Pinlig sikkerhetsproblem med Spotify Connect

AndersR

Hi-Fi freak
Ble medlem
15.05.2011
Innlegg
5.063
Antall liker
3.738
Sted
Oslo
Torget vurderinger
1
[Moderatorer: jeg er litt usikker på om dette er korrekt sted å poste på, men siden dette går på streaming antar jeg at det er mest korrekt å legge det her. Flytt gjerne tråden om dette er feil.]


Oppdaget i går en utrolig pinlig, og egentlig veldig ubehagelig sak.
Satt og så film. Plutselig forsvinner både lyd og bilde. Så dukker det opp et bilde av et platecover og et eller annet skrotmusikk begynner å spille.
Heldigvis identifiserte jeg skrotmusikken til å måtte stamme fra en kompis som hadde vært på besøk og benyttet spotify connect funksjonaliteten i Denon recieveren min til å prøve å prakke på meg noe av musikken hans.
Jeg antok derfor at han stod utenfor blokka og hadde akkurat klart å koble seg på gjestenettet mitt hvor recieveren er koblet til (netopp for å kunne la gjester spille fra medbragt Spotify via Spotify Connect funksjonen på recieveren min).

Han satt derimot hjemme. en god del kilometer i luftlinje unna meg.

Etter å ha sjekka litt viser det seg at dette er en kjent sak som har sanket klager i mange år. Det eldste tilfellet jeg klarte å finne hvor spotify support har bekreftet dette som en funksjon og ikke en bug, er fra august 2014. Vet ikke hvor lenge før dette de har vært klar over problemet. Men det har ikke vært noe ønske om å gjøre noe med det.

Problemet er altså at hvem som helst som har vært innom anlegget ditt og spilt av musikk via spotify connect vil kunne holde anlegget ditt som gissel. Når som helst. Fra hvor som helst.
Via Spotify-appen sin sender de kommandoer til spotify, som i sin tur sender kommandoer og musikk til din Spotify Connect enablede enhet.
De trenger med andre ord ikke ha tilgang til ditt lokale WLAN. Det hjelper ikke å flytte enheten til andre nettverk, det hjelper ikke å rename enheten.
Faktisk betyr dette at om noen kjøper en brukt enhet, så vil bekjente av tidligere eier kunne styre både musikkvalg og volum.

Avspilling via Spotify Connect overstyrer alt annet som enheten gjør, og får alltid førsteprioritet.
Spotify Connect kan ikke disables i enhetene som har dette innebygget.
Det nytter ikke å skifte nettverk.
Det nytter ikke å bytte passord.
Det nytter ikke å endre navn på enheten du eier. Spotify har tatt eierskap i den og vil ikke slippe den samme hva du gjør.
Det finnes ingen måte å nullstille lista over enheter som har mulighet til å kontrollere musikkavspilling hos deg.
Det er ikke mulig å se hvem som har startet avspillingen.

Spotify ser ikke dette som et problem, bare som en flott funksjon.

I praksis betyr dette at du kan terrorisere venner, bekjente og fiender enten ved et uhell eller med overlegg, dersom du på et eller annet tidspunkt har fått mulighet til å spille musikk på enheten via Spotify Connect. Og med mindre de kobler den fra nett fullstendig (og på den måten mister en hel del annen funksjonalitet) så er det ingen måte eieren av utstyret kan gjøre for å stanse det.


Med mindre noen av dere har funnet en måte som ingen andre på internett har funnet ut av.
Isåfall vil jeg veldig gjerne høre hva dere har å si om saken.


I mellomtiden vil jeg anbefale alle om å ikke gjøre som meg. Hold heller kjeft om Spotify Connect funksjonaliteten ovenfor besøkende, og om du har satt opp et gjestenett for å gi besøkende internettilgang, hold Spotify-enhetene dine langt unna dette nettverket.
 

skorob

Hi-Fi freak
Ble medlem
02.05.2012
Innlegg
3.785
Antall liker
1.983
Sted
Brumunddal
Torget vurderinger
9
Jøss.. ikke merket dette på chromecast sin spotify connect...
 

lovemusikk

Hi-Fi freak
Ble medlem
22.11.2009
Innlegg
9.577
Antall liker
2.935
Torget vurderinger
8
Regner med du skrev tilsvarende mail til Spotify?

