Trojaner im Plugin Airplayer?

    Hallo zusammen.
    Ich bin ein mittlerweile ehemaliger Nutzer des hier mittlerweile gesperrten Plugins Airplayer. Dass hier kein Support mehr für dieses mittlerweile pseudokostenpflichtige Plugin geleistet wird sehe ich ein und respektiere ich. Mir ist lediglich ein Sicherheitsaspekt im Plugin aufgefallen, der angesprochen werden sollte.


    Ich nutze das plugin und durch Zufall (Recherche in meiner Firewall-Log) ist mir aufgefallen, das meine Dreambox Informationen an


    edit by JackDaniel: link entfernt


    sendet. Ich habe mir die Codedatei updater.pyo im Installationspaket des Plugins angesehen, werde da nicht ganz schlau draus aber anscheinend werden hier persönliche Daten an diese Webseite übermittelt.




    EDIT:
    worauf ich hinaus wollte.. vielleicht kann sich das jemand mal ansehen der von quellcode mehr versteht als ich danke :)

    Und dafür hast du dich jetzt extra hier angemeldet? :winking_face:
    Oder willst nur heimlich Werbung für die neue Website machen?

    Ein kleines Dankeschön, durch eine Spende, nehme ich gerne an, PayPal oder Amazon-Gutschein an dhwz(at)gmx.net

    Viel mehr als dort nachsehen ob es neue version gibt wird es doch wohl nicht, aber ja das mit der Gratiswerbung durch einen frisch registrierten war auch mein erster und naheliegender Gedanke - also editieren wir den Link halt raus ...

    Edited once, last by gutemine ().

    Trojaner klingt nicht Grade nach guter Werbung. Aber um das aufzuklären! Es wird regelmäßig abgefragt ob eine neue Version des Plugins verfügbar ist. Dazu muss auch übertragen werden was für eine Box es ist!

    Sollte man dazu dem User nicht bei der Installation sagen, dass es regelmässig auf einer externen Page nachfragt? Würde ich dringend empfehlen! Wer will Plugins, die regelmässig nach Hause telefonieren, ohne es zu wissen?


    Mamba

    checking for long long... yes
    checking for long double... yes
    +++ Divide By Cucumber Error. Stopping. +++

    das weist du bei fast allen Softcams auch nicht - und die werden trotzdem installiert.

    Quote

    Original von mamba0815
    Sollte man dazu dem User nicht bei der Installation sagen, dass es regelmässig auf einer externen Page nachfragt? Würde ich dringend empfehlen! Wer will Plugins, die regelmässig nach Hause telefonieren, ohne es zu wissen?


    Mamba


    man sollte jetzt aber nicht so tun als ob da irgendwas verheimlicht wurde, nur weil man sich mit dem Pay-Konzept nicht anfreunden kann ... steht ja unter anderem klipp und klar in den Changelogs

    Quote

    1.1.7 Update check hinzugefügt. Prüft automatisch ob Updates verfügbar sind. Diese Updates können direkt über das Plugin geladen und ausgeführt werden. Ein changelog wird ebenfalls vor dem Update angezeigt.


    Ausserdem hatte er dazu damals auch schon im Thread erklärt warum und was das Plugin nach Hause funkt.

    das sind 4 methoden


    validate.php - validiert die premium nutzer (etwas leicht zu umgehen oder?)
    update.php (schaut nach ob updates für meine box vorhanden sind)
    boxid.php - (??)
    changelog.php - (zeigt die changelog für meine box an)



    und mehr wird dabei nicht gesendet hellmaster?

    Ich habe nun mal den Datenverkehr mitgelogt. Scheint dass das Plugin bei jedem zugriff auf den den Server "airplayer.toeppe.... - validate.php" zugreift.
    Also Lied abspielend -> Zugriff auf Server -> Abspielen beendet -> beim erneuten Abspielen wieder ein Zugriff auf den Server...


    Dabei wird jedes Mal die installierte Version, der Boxtyp, die Mac Adresse, irgendeine eine Box-ID (da bin ich mir noch nicht sicher - ich glaube das ist eine vom boxid.php gelieferte ID) und natürlich der Premium Key übertragen.


    Zusätzlich wird bei jedem Zugriff auf das Plugin "airplayer.toeppe.com/update.php" aufgerufen. Hier wird nur die Version, der Boxtyp und die boxid übertragen


    Das finde ich persönlich ein bisschen viel Dateverkehr zum Ersteller des Plugins.


    Naja, die Spenden/Spender sollen halt wirklich gut kontrolliert werden :grinning_squinting_face: ... und natürlich auch die anderen.

    Quote

    Dabei wird jedes Mal die installierte Version, der Boxtyp, die Mac Adresse, irgendeine eine Box-ID (da bin ich mir noch nicht sicher - ich glaube das ist eine vom boxid.php gelieferte ID) und natürlich der Premium Key übertragen.


    Macht meine MultiMediathek, TV Charts und andere Plugins die nicht von mir sind übrigens auch ...

    Ja ich kenne das auch von iPhone Apps. Sehr enttäuschend! Leider kann man so seine Geräte nur noch mit Firewall ohne Bedenken verwenden (in diesem Beispiel mit Jailbreak).

    Sind ja keine persönlichen Datein, sondern Infos über die Boxhardware halt, also welches Modell usw.


    Und sowas wird halt für das ein oder andere Plugin benötigt das es weiss um welche Box es sich handelt um die entsprechenden plugins auch für die richtige Box anzubieten. Solangs die oben genannten Infos nur sind, kann man sicher sein das es wirklich nix schlimmes ist und das nur für den Betrieb des Plugins und Autoupdater genutzt wird.


    Viel schlimmer würde ich es finden wenn andere Infos, zB meine Configdatei mit plugin passwörtern, meine senderlisten oder der inhalt meiner Festplatte 'nach draussen' gehen. Aber solange es nur die o.g. Infos sind, sollte das kein Problem sein, das sind alles nur Box Hardware infos ...

    Das sehe ich anders. Ich finde schon die Mac Adresse überflüssig. Das man für ein Update den Boxtyp braucht - ok das sehe ich ein.


    Aber das man bei jedem benutzen des Plugins eine Datenverbindung benötigt finde ich sehr übertrieben. Sowohl in diesem Fall als auch bei den iPhone Apps (wobei diese sogar funktionieren, wenn man die Verbindung blockiert).


    Sind das Deiner Meinung nach wirklich notwendige Daten?! In diesen kurzen Abständen?


    Auf das mit den Passwörtern muss ich wohl nicht eingehen. Das wäre selbstverständlich schlimmer bzw. "unmöglich".

    Lis mal nach was so tolle Dienste wie YouTube und Google sich alles merken/holen wenn du drauf zugreifst dann siehst du das viel entspannter.


    Und wenn ich mir die Aufrufe von addservern so anschaue bei manchen Webseiten wird mir auch ganz schlecht.

    Edited once, last by gutemine ().

    Zu den Abständen kann ich nix sagen, in meinen plugins probiere ich natürlich auch nur dann die infos zu senden wenn's benötigt wird. Da Airplayer halt auch immer wieder neu startet wenn man nen Lied zum TV streamed, kann's schon sein das es so oft benötigt wird. Aber vielleicht kann man das ja auch noch optimieren :winking_face:


    Quote

    Ich finde schon die Mac Adresse überflüssig


    Plugins die KEYS nutzen, brauchen sowas halt um sicherzustellen das die Keys auch nur auf einer Box laufen. Macht meine MMthek auch um sicherzustellen das nicht ein und der selbe key auf hunderten Boxen genutzt wird. Also überflüssig ist das nicht, wenn man solche Plugins nutzt muss man auch damit rechnen das der Key an die Box *gekoppelt* wird und da bietet sich halt nicht viel an ausser zB ner MAC oder BoxID, die ja auch wiederrum keine privaten daten enthalten sondern einfach nur ne einzigartige ID Nummer deiner Box sind. Also mit nem simplen Posting hier im Forum hinterlässt du mit sicherheit mehr infos auf irgendwelchen WWW Servern als das plugin es tut :)

    Quote

    Original von komisch
    Wenn ein Plugin die Daten nutzt sollte der Programmierer auch umfassend da drüber informieren.Das ist das mindeste.


    und das hat er in sein support-board getan (soweit ich das gelesen habe)

    es gibt da im Deutschen board im moment 20 themen,
    wovon ein thread über dieses thema (sogar selber thread titel)


    und da gibt es 7 posts


    wobei der entwickler auch erklärt das er auf updates checkt,
    und das man minimal um die 7 Tage eine verbindung brauch für den key



    so, damit ist das gklärt,
    und ich hoffe das thema ist damit hier dürch


    PS
    wer da probleme hat kan ja zum support-board gehen und da fragen