Chinaunix

标题: 千千静听泄露你的个人信息 [打印本页]

作者: pandalinux 时间: 2008-12-23 21:31
标题: 千千静听泄露你的个人信息
想必用千千的人应该不在少数, 最近我突然发现它在做歌词搜索的时候会把你的MAC地址和硬盘ID一同发回千千. 下边是抓的一些包

19 16.010562 192.168.1.67 220.181.3.58 HTTP GET /dll/lyricsvr.dll?svrlst&uid=03&mac=************&hds=WD-************ HTTP/1.1
22 16.051368 192.168.1.67 60.28.17.52 HTTP GET /dll/ttp_ver.asp?ver=5.3.0.1106&uid=03&mac=************&hds=WD-************&skn=54542D3037&ska=76697669 HTTP/1.1
24 16.396371 220.181.3.58 192.168.1.67 HTTP HTTP/1.1 200 OK  (text/html)
31 16.441376 60.28.17.52 192.168.1.67 HTTP HTTP/1.1 200 OK  (text/html)
42 16.833361 192.168.1.67 60.28.17.52 HTTP GET /dll/lyricsvr.dll?sh?Artist=68547067264F&Title=F66549513A67&Flags=0 HTTP/1.1
44 17.223420 60.28.17.52 192.168.1.67 HTTP HTTP/1.1 200 OK  (text/html)
52 23.429760 192.168.1.67 60.28.17.52 HTTP GET /dll/lyricsvr.dll?dl?Id=62015&Code=-72664432&uid=03&mac=************&hds=WD-************ HTTP/1.1
57 23.826797 60.28.17.52 192.168.1.67 HTTP HTTP/1.1 200 OK  (text/html)

我已经用防火墙过滤掉了真正的信息. 希望有条件和能力的人来验证我的说法.

千千版本: 5.3 beta

我已经通过官方论坛提出警告, 并要求作出解释:
http://bbs.qianqian.com/viewthread.php?tid=348095&extra=page%3D1

作者: mz198424 时间: 2008-12-23 21:55
要是真的的话
对千千可是个不小的冲击啊。。。

作者: anfield 时间: 2008-12-23 22:05
MAC地址说老实话只要通讯的另一方愿意的话，不用抓也能拿到了，关键是有什么其他的“软”信息也被“特别“的取过去了，才是风险。

作者: pandalinux 时间: 2008-12-23 23:48
这是我要求他们做出解释的原因, 他们在没有任何通知的情况下索取个人信息本来就是不应该. 是MAC地址是包含在TCP/IP的包里, 那硬盘ID怎么解释. 他们这么做很容易让人最他的安全产生怀疑.

作者: Godbach 时间: 2008-12-24 22:03
5.0上抓包，没有发现。

作者: pandalinux 时间: 2008-12-24 23:58
谢谢Godbach, 我已经向Mcafee, Symentec, 和CheckPoint报告了TTPLAYER的安全隐患. CheckPoint 表示会降低对它安全等级为Untrust

作者: pandalinux 时间: 2008-12-25 00:06
千千超级版主-纯白阴影的回应:

千千静听收集此数据是为了防止某些网站或者个人盗用本站的歌词资源，从而对服务器造成巨大压力，导致其他用户无法正常下载歌词

作者: old-cow 时间: 2008-12-26 13:33

原帖由 anfield 于 2008-12-23 22:05 发表
MAC地址说老实话只要通讯的另一方愿意的话，不用抓也能拿到了，关键是有什么其他的“软”信息也被“特别“的取过去了，才是风险。

是吗？你如何实现？能够跨网络获取MAC地址？

作者: mz198424 时间: 2008-12-27 00:21

原帖由 pandalinux 于 2008-12-25 00:06 发表
千千超级版主-纯白阴影的回应:

千千静听收集此数据是为了防止某些网站或者个人盗用本站的歌词资源，从而对服务器造成巨大压力，导致其他用户无法正常下载歌词

理由不太充分。。。

作者: pandalinux 时间: 2008-12-27 21:44
5.3正式版里把mac和hds去掉, 但增加了 ci=5659555a5c4d477373646a32492b345316101c026260685c532e512d204544141c464808425c5353011d01. 那个长字符串应该和原来的MAC有关, 但不知道是不是用的HASH, 谁能看出他们是怎么加密这些信息的, 有否是可逆的?

[ 本帖最后由 pandalinux 于 2008-12-27 13:45 编辑 ]

作者: mz198424 时间: 2008-12-28 23:37

原帖由 pandalinux 于 2008-12-27 21:44 发表
5.3正式版里把mac和hds去掉, 但增加了 ci=5659555a5c4d477373646a32492b345316101c026260685c532e512d204544141c464808425c5353011d01. 那个长字符串应该和原来的MAC有关, 但不知道是不是用的HASH, 谁能看出他们 ...

关注。

作者: swxlion 时间: 2009-01-06 14:53

原帖由 pandalinux 于 2008-12-27 21:44 发表
5.3正式版里把mac和hds去掉, 但增加了 ci=5659555a5c4d477373646a32492b345316101c026260685c532e512d204544141c464808425c5353011d01. 那个长字符串应该和原来的MAC有关, 但不知道是不是用的HASH, 谁能看出他们 ...

虽然不能成为合法的证据，但可以对芊芊静听逆向工程，反推其相关算法和代码。然后确认是否是获取有关信息后，加密传输。
记得相关法律说，为研究目的的逆向工程不构成违法或侵权。因此即使不能成为法庭证据，但对于让安全厂商降低对其的评级，应该也是足够的。

就芊芊静听软件自身的性质而言，它要解决这个问题完全可以寻求社区帮助，毕竟乐于回馈的达人还是有的，没有必要剑走偏锋。

[ 本帖最后由 swxlion 于 2009-1-6 14:57 编辑 ]

作者: heyufit1 时间: 2009-04-03 07:24
提示: 作者被禁止或删除内容自动屏蔽

作者: pandalinux 时间: 2009-04-03 08:32

原帖由 heyufit1 于 2009-4-2 23:24 发表
是真的，我刚才查了一下防火墙记录，又运行ttplayer并同时查看端口情况，是有这事情。已经决定把ttplayer卸载。

谢谢再次确认问题的所在, 等这一段时间忙过去, 我会对ttplayer做反汇编, 看看到底什么信息被加密返回

作者: yuanyuan025 时间: 2009-04-03 09:24
我想这可能跟泄露用户信息没有太大关系

作者: tony_list 时间: 2009-04-08 13:18
可以起诉

作者: pandalinux 时间: 2009-06-19 22:24
此事已经时隔半年, 千千始终没有对 "ci=" 作出任何解释. 但仍然出现在最新的5.5中. 在此半年中, 有人不断在我博客不断留不雅之言,好在此人水平太菜, 除了知道骂人外, 对软件和系统安全一点不懂. 他所有的留言也都被屏蔽.

我把自己制作的补丁, 和补丁之后的抓包记录放在自己的博客上. 希望对人有多帮助. 不过我还是建议不要继续使用千千, 今天他能偷你硬盘ID明天他也能偷你银行专户.

http://elian.co.uk/post/2009/06/19/TTPlayer-dll.aspx

作者: 人要重自己 时间: 2009-06-21 19:11
提示: 作者被禁止或删除内容自动屏蔽

作者: pandalinux 时间: 2009-06-22 18:04
建议你用WIRESHARK抓一下千千发出的包?

http://www.wireshark.org/

作者: aaaaa5aa 时间: 2009-06-22 20:44
不会吧，我改MAC

作者: FedoraAdmin 时间: 2009-10-07 21:17
学习了

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)