千千静听泄露你的个人信息

pandalinux

想必用千千的人应该不在少数, 最近我突然发现它在做歌词搜索的时候会把你的MAC地址和硬盘ID一同发回千千. 下边是抓的一些包\r\n\r\n19    16.010562    192.168.1.67    220.181.3.58    HTTP    GET /dll/lyricsvr.dll?svrlst&uid=03&mac=************&hds=WD-************ HTTP/1.1\r\n22    16.051368    192.168.1.67    60.28.17.52    HTTP    GET /dll/ttp_ver.asp?ver=5.3.0.1106&uid=03&mac=************&hds=WD-************&skn=54542D3037&ska=76697669 HTTP/1.1\r\n24    16.396371    220.181.3.58    192.168.1.67    HTTP    HTTP/1.1 200 OK  (text/html)\r\n31    16.441376    60.28.17.52    192.168.1.67    HTTP    HTTP/1.1 200 OK  (text/html)\r\n42    16.833361    192.168.1.67    60.28.17.52    HTTP    GET /dll/lyricsvr.dll?sh?Artist=68547067264F&Title=F66549513A67&Flags=0 HTTP/1.1\r\n44    17.223420    60.28.17.52    192.168.1.67    HTTP    HTTP/1.1 200 OK  (text/html)\r\n52    23.429760    192.168.1.67    60.28.17.52    HTTP    GET /dll/lyricsvr.dll?dl?Id=62015&Code=-72664432&uid=03&mac=************&hds=WD-************ HTTP/1.1\r\n57    23.826797    60.28.17.52    192.168.1.67    HTTP    HTTP/1.1 200 OK  (text/html)\r\n\r\n我已经用防火墙过滤掉了真正的信息. 希望有条件和能力的人来验证我的说法. \r\n\r\n千千版本: 5.3 beta\r\n\r\n我已经通过官方论坛提出警告, 并要求作出解释:\r\nhttp://bbs.qianqian.com/viewthread.php?tid=348095&extra=page%3D1

mz198424

要是真的的话\r\n对千千可是个不小的冲击啊。。。

anfield

MAC地址说老实话只要通讯的另一方愿意的话，不用抓也能拿到了，关键是有什么其他的“软”信息也被“特别“的取过去了，才是风险。

pandalinux

这是我要求他们做出解释的原因, 他们在没有任何通知的情况下索取个人信息本来就是不应该. 是MAC地址是包含在TCP/IP的包里, 那硬盘ID怎么解释. 他们这么做很容易让人最他的安全产生怀疑.

Godbach

5.0上抓包，没有发现。

pandalinux

谢谢Godbach, 我已经向Mcafee, Symentec, 和CheckPoint报告了TTPLAYER的安全隐患. CheckPoint 表示会降低对它安全等级为Untrust

pandalinux

千千 超级版主-纯白阴影 的回应:\r\n\r\n千千静听收集此数据是为了防止某些网站或者个人盗用本站的歌词资源，从而对服务器造成巨大压力，导致其他用户无法正常下载歌词

pandalinux

5.3正式版里把mac和hds去掉, 但增加了 ci=5659555a5c4d477373646a32492b345316101c026260685c532e512d204544141c464808425c5353011d01. 那个长字符串应该和原来的MAC有关, 但不知道是不是用的HASH, 谁能看出他们是怎么加密这些信息的, 有否是可逆的?\n\n[ 本帖最后由 pandalinux 于 2008-12-27 13:45 编辑 ]

yuanyuan025

我想这可能跟泄露用户信息没有太大关系