Muziek Spotify-concurrent van Google blijkt eenvoudig te rippen

Het rippen van muziek via de Android- en iOS-apps van Google Play All Access, de Spotify-concurrent van Google, blijkt eenvoudig. Door het verkeer van de telefoon te onderscheppen, kunnen afgespeelde nummers worden opgeslagen als mp3. Er wordt geen drm toegepast.

Voor het rippen van muziek is de iOS- of Android-app van Google Play All Access nodig. Daarnaast is het nodig om verkeer tussen de apps en de muziekservers van Google te onderscheppen, maar dat is eenvoudig: daarvoor kan vrij verkrijgbare software zoals CharlesProxy of WireShark worden gebruikt. De mogelijkheid is ontdekt door een ontwikkelaar die anoniem wil blijven; Tweakers heeft zijn bevindingen kunnen verifiëren. De web-interface is in theorie ook kwetsbaar, maar daarbij zijn alleen losse fragmenten te onderscheppen, die bijvoorbeeld met een script aan elkaar zouden moeten worden geplakt.

Wordt het verkeer eenmaal onderschept, dan ziet de gebruiker alle url's voorbij komen die door de All Access-app worden opgevraagd. Daaronder bevinden zich de url's van de nummers die worden gecached. Het gaat om mp3-bestanden die met een bitrate van 320Kbps zijn te downloaden. Er wordt geen kopieerbeveiliging toegepast. Zowel het nummer dat op dat moment wordt afgespeeld als het eerstvolgende nummer kan worden opgeslagen. Dat moet dan wel gebeuren vanaf het ip-adres waarvan ook de All Access-app wordt gebruikt. Ook moet de gebruiker over All Access beschikken: dat is de eerste maand gratis, maar kost daarna tien euro per maand.

De ontwikkelaar was niet specifiek op zoek naar de mogelijkheid om mp3's te downloaden, maar deed zijn ontdekking bij het inspecteren van het internetverkeer van de app. "Dat doe ik vaker, en vorige week kwam de All Access-app voor iOS uit", aldus de ontwikkelaar. "Ik zag gelijk: dit loopt gewoon via http, niet eens via https", zegt de onderzoeker. "Van een groot bedrijf als Google verwacht je dat het zijn zaken beter op orde heeft."

In mei ontwikkelde een Nederlander een Chrome-extensie waarmee gebruikers muziek van Spotify konden rippen. Net als bij de mobiele apps van All Access was muziek niet versleuteld. Spotify dichtte het gat binnen een dag. Bij de All Access-apps is dat moeilijker: eerst zullen de apps moeten worden aangepast zodat ze drm ondersteunen, voordat de mogelijkheid om mp3's te downloaden ongedaan kan worden gemaakt. Google is vrijdagmiddag op de hoogte gesteld van het probleem, maar was nog niet in staat om een reactie te geven.

google all access

IT-banen

Reacties (50)

OldSchoolPhoto 23 november 2013 07:12

Wat mij verbaast, is de toch al paranoïde platenmaatschappijen hierover geen eisen stellen aan hun tussenhandelaren tijdens de comtractvorming. Ze zijn zo gericht op geld verdienen aan hun eigendom en ze gaan ver om dat eigendom te behoeden voor piraterij, en dan regelen ze dit (juridisch?) niet af met een tussenhandelaar?

Vreemd....

Vexxon @OldSchoolPhoto • 23 november 2013 07:35

Maar de platenmaatschappijen hebben daze app dan ook niet gemaakt, dat heeft Google gedaan. Ik vermoed dat ze hier ook niet blij mee zijn. Google heeft hier wel een vrij kinderlijke fout gemaakt.

m4ikel @Vexxon • 23 november 2013 17:26

Zolang muziek uit de speakers komt is het te rippen. Dat het nu eenvoudig is om deze te download is "kwalijk" maar aan de andere kant. Men kan zolang er geluid uit de speakers komt de muziek rippen.

