Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Fout in Adobe Flash maakt opslaan beveiligde videostream kinderspel

Een ontwerpfout in de communicatie tussen de Flash-server en de client-software maakt het simpel om met speciale software een 'beveiligde' videostream op te nemen en te kopiŽren, zo meldt Reuters.

Adobe FlashHet blijkt dat de Flash-videoserver niet de videostream naar de clientsoftware versleutelt. Slechts de commando's voor het starten en stoppen van een videostream worden beveiligd, volgens Reuters. Daardoor kunnen met speciale opnamesoftware, zoals de door Reuters gebruikte Replay Media Catcher, gehele films van onder meer Amazons on-demand videodienst - die gebruikmaakt van Adobe-software - worden opgenomen en gekopieerd.

Bij Amazons on-demand videodienst kunnen gebruikers de eerste twee minuten van een film of tv-serie gratis kijken. Daarna pauzeert de client en moet de gebruiker eerst betalen om de rest te kunnen zien. De Flash-videoserver gaat op de achtergrond echter gewoon door met het streamen van de videocontent naar de client-software. Op deze manier kan het kijken snel worden hervat wanneer de gebruiker eenmaal heeft betaald.

Speciale opnamesoftware, zoals de software die Reuters gebruikte, kan de niet-versleutelde videostream echter gemakkelijk opnemen en toonbaar maken voor de gebruiker, zonder dat hij eerst betaalt. Dat kost Amazon de 3,99 dollar die het bedrijf rekent voor het huren van een film, of de 14,95 dollar die voor het permanente afspeelrecht van een film moet worden betaald. Ook bij gratis on-demand videodiensten zoals Hulu, en bij de videocontentdiensten van NBC en CBS, zorgt de fout in de Flash-software voor problemen, omdat de capturesoftware de reclame-uitingen uit de videostream kan filteren. Hierdoor komt het bedrijfsmodel van deze ondernemingen op losse schroeven te staan.

Het is niet bekend wat Adobe aan dit beveiligingslek gaat doen. Bill Dettering, topman van Applian Technologies, de maker van Replay Media Catcher, verwacht dat Adobe snel de fout zal herstellen. "Ik verwacht zeker dat Adobe in de nabije toekomst met een robuustere beveiliging zal komen", aldus Dettering.

Door Pieter Molenaar

29-09-2008 • 08:59

34 Linkedin Google+

Reacties (34)

Wijzig sortering
Wellicht draaien ze een oudere versie van Flash Media Server bij Amazon, en hebben ze hun huiswerk zelf niet helemaal goed gedaan?

"In the previous versions of FMS, utilizing a Secure Socket Layer (SSL) was the only way to encrypt your data stream, resulting in a noticeably slower connection. [...] The new RTMPE protocol in Flash Media Server 3 secures the channel with 128-bit encryption between the client and the server without the performance hit found with SSL, and without the need for a certificate. Providing real-time, high-capacity encryption with RTMPE and simple access controls with SWF verification eliminates the need of a complex DRM solution." (bron)
Speciale opnamesoftware
Lees: http client
Streaming video van flash wordt 'normaal' gesproken niet via HTTP verkeer gestreamed maar via hun eigen protocol. Het kan wel via HTTP, maar dat is vaak een fallback.

Ik wil trouwens wel zeggen dat er hier twee problemen besproken worden. Een is het opnemen van de stream, wat mogelijk is omdat de stream niet encrypted is. En een hele grove fout van amazon, en dat is de stream door te laten lopen ook al is er niet betaald voor de content.

De fout van amazon is eigenlijk niet goed te praten. Ik snap dat je 'snel' door wilt kunnen streamen, maar de hele film streamen als er niet voor is betaald is gewoon een gigantisch grote fout in the architectuur.

Ook al zou je het opnemen kunnen stoppen door de stream te encrypten, dan heb je nog het probleem dat de stream doorloopt en de 'stop' dus bij de client zit. Als dit dus niet gefixed wordt dan zou je de player kunnen kraken en alsnog de film gratis kunnen bekijken.

(dat gezegt, het hele video-encrypten is een beetje nutteloos gezien de client decrypt en deze decrypt dus makkelijk in video-record software gebouwt zou kunnen worden)
De fout hier, is dat de stream niet encrypt is, de volledige stream!

Alleen de player krijg na 2/3 minuten het commando om te stoppen met tonen.
Die stopt netjes, waardoor de gebruiker niet verder kan kijken. Wat fout gaat is dat die stream onderwater gewoon doorgaat (unencrypted). Hierdoor kan een programma die de stream oppikt gewoon doorgaan en uiteindelijk de hele film opslaan.

Als de stream pas na de 2/3 minuten encrypt wordt, dan zal de speler het daar ook moeilijk mee krijgen. Hoe kan hij een bestand gedeeltelijk met encryptie laten werken? Lijkt me vrij moeilijk. En het probleem met de hele stream encrypten is dat de key dan al bij de client bekend is.
Krijgen ze het voor elkaar om de stream gedeeltelijk te encrypten, dan nog zal het vrij makkelijk zijn, aangezien de eerste frame berekend kan worden en zo de stream herleidt kan worden.

Neemt niet weg dat het een grove fout is dat de stream doorgaat. Zullen de belgen leuk vinden als ze enkele filmpjes kijken, maar vergeten de client te stoppen. Zitten ze opeens aan hun downloadlimiet ;)
Denk OV-chip. Dit is een wedloop en de monitor zal dus na een jaar gehackt worden. Wat is dan de vervolgstap? Brompot heeft hier aleen al mee gelijk.

Het is een psychologische uitdaging, niet een technische. Muziek en film zijn emotie en emotie verkoop je niet hetzelfde als een blik soep uit de supermarkt. Zodra er een afhankelijkheid is van het product (net zoals in het geval van geld-tekort om voedsel te kopen), is het gevoel van "recht hebben op" anders (lees: moeilijker beinvloedbaar met wetten). Een mens geeft zichzelf recht op emotie en daarom kan tussen een individu en zijn/haar emotie geen kassa geplaatst worden. De grote vraag: heeft muziek/film een "emotionele waarde" of een "emotionele waarde-toevoeging"? In het tweede geval zou DRM nameijk wel werken.

Ik heb ideeen zoals iedereen, maar zo lang de grote bedrijven de discusie binnen de muren houden, zal het nog niet snel tot een goede oplossing komen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True