Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Muziek Spotify-concurrent van Google blijkt eenvoudig te rippen

Het rippen van muziek via de Android- en iOS-apps van Google Play All Access, de Spotify-concurrent van Google, blijkt eenvoudig. Door het verkeer van de telefoon te onderscheppen, kunnen afgespeelde nummers worden opgeslagen als mp3. Er wordt geen drm toegepast.

Voor het rippen van muziek is de iOS- of Android-app van Google Play All Access nodig. Daarnaast is het nodig om verkeer tussen de apps en de muziekservers van Google te onderscheppen, maar dat is eenvoudig: daarvoor kan vrij verkrijgbare software zoals CharlesProxy of WireShark worden gebruikt. De mogelijkheid is ontdekt door een ontwikkelaar die anoniem wil blijven; Tweakers heeft zijn bevindingen kunnen verifiëren. De web-interface is in theorie ook kwetsbaar, maar daarbij zijn alleen losse fragmenten te onderscheppen, die bijvoorbeeld met een script aan elkaar zouden moeten worden geplakt.

Wordt het verkeer eenmaal onderschept, dan ziet de gebruiker alle url's voorbij komen die door de All Access-app worden opgevraagd. Daaronder bevinden zich de url's van de nummers die worden gecached. Het gaat om mp3-bestanden die met een bitrate van 320Kbps zijn te downloaden. Er wordt geen kopieerbeveiliging toegepast. Zowel het nummer dat op dat moment wordt afgespeeld als het eerstvolgende nummer kan worden opgeslagen. Dat moet dan wel gebeuren vanaf het ip-adres waarvan ook de All Access-app wordt gebruikt. Ook moet de gebruiker over All Access beschikken: dat is de eerste maand gratis, maar kost daarna tien euro per maand.

De ontwikkelaar was niet specifiek op zoek naar de mogelijkheid om mp3's te downloaden, maar deed zijn ontdekking bij het inspecteren van het internetverkeer van de app. "Dat doe ik vaker, en vorige week kwam de All Access-app voor iOS uit", aldus de ontwikkelaar. "Ik zag gelijk: dit loopt gewoon via http, niet eens via https", zegt de onderzoeker. "Van een groot bedrijf als Google verwacht je dat het zijn zaken beter op orde heeft."

In mei ontwikkelde een Nederlander een Chrome-extensie waarmee gebruikers muziek van Spotify konden rippen. Net als bij de mobiele apps van All Access was muziek niet versleuteld. Spotify dichtte het gat binnen een dag. Bij de All Access-apps is dat moeilijker: eerst zullen de apps moeten worden aangepast zodat ze drm ondersteunen, voordat de mogelijkheid om mp3's te downloaden ongedaan kan worden gemaakt. Google is vrijdagmiddag op de hoogte gesteld van het probleem, maar was nog niet in staat om een reactie te geven.

Door

Redacteur

50 Linkedin Google+

Reacties (50)

Wijzig sortering
er is een hééél goede reden waarom er geen drm op die muziek staat ...

mobile power...
je mobiel speelt mp3 af via een chip (apic) die speciaal geprogrammeerd is om media te decoden en verbruikt daarom amper iets als hij mp3 afspeelt... dat kan hij dus lang volhouden.

bij DRM komt er ineens encryptie aan te pas, en moet de CPU een hoop werk gaan verrichten; dat kost een hele hoop meer power dan gewoon mp3 laten decoden door de apic en het gevolg is dat je misschien maar de helft aan batterijtijd over houdt. Dat in combinatie met het feit dat deze dienst ook al via 3G werkt en daar dus ook al batterij snoept zou het dus een zeer batterij vretende dienst kunnen worden met drm erbij en dat zou de populariteit van de dienst wel eens serieus in de weg kunnen staan... ik ben blij dat het nu zonder drm werkt, en dat de aangekochte liedjes ook drm-vrij zijn. als het via https gaat werken zal het ook al weer meer batterij gaan vreten en jah, misschien had men de audio in 1 continue-stream moeten laten komen zodat er geen afzonderlijke files te downloaden zijn bij het afluisteren van radios...

maar ontwikkel jij dan eens een systeem waarin je losse liedjes kan luisteren én waarbij je de batterij van de mobiel niet meteen leegzuigt door allerhande encryptie?

gewoon downloaden met of zonder een vpn tunnel geeft ook al een redelijk verschil, zeker bij de minder krachtige telefoons.. en google wil niet alleen dat de S4's, de ONE's en de andere topmodellen er gebruik van kunnen maken.

voor mij werkte het altijd goed én vlot en de batterij ging nog redelijk goed mee, ook over 3G. Op men netbookje werkt alles wel achter https enzo (webinterface) en daar merk je dat het spel wat meer cpu power nodig heeft...

ik hoop dat de fix niet inhoudt dat ik op m'n smartphone binnenkort nog maar de helft kan luisteren voordat hij plat is wegens allerhande encryptielagen zoals drm...
Maakt het echt uit dat een paar no-lifers kunnen zien wat je luistert? Als in de eerste plaats je internet verkeer al afgetapt wordt.
Als ze nou inlog gegevens van je Google account zouden onderscheppen dan is het een ander geval natuurlijk nu gaat het alleen om muziek fragmenten.
Maakt het echt uit dat een paar no-lifers kunnen zien wat je luistert?
Ja.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*