Vroeger in de oude tijd met een cassettedeck, daarna deed ik altijd de Output en de Mic poort lussen. Rond windows 95 kwam er de mogelijkheid om interne audio op te nemen. En dat laatste kan tegenwoordig gewoon volledig digitaal 5.1 kanaals.

Dus of het bestand nu 1 op 1 te downloaden is, of gewoon te rippen van de audo stream, maakt allemaal niks uit.

_Thanatos_ @Vexxon • 23 november 2013 22:03

Waarom? Muziek van een CD is ook kinderlijk eenvoudig te rippen... Waarom zou dat online anders moeten zijn?

RGAT @Vexxon • 23 november 2013 07:42

Tja als een website downloads aanbiedt worden er miljarden geeist, dus als Google hun content aanbiedt en via een wel heel erge beginnersfout vrijwel letterlijk ook een downloadsite heeft gemaakt...

We Are Borg Moderator Wonen & Mobiliteit / General Chat @OldSchoolPhoto • 23 november 2013 09:23

Hoe concludeer jij dat hier geen eisen zijn gemaakt door de content leveranciers? Kans is veel groter dat dat wel is gebeurd. Eigenlijk is de kans dat dit niet goed afgesproken is vrijwel niet bestaand. Google heeft gewoon een technische fout die opgelost moet worden.

OldSchoolPhoto @We Are Borg • 23 november 2013 17:38

Het is idd een aanname, geen conclusie, normaal zou je toch tests eisen en de resultaten (onafhankelijk) laten toetsen om zo je kapitaal zeker te stellen? Desnoods laat je je eigen tech/audit club het eerst certificeren voordat je toestemming geeft je eigen intellectueel eigendom ermee te laten verspreiden (verhandelen).

B64

@We Are Borg • 23 november 2013 23:40

Ongetwijfeld hebben ze eisen gesteld. Maar blijkbaar hebben ze niet ge-eist dat de content met DRM beveiligd zou zijn, terwijl dat dat de deur openzet voor lokale kopieën (zie de ervaring met Spotify). Gezien de paranoia van die bedrijven is dat toch wel verbazingwekkend.

bogy @B64 • 24 november 2013 17:37

er is een hééél goede reden waarom er geen drm op die muziek staat ...

mobile power...
je mobiel speelt mp3 af via een chip (apic) die speciaal geprogrammeerd is om media te decoden en verbruikt daarom amper iets als hij mp3 afspeelt... dat kan hij dus lang volhouden.

bij DRM komt er ineens encryptie aan te pas, en moet de CPU een hoop werk gaan verrichten; dat kost een hele hoop meer power dan gewoon mp3 laten decoden door de apic en het gevolg is dat je misschien maar de helft aan batterijtijd over houdt. Dat in combinatie met het feit dat deze dienst ook al via 3G werkt en daar dus ook al batterij snoept zou het dus een zeer batterij vretende dienst kunnen worden met drm erbij en dat zou de populariteit van de dienst wel eens serieus in de weg kunnen staan... ik ben blij dat het nu zonder drm werkt, en dat de aangekochte liedjes ook drm-vrij zijn. als het via https gaat werken zal het ook al weer meer batterij gaan vreten en jah, misschien had men de audio in 1 continue-stream moeten laten komen zodat er geen afzonderlijke files te downloaden zijn bij het afluisteren van radios...

maar ontwikkel jij dan eens een systeem waarin je losse liedjes kan luisteren én waarbij je de batterij van de mobiel niet meteen leegzuigt door allerhande encryptie?

gewoon downloaden met of zonder een vpn tunnel geeft ook al een redelijk verschil, zeker bij de minder krachtige telefoons.. en google wil niet alleen dat de S4's, de ONE's en de andere topmodellen er gebruik van kunnen maken.

voor mij werkte het altijd goed én vlot en de batterij ging nog redelijk goed mee, ook over 3G. Op men netbookje werkt alles wel achter https enzo (webinterface) en daar merk je dat het spel wat meer cpu power nodig heeft...

ik hoop dat de fix niet inhoudt dat ik op m'n smartphone binnenkort nog maar de helft kan luisteren voordat hij plat is wegens allerhande encryptielagen zoals drm...

BamSlam_

@OldSchoolPhoto • 23 november 2013 07:49

Lijkt me vrij stug dat platenmaatschappijen daarover niet moeilijk doen. Ik heb een grote Nederlandse videoverhuursite mee helpen opzetten en kan me herinneren dat er filmmaatschappijen waren die een lange vragenlijst stuurden m.b.t. de beveiliging van hun films. En dan ging het niet alleen over encryptie tijdens het streamen naar de gebruiker thuis toe, maar ook over de beveiliging van de opslag op de servers en veilig opbergen van mastertapes en authoriseren van personen die daar toegang toe hebben.

jvd-nl @OldSchoolPhoto • 23 november 2013 10:13

Waarom zou je als platenmaatschappij hier eisen aan stellen? Je neemt een abonnement op Play omdat je het gemakkelijk vind en niet omdat je de intentie hebt om te rippen (dan neem je wil een usenet abo). Dat gemak is dan ook precies de toegevoegde waarde van deze diensten.

jegelie @OldSchoolPhoto • 23 november 2013 18:30

De platenbazen hebben er alle baat bij dat digitale streaming mislukt, zodat ze kunnen blijven vasthouden aan hun archaïsche rigide hardware verkoop strategie!
Ik voel in ieder geval een "zie je nu wel" van hun kant aankomen.

WeeJeWel

23 november 2013 10:10

Via de Spotify api kun je zelfs gewoon een mp3 URL opvragen.. Het is toch logisch dat als iets uit je speakers komt dat het te rippen is...

Anoniem: 382732 @WeeJeWel • 23 november 2013 12:01

Ja en nee. Het maakt nogal wat uit of je de audiostream captured (en dan handmatig tags moet toevoegen) of dat je een complete mp3 file inclusief tags kunt onderscheppen. Voor 1 track kan de eerste mogelijkheid nog wel, maar voor honderden tracks is dat alleen maar leuk als je werkelijk niets anders te doen hebt.

WeeJeWel

@Anoniem: 382732 • 23 november 2013 12:28

Wat ik dus zei.. via libspotify kun je:

- De mp3 url downloaden
- De metadata opvragen

Dus een scriptje die massaal tracks omzet naar een mp3 met goede ID3 tags is binnen een uurtje gemaakt..

Anoniem: 415197 @WeeJeWel • 23 november 2013 14:35

Zijn die mp3's niet gewatermerkt met jouw id?

D2D_Christiaan 23 november 2013 11:37

Voor de mensen die zich afvragen hoe je de url kan filteren uit het verkeer. Laat het verkeer van je telefoon via een hotspot van de pc lopen en gebruik met Wireshark de filter:
http contains "GET /videoplayback"

Wel lekker omslachtig om zo muziek te downloaden. Er zijn makkelijkere manieren om aan mp3 te komen.

ch4rl3m4gn3 @D2D_Christiaan • 23 november 2013 14:18

Daarom vindt ik het ook niet zo schokkend. Ik dacht juist dat mensen Spotify of Google Music namen omdat je dan zelf geen grote collectie muziek meer hoeft te beheren (en dus ook niet te backuppen) en bij elkaar te zoeken. Waarom zou je voor een mp3tje zoveel moeite doen? Mensen die muziek willen hebben (en niet betalen) kunnen ook wel bij torrentsites of nieuwsgroepen terecht en dan hebben ze de muziek vaak ook nog in betere kwaliteit (Flac).

Fuzzillogic 23 november 2013 15:27

Vreemder vind ik dat ze het inmiddels eigenlijk achterhaalde, maar nog steeds patent-beperkte MP3 gebruiken, ipv het veel efficiëntere en open Opus of zelfs Vorbis wat ze ook in hun eigen WebM-formaat gebruiken. Wat is daar de reden van?

[Reactie gewijzigd door Fuzzillogic op 27 juli 2024 16:58]

ch4rl3m4gn3 @Fuzzillogic • 23 november 2013 16:12

Misschien de platenmaatschappijen? Ik weet niet hoe Google de muziek 'aangeleverd' krijgt, misschien is dat wel in mp3-formaat.