Enn bare å syte rundtom som folk flest :p
 

AndersR

Hi-Fi freak
Ble medlem
15.05.2011
Innlegg
5.063
Antall liker
3.738
Sted
Oslo
Torget vurderinger
1
Du vil bare merke dette dersom noen du har hatt på besøk og som har spilt musikk på enheten din, enten trykker feil eller ønsker å kødde med deg.
Eller du kommer hjem til naboklager og ødelagte høyttalere, siden styring av volumet også er mulig fra Spotifyklienten, ihvertfall på mange enheter.

Jeg har ikke noe kundeforhold hos Spotify. Og vil definitivt ikke ha det etter denne "avsløringen". Jeg bruker Tidal, men følte det var en kul funksjon å ha dersom det kom besøkende som brukte Spotify og ville introdusere meg for noe som ikke fantes i Tidal-arkivet.
Derfor blir det ingen klagemail til Spotify. Dessuten har jeg søkt meg frem til ganske mange tråder på nett som omtaler problemet og den totalt uforstående tilbakemeldingen de som har fått svar fra Spotify, faktisk har mottatt. De fleste blir bedt om å opprette et nytt Premium-medlemskap. Som er totalt irrelevant. Andre poster at dette er slik det skal være, og nekter å se at dette faktisk kan være et alvorlig problem

SpotifySkandale.JPG


Siden forumet her består av svært kompetente problemløsere håpet jeg at noen kunne vite noe mer enn hva jeg har klart å søke meg frem til.
Og hvis ikke er det uansett på sin plass å advare andre mot dette, siden jeg ikke fant dette omtalt på forumet fra før av.
 

Valfy

Hi-Fi freak
Ble medlem
18.02.2011
Innlegg
2.428
Antall liker
2.576
Torget vurderinger
30
Syte?? Han gjør folk obs på et ganske drøyt problem på en avspillingstjeneste sikkert 70% av oss her inne bruker aktivt.
Han bidro til ganske mye mer enn du klarte i ditt innlegg :p
 

Valfy

Hi-Fi freak
Ble medlem
18.02.2011
Innlegg
2.428
Antall liker
2.576
Torget vurderinger
30


Same problem here and it's annoyingly also the case that the remote device can assert control of my desktop Spotify; pause and play happening from time to time.

Update: Removing all remote devices, logging out everywhere and resetting password appears to have worked. This was the Spotiamb 0.2.1 issue/exploit that many others appear to have been affected by.



https://community.spotify.com/t5/Ot...-quot-devices-on-spotify-connect/td-p/1265851


Har ikke tid til å undersøke mer akkurat nå
 

ptb

Æresmedlem
Ble medlem
27.11.2008
Innlegg
14.310
Antall liker
16.930
Sted
Oslo
Torget vurderinger
13
Jeg ble gjort oppmerksom på dette du beskriver i startinnlegget av Isak hos Multirom og skal ikke aktivere noe Spotify ABO på min enhet (NAIM) - dersom jeg ikke allerede ved første gangs oppsett ved en "glipp" gjorde det.
Husker det var et eller annet med et Yes/No spm i forbindelse med Spotify Connect, men er pokker ikke i stand til å huske hva jeg svarte:(
Det var først en ukes tid senere jeg ble gjort oppmerksom på greia.
Skal kontakte Multirom om hvordan jeg enklest kan sjekke. Om det er slik at jeg har aktivert, så skal verken jeg eller andre bruke Spotify på denne enheter.

Slik det selskapet holdning er til dette = full boikott fra min side.

Det er helt utrolig at en slik "funksjon" i det hele tatt er tillat:eek:
Dvs - det er neppe prøvd for en domstol, men må jo kunne prøves med hjemmel i eiendomsrett?
Om det ikke er så da at man har akseptert dette under betingelser man aldri leser, når evt abo ble startet.
 
