag van een puber, en gaan direct rondsturen .., dat is een mindset die meer over jou zegt, dan over het hebben van prive-gegevens op een eigen laptop.
stresstak @FreshMaker3 augustus 2015 22:14
Zichtbare foto's op een laptop aan een bedrijfsnetwerk. En dat zegt mij dan weer wat. ;)
SeelenSchmerz @FreshMaker3 augustus 2015 11:55
Een exploit is een stukje code, data of commando's die worden gebruikt om een kwetsbaarheid in andere software of hardware uit te buiten.

[Reactie gewijzigd door SeelenSchmerz op 25 juli 2024 16:37]

Ramon @SeelenSchmerz3 augustus 2015 12:08
En wat houdt jou tegen om een stukje code te schrijven die Google doorzoekt op de web ui, alle bestanden af te gaan en screen shots ervan te downloaden?
FreshMaker @SeelenSchmerz3 augustus 2015 11:57
I know, thnx ....
Rutix @FreshMaker3 augustus 2015 11:58
Nouja de vraag is eigenlijk meer of dit een "flaw" is of dat het gewoon een "feature" is. Het is nou niet dat de beveiliging word misleid ofzo, er worden functies die de WebUI gebruikt en that's it basicly. De oplossing voor dit zou meer zijn dat ze authenticatie zullen moeten toevoegen zodat je er niet meer zo bij kan.
mddd @Verwijderd3 augustus 2015 11:21
Exploits ontstaan toch JUIST doordat ontwikkelaars niet overal aan denken?
Als iemand aan andermans prive data kan komen lijkt mij dat wel degelijk een serieus probleem!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq