Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Help Tweakers verbeteren

Ben je op zoek naar een baan in de IT? Help ons dan mee de website van Tweakers te verbeteren en geef je op voor ons onderzoek in Amsterdam. Het duurt een uurtje en als dank ontvang je een VVV bon van 40 Euro. Reis-/parkeerkosten worden ook vergoed. We sturen je een bericht als je geselecteerd bent.

Aanmelden

Muziek Spotify-concurrent van Google blijkt eenvoudig te rippen

Het rippen van muziek via de Android- en iOS-apps van Google Play All Access, de Spotify-concurrent van Google, blijkt eenvoudig. Door het verkeer van de telefoon te onderscheppen, kunnen afgespeelde nummers worden opgeslagen als mp3. Er wordt geen drm toegepast.

Voor het rippen van muziek is de iOS- of Android-app van Google Play All Access nodig. Daarnaast is het nodig om verkeer tussen de apps en de muziekservers van Google te onderscheppen, maar dat is eenvoudig: daarvoor kan vrij verkrijgbare software zoals CharlesProxy of WireShark worden gebruikt. De mogelijkheid is ontdekt door een ontwikkelaar die anoniem wil blijven; Tweakers heeft zijn bevindingen kunnen verifiëren. De web-interface is in theorie ook kwetsbaar, maar daarbij zijn alleen losse fragmenten te onderscheppen, die bijvoorbeeld met een script aan elkaar zouden moeten worden geplakt.

Wordt het verkeer eenmaal onderschept, dan ziet de gebruiker alle url's voorbij komen die door de All Access-app worden opgevraagd. Daaronder bevinden zich de url's van de nummers die worden gecached. Het gaat om mp3-bestanden die met een bitrate van 320Kbps zijn te downloaden. Er wordt geen kopieerbeveiliging toegepast. Zowel het nummer dat op dat moment wordt afgespeeld als het eerstvolgende nummer kan worden opgeslagen. Dat moet dan wel gebeuren vanaf het ip-adres waarvan ook de All Access-app wordt gebruikt. Ook moet de gebruiker over All Access beschikken: dat is de eerste maand gratis, maar kost daarna tien euro per maand.

De ontwikkelaar was niet specifiek op zoek naar de mogelijkheid om mp3's te downloaden, maar deed zijn ontdekking bij het inspecteren van het internetverkeer van de app. "Dat doe ik vaker, en vorige week kwam de All Access-app voor iOS uit", aldus de ontwikkelaar. "Ik zag gelijk: dit loopt gewoon via http, niet eens via https", zegt de onderzoeker. "Van een groot bedrijf als Google verwacht je dat het zijn zaken beter op orde heeft."

In mei ontwikkelde een Nederlander een Chrome-extensie waarmee gebruikers muziek van Spotify konden rippen. Net als bij de mobiele apps van All Access was muziek niet versleuteld. Spotify dichtte het gat binnen een dag. Bij de All Access-apps is dat moeilijker: eerst zullen de apps moeten worden aangepast zodat ze drm ondersteunen, voordat de mogelijkheid om mp3's te downloaden ongedaan kan worden gemaakt. Google is vrijdagmiddag op de hoogte gesteld van het probleem, maar was nog niet in staat om een reactie te geven.

Door Joost Schellevis

Redacteur

23-11-2013 • 07:01

50 Linkedin Google+

Reacties (50)

Wijzig sortering

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True