Sist redigert:

AndersR

Hi-Fi freak
Ble medlem
15.05.2011
Innlegg
5.063
Antall liker
3.738
Sted
Oslo
Torget vurderinger
1
Dette har ingenting med noe abonnement å gjøre. Og du velger ikke om du skal kunne aktivere den eller ikke. Funksjonen ligger i bakgrunnen hele tida, og trigger dersom det kommer noe inn på den. Du som eier av enheten (f.eks recieveren) trenger ikke gjøre noenting, du trenger ikke engang ha en spotify-konto. Funksjonen ligger der uansett, og frem til jeg innså hvordan den var designet anså jeg det som en utelukkende positiv funksjon.

Nå som jeg ser at jeg ikke kan bli kvitt folk som har koblet seg til anlegget mitt med mindre de ønsker det selv (og klarer det), er jeg ikke like positiv.

Det KAN hende at man kan kvitte seg med dette dersom man tar en "reset to factory defaults" eller noe sånt. Men på en vanlig surroundreciever mister du mye innstillinger som kan ha tatt mange timer å sette opp. Som romkorreksjonen f.eks. Jeg har derfor ikke lyst til å prøve dette bare for å teste det ut, da det vil være kjedelig om det ikke har noen effekt.
 

Flageborg

Hi-Fi freak
Ble medlem
04.02.2005
Innlegg
6.532
Antall liker
3.076
Torget vurderinger
0
Etter å ha sjekka litt viser det seg at dette er en kjent sak som har sanket klager i mange år.
Ja, dette har vært mulig i flere år.....skremmende at det ikke er stoppet for lenge siden
 

hifiriet

Medlem
Ble medlem
31.08.2015
Innlegg
25
Antall liker
19
Har vært klar over dette en stund.
En grei måte å løse dette på er å opprette gjestenettverk på routeren som er adskilt fra resten av LAN.

Også får alle andre koble seg på gjestenettverket, de vil da ikke få tilgang spotify connect funksjonen i streameren/forsteker eller cast!
Da har du samtidig sørget for at de heller ikke kan tulle med pc`r evt servere og annet utstyr du har.
 

AndersR

Hi-Fi freak
Ble medlem
15.05.2011
Innlegg
5.063
Antall liker
3.738
Sted
Oslo
Torget vurderinger
1
Dette er det jeg nå endte opp med å gjøre. Men tidligere, før jeg innså problemet med Spotify Connect, følte jeg det var en god ide å ha recieveren min på gjestenettet, fordi jeg -ønsket- at gjester skulle ha mulighet til å sende musikk til forsterkeren.

Som nevnt gikk det fort over da jeg fant ut at de ikke trengte være hos meg for å bombe meg med musikken sin. Så da ble det løsningen du skisserer ovenfor.


Ser for meg at dette må være et ideelt mål for hackere: Få tilgang til Spotifys servere og Rickrolle hele verden, synkront!
 

AndersR

Hi-Fi freak
Ble medlem
15.05.2011
Innlegg
5.063
Antall liker
3.738
Sted
Oslo
Torget vurderinger
1
Rent teknisk sett trenger man ikke engang et fnugg hackerskills for å oppnå en viss variant av dette.
Sett i gang et "kunstprosjekt" på reddit eller et annet stort forum med millioner av brukere, hvor alle som er med på prosjektet tråler rundt etter steder hvor det finnes muligheter til å benytte spotify connect. Butikker, hoteller og alle andre steder hvor det finnes kompatibelt utstyr som kan nås. Og selvsagt alle stakkarer med åpne nettverk og kompatibelt utstyr tilkoblet.
På avtalt tid, så starter man avspilling. Som vil få det til å føles som at Spotify er hacket og hele verden Rickrolles, mens det egentlig bare er Spotify Connect som viser sitt sanne ansikt.

Tipper det hadde foreligget en fiks på dette maksimalt to uker etter en slik hendelse, dersom aksjonen ble godt planlagt og gjennomført.
 

Dazed

Æresmedlem
Ble medlem
29.01.2003
Innlegg
20.540
Antall liker
7.230
Sted
Sarpsborg
Torget vurderinger
2
Tipper det hadde foreligget en fiks på dette maksimalt to uker etter en slik hendelse, dersom aksjonen ble godt planlagt og gjennomført.
....like etter at advokatene til Spotify hadde stått på døra. ;)
 

AndersR

Hi-Fi freak
Ble medlem
15.05.2011
Innlegg
5.063
Antall liker
3.738
Sted
Oslo
Torget vurderinger
1
Tipper det hadde foreligget en fiks på dette maksimalt to uker etter en slik hendelse, dersom aksjonen ble godt planlagt og gjennomført.
....like etter at advokatene til Spotify hadde stått på døra. ;)
For hva? Det var jo bare et uhell. Sånt som skjer hele tida for alle andre, man trykker visst på feil enhet innimellom. Hva skal anklagen gå ut på? At de aktuelle brukerne (som fort kan være flere hundre) ville høre Rick Astley? Det må jo være lov. :rolleyes:

Tror nok Spotify ville fått et par advokater i sin egen retning om det ble skikkelig bråk ut av dette, for ikke å ha fiksa dette selv om det har vært et kjent problem i snart fire år.
 

Nolfi

Hi-Fi entusiast
Ble medlem
25.07.2006
Innlegg
440
Antall liker
22
Torget vurderinger
4
Er det ikke sånn, at hvis du velger å caste til en annen device, så kan du det, såfremt Spotify er pålogget denne devicen?
Eksempel:
Bruker 1 er på wifi og velger å caste til SpotifyAmp1. Da brukes Spotify-kontoen som er brukt av Spotify appen på mobilen.
Hvis bruker 2 er på samme wifi og velger å caste til samme SpotifyAmp1, da brukes kontoen på bruker 2 sin mobil.
Hvis bruker 1 drar ut, vekk fra wifi, og velger å spille musikk i Spotify appen, da har denne brukeren ikke tilgang til SpotifyAmp1, da brukeren ikke er logget på lengre. (Det er en Call home funksjon i Spotify Connect på spilleren, som skaper tunnel til Spotify, og som gjør, at man kan spille remote, men altså bare når tunnelen er oppe = aktivt abonnement på spilleren)
Kan det være sånn, at OP ikke har brukt Spotify mot anlegget sitt etter gjesten var koblet på og det derfor var mulig for gjesten å spille via anlegget Remote? Prøv da å spill fra din Spotify konto og be gjesten om å sjekke om anlegget er tilgjengelig i Spotify appen hans. Jeg tipper den ikke er det.
Jeg har en Naim Uniti Nova og når jeg spiller via Spotify Connect, så står det i displayet hvilken konto som er logget på. Min kone skulle spille musikk på jobben sin og fikk ikke lyd, selv om hun spilte på 100% men hun så da at hun var koblet på Novaen (og den har da spillet på 100% hjemme, ouch).
 

AndersR

Hi-Fi freak
Ble medlem
15.05.2011
Innlegg
5.063
Antall liker
3.738
Sted
Oslo
Torget vurderinger
1
Jeg har ikke spotifykonto selv. Jeg benyttet denne løsningen kun for gjester.
Det er ikke noen loginmulighet på selve recieveren som jeg har klart å finne så langt. Så man er avhengig av at noen sender noe fra en annen enhet.

Mener du at det kan være slik at det er den siste gjesten som går hjem fra meg som vil ha mulighet til å bombe meg med musikken sin og de andre mister muligheten?

Basert på hva jeg har lett meg frem til på nett ser det ikke slik ut. Det er først nylig at det har blitt mulig å slette koblinger mot enheter man har sendt musikk til, fra spotifyappen på telefoner og nettbrett. Så jeg synes det høres rart ut om man skulle blitt kasta ut dersom noen andre begynte å spille musikk mot enheten. Det stemmer ikke overens med hva andre har opplevd ser det ut som.
Men jeg har ikke prøvd dette selv.

Jeg kan heller ikke se hvem som spiller av.


Det jeg synes er aller mest merkelig med dette, er hva Spotify tror de oppnår ved å ha det slik. Hvilken fordel har brukerne av å kunne endre musikk hjemme når de er på jobb, for eksempel?
 

ptb

Æresmedlem
Ble medlem
27.11.2008
Innlegg
14.310
Antall liker
16.930
Sted
Oslo
Torget vurderinger
13
^ De oppnår ihvertfall at jeg aldri kommer til å gjøre bruk av deres tjenester - som om det monner:rolleyes:
 

Nolfi

Hi-Fi entusiast
Ble medlem
25.07.2006
Innlegg
440
Antall liker
22
Torget vurderinger
4
Jeg mener at det alltid er siste som har vært koblet på som har tilgangen.
Testet akkurat:
Koble til Nova på wifi. Spill låt.
Koble fra. Bytt låt. Fungerer fint.
Se bilde her:
Screenshot_20180117-170417.jpg

Ingen wifi-connection, men fortsatt Spotify Connect connection.