Fuzzillogic @ch4rl3m4gn3 • 23 november 2013 17:11

Zou kunnen, en van platenmaatschappijen verwacht ik inderdaad dat ze nog in vorige eeuw leven, maar ik zou toch verwachten dat google voldoende kracht heeft om een lossless formaat te eisen, zodat ze zelf de compressie regelen. Dat laatste is toch wel zo prettig voor op mobiel. Onderweg streamen van niet-gecachte muziek kan dan in 64kibit/s Opus gaan, thuis op LAN zelfs lossless, indien bandbreedte het toelaat.

_Thanatos_ @Fuzzillogic • 23 november 2013 22:06

Ik denk dat Google deze keer minder sterk staat dan wat meestal het geval is. De grote platenlabels zijn GROOT. Ze hebben de afgelopen 20 jaar de consument keihard in hun reet weten te boren met al die DRM onzin en nieuwerwetse services die ze tegenhielden of afbraken. Waarom Google ook niet even meepakken?

Trokken 23 november 2013 21:26

"Ik zag gelijk: dit loopt gewoon via http, niet eens via https", zegt de onderzoeker. "Van een groot bedrijf als Google verwacht je dat het zijn zaken beter op orde heeft."

Ik snap niet helemaal wat het probleem hier is. Dat iemand die je internetverkeer aftapt kan zien wat voor muziek je luistert?
Of dat mp3's zonder betaling gedownload kunnen worden.

Dat laatste is helemaal onzinnig aangezien er veel makkelijkere manieren zijn om mp3'tjes te rippen. Daarnaast geldt voor alle online content dat het geript kan worden er moet immers een overdracht zijn naar het scherm /de speakers, met een simpele geluidrecorder kan je elke beveiliging omzeilen. Daarnaast is het ook nog eens zo dat de gebruiker van all access er sowieso al betaald heeft voor de muziek.

HTTPS + andere DRM vormen inzetten zorgt alleen maar voor een slechtere gebruikerservaring, er is immers meer overhead en dit zorgt dat je meer MB's gebruikt tijdens het luisteren.

Fuzzillogic @Trokken • 23 november 2013 22:43

Hoe precies gaat HTTPS voor een slechtere gebruikerservaring zorgen? Ik zou het eigenlijk toch wel graag hebben, dat verkeer standaard encrypted is. Ook welke muziek ik luister gaat niemand wat aan.

joho @Fuzzillogic • 23 november 2013 23:54

Het massaal encrypten door Google kost rekenkracht en energie dus geld, en hetzelfde geldt voor het decrypten op de mobiele device, en daar is processorkracht en batterijgebruik, zeker als je langduring muziek speelt een beperking. Ik denk dat google ook 'gewone' (langzame/oude) apparaten wil ondersteunen.

Fuzzillogic @joho • 24 november 2013 00:39

Die paar megabyte per track is peanuts voor een hedendaagse mobiele cpu. Als je privacy je al niet eens die paar seconden accuduur waard is...

Trokken @Fuzzillogic • 24 november 2013 16:29

Maakt het echt uit dat een paar no-lifers kunnen zien wat je luistert? Als in de eerste plaats je internet verkeer al afgetapt wordt.
Als ze nou inlog gegevens van je Google account zouden onderscheppen dan is het een ander geval natuurlijk nu gaat het alleen om muziek fragmenten.

Fuzzillogic @Trokken • 24 november 2013 17:00

Maakt het echt uit dat een paar no-lifers kunnen zien wat je luistert?

Ja.

Syzzer 23 november 2013 10:16

Fijn toch, een aanbieder die de boel simpel houdt en geen DRM doet? Is dit niet wat iedereen voorstelt als er nieuws rondom auteursrechtenorganisaties geplaatst wordt? Voor een betaalbare prijs je muziek zonder gedoe kunnen luisteren. Laten we dan niet gaan doen alsof dat een fout is, maar aanprijzen dat er aanbieders zijn die inzien dat als je voor een schappelijke prijs content eenvoudig beschikbaar maakt je ook gewoon geld kunt verdienen.

Auteur

Joost @Syzzer • 23 november 2013 10:18

Fijn toch, een aanbieder die de boel simpel houdt en geen DRM doet? Is dit niet wat iedereen voorstelt als er nieuws rondom auteursrechtenorganisaties geplaatst wordt? Voor een betaalbare prijs je muziek zonder gedoe kunnen luisteren.

Bij een streamingdienst betaal je niet voor het krijgen van muzieknummers, maar voor het tijdelijk kunnen streamen van die nummers. Het permanent kunnen opslaan van die nummers is niet iets waar een platenmaatschappij dan blij mee zal zijn.

Grrrrrene

@Joost • 23 november 2013 11:05

Maar het is niet alsof drm niet te omzeilen is. Net zoals deze methode is het niet eenvoudig voor een leek om aan de URL's te komen. Contentaanbieders en -makers moeten accepteren dat het onmogelijk is iets (foto, video, muziek) weer te geven op een computer zonder dat het 1:1 gekopiëerd kan worden.

Anoniem: 169091 23 november 2013 10:49

Ik had ook al het vermoeden dat het om normale MP3's gaat. In de play store is een app te downloaden die de een UPnP knop toevoegt aan de originele music app. Hiermee kan ik de muziek afspelen op mijn HTPC met OpenELEC/XBMC, welke al direct meldt dat het om een mp3 gaat.

Naast het onderscheppen van het verkeer is het dus waarschijnlijk ook mogelijk de mp3's op te slaan met een app die zich voordoet als een UPnP player, maar eigenlijk de stream gewoon opslaat.

GurbieV

@Anoniem: 169091 • 23 november 2013 16:43

Welke app is dat?

Anoniem: 169091 @GurbieV • 23 november 2013 17:21

Deze app:
https://play.google.com/s...ft.android.upnpcast&hl=en

Standaard max 20 minuten, maar voor een paar euro kun je hem unlocken. Ik zou echter wel wachten met betalen totdat duidelijk is of er wel/geen DRM wordt toegevoegd.

Cyberpuppy 23 november 2013 10:57

Ik snap de discussie niet helemaal. Alle muziek/video is altijd te rippen. Tenslotte zal je systeem ergens een keer de originele data moeten krijgen om weer te kunnen geven. Met bijv. ReplayMusic kun je dit geautomatiseerd doen en maakt hij er meteen ook nog mooie albums en tracknummers van.

Je hebt er verder weinig aan want je onderschept de stream. Oftewel het rippen gaat even snel als het afspelen van een nummer. Dus tegen de tijd dat je de volledige tracklist van google hebt getrokken zit je al lang in een bejaardentehuis.

Ik betaal graag voor content vanwege het gemak (Netflix, Spotify), maar gebruik ook ReplayMusic voor Spotify. Simpel omdat Spotify geen gezinsabonnement aanbied. Hierdoor zou ik in mijn situatie voor elk device een volledig abonnement moeten nemen. Dat komt neer op € 50,- per maand voor 4 gezinsleden en dat is me toch wel iets te gortig. Netflix snapt het wel en heeft dit goed geregeld.

CobraVE 23 november 2013 11:31

Alle muziekdiensten zijn eenvoudig te rippen zolang je een stukje software hebt wat opneemt wat er over de boxen gaat. Niets speciaals.

BertAtHome 23 november 2013 11:58

Persoonlijk ben ik al lang blij dat ik voor een redelijk maandbedrag onbeperkt music kan ontdekken en luisteren. Deze mensen maken er een sport van om ge licenceerde content te rippen. Dit kun je alleen maar ontmoedigen door geen DRM toe te passen.

Op dit item kan niet meer gereageerd worden.

Muziek Spotify-concurrent van Google blijkt eenvoudig te rippen

Lees meer

IT-banen

Reacties (50)

Sorteer op:

Weergave: