Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Muziek Spotify-concurrent van Google blijkt eenvoudig te rippen

Het rippen van muziek via de Android- en iOS-apps van Google Play All Access, de Spotify-concurrent van Google, blijkt eenvoudig. Door het verkeer van de telefoon te onderscheppen, kunnen afgespeelde nummers worden opgeslagen als mp3. Er wordt geen drm toegepast.

Voor het rippen van muziek is de iOS- of Android-app van Google Play All Access nodig. Daarnaast is het nodig om verkeer tussen de apps en de muziekservers van Google te onderscheppen, maar dat is eenvoudig: daarvoor kan vrij verkrijgbare software zoals CharlesProxy of WireShark worden gebruikt. De mogelijkheid is ontdekt door een ontwikkelaar die anoniem wil blijven; Tweakers heeft zijn bevindingen kunnen verifiëren. De web-interface is in theorie ook kwetsbaar, maar daarbij zijn alleen losse fragmenten te onderscheppen, die bijvoorbeeld met een script aan elkaar zouden moeten worden geplakt.

Wordt het verkeer eenmaal onderschept, dan ziet de gebruiker alle url's voorbij komen die door de All Access-app worden opgevraagd. Daaronder bevinden zich de url's van de nummers die worden gecached. Het gaat om mp3-bestanden die met een bitrate van 320Kbps zijn te downloaden. Er wordt geen kopieerbeveiliging toegepast. Zowel het nummer dat op dat moment wordt afgespeeld als het eerstvolgende nummer kan worden opgeslagen. Dat moet dan wel gebeuren vanaf het ip-adres waarvan ook de All Access-app wordt gebruikt. Ook moet de gebruiker over All Access beschikken: dat is de eerste maand gratis, maar kost daarna tien euro per maand.

De ontwikkelaar was niet specifiek op zoek naar de mogelijkheid om mp3's te downloaden, maar deed zijn ontdekking bij het inspecteren van het internetverkeer van de app. "Dat doe ik vaker, en vorige week kwam de All Access-app voor iOS uit", aldus de ontwikkelaar. "Ik zag gelijk: dit loopt gewoon via http, niet eens via https", zegt de onderzoeker. "Van een groot bedrijf als Google verwacht je dat het zijn zaken beter op orde heeft."

In mei ontwikkelde een Nederlander een Chrome-extensie waarmee gebruikers muziek van Spotify konden rippen. Net als bij de mobiele apps van All Access was muziek niet versleuteld. Spotify dichtte het gat binnen een dag. Bij de All Access-apps is dat moeilijker: eerst zullen de apps moeten worden aangepast zodat ze drm ondersteunen, voordat de mogelijkheid om mp3's te downloaden ongedaan kan worden gemaakt. Google is vrijdagmiddag op de hoogte gesteld van het probleem, maar was nog niet in staat om een reactie te geven.

Door Joost Schellevis

Redacteur

23-11-2013 • 07:01

50 Linkedin Google+

Reacties (50)

Wijzig sortering
Wat mij verbaast, is de toch al paranoïde platenmaatschappijen hierover geen eisen stellen aan hun tussenhandelaren tijdens de comtractvorming. Ze zijn zo gericht op geld verdienen aan hun eigendom en ze gaan ver om dat eigendom te behoeden voor piraterij, en dan regelen ze dit (juridisch?) niet af met een tussenhandelaar?

Vreemd....
Zolang muziek uit de speakers komt is het te rippen. Dat het nu eenvoudig is om deze te download is "kwalijk" maar aan de andere kant. Men kan zolang er geluid uit de speakers komt de muziek rippen.

Vroeger in de oude tijd met een cassettedeck, daarna deed ik altijd de Output en de Mic poort lussen. Rond windows 95 kwam er de mogelijkheid om interne audio op te nemen. En dat laatste kan tegenwoordig gewoon volledig digitaal 5.1 kanaals.

Dus of het bestand nu 1 op 1 te downloaden is, of gewoon te rippen van de audo stream, maakt allemaal niks uit.
Via de Spotify api kun je zelfs gewoon een mp3 URL opvragen.. Het is toch logisch dat als iets uit je speakers komt dat het te rippen is...
Voor de mensen die zich afvragen hoe je de url kan filteren uit het verkeer. Laat het verkeer van je telefoon via een hotspot van de pc lopen en gebruik met Wireshark de filter:
http contains "GET /videoplayback"

Wel lekker omslachtig om zo muziek te downloaden. Er zijn makkelijkere manieren om aan mp3 te komen.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True