Min kone kobler da på Nova fra wifi og spiller en låt.
Jeg mister da devicen fra oversikten på mobilen min.
Jeg har ikke spotifykonto selv. Jeg benyttet denne løsningen kun for gjester.
Det er ikke noen loginmulighet på selve recieveren som jeg har klart å finne så langt. Så man er avhengig av at noen sender noe fra en annen enhet.

Mener du at det kan være slik at det er den siste gjesten som går hjem fra meg som vil ha mulighet til å bombe meg med musikken sin og de andre mister muligheten?

Basert på hva jeg har lett meg frem til på nett ser det ikke slik ut. Det er først nylig at det har blitt mulig å slette koblinger mot enheter man har sendt musikk til, fra spotifyappen på telefoner og nettbrett. Så jeg synes det høres rart ut om man skulle blitt kasta ut dersom noen andre begynte å spille musikk mot enheten. Det stemmer ikke overens med hva andre har opplevd ser det ut som.
Men jeg har ikke prøvd dette selv.

Jeg kan heller ikke se hvem som spiller av.


Det jeg synes er aller mest merkelig med dette, er hva Spotify tror de oppnår ved å ha det slik. Hvilken fordel har brukerne av å kunne endre musikk hjemme når de er på jobb, for eksempel?
 

Flageborg

Hi-Fi freak
Ble medlem
04.02.2005
Innlegg
6.532
Antall liker
3.076
Torget vurderinger
0
Det er ikke kult, men jeg kan sitte hjemme en fredagskveld og starte musikken i butikken jeg besøkte tidligere i uken......og justere volumet.
Butikker slår ikke av komponentene i utstillingen når de tar helg..... ?
 

Nolfi

Hi-Fi entusiast
Ble medlem
25.07.2006
Innlegg
440
Antall liker
22
Torget vurderinger
4
Nei, ikke hvis f.eks. en butikksansatt har spillet mot samme device med sin Spotifykonto i mellomtiden.
Det er ikke kult, men jeg kan sitte hjemme en fredagskveld og starte musikken i butikken jeg besøkte tidligere i uken......og justere volumet.
Butikker slår ikke av komponentene i utstillingen når de tar helg..... ?
 

AndersR

Hi-Fi freak
Ble medlem
15.05.2011
Innlegg
5.063
Antall liker
3.738
Sted
Oslo
Torget vurderinger
1
Jeg har nå hatt mulighet til å få testet tipset til Nolfi, og kan bekrefte at han har rett.

Kompis 1 er på besøk og spiller av musikk fra sin spotify til min reciever. Funker.
Kompis 2 kommer på besøk et par dager senere, og spiller av musikk fra sin spotify på samme måte. Funker fint.
Kompis 2 oppdager at han kan spille av musikk hos meg også når han sitter hjemme. Han sletter deretter koblingen mot min reciver manuelt i sin egen app for å unngå uhell.
Jeg flytter recieveren vekk fra gjestenettet.
Kompis 1 kommer tilbake på besøk og blir da bedt om å prøve å spille av musikk på nytt (han har ikke tilgang til hovednettet som recieveren nå står på).
Kompis 1 kan ikke lenger se recieveren min blant sine tilgjengelige enheter.

Så problemet er litt mindre alvorlig enn først antatt. Men samtidig, som han selv kommenterer, så vet han at han innimellom får tilgang til enheter han ikke aner hvem eier basert på hvilke nettverk han kobler seg på. Og så lenge dette er en funksjon som man får med på kjøpe uansett om man har tenkt til å bruke den eller ikke, og ikke må aktivere på noen måte, så vil det si at det er ganske mange som kan få seg ubehagelige overraskelser.

For min del har jeg løst problemet nå som jeg vet at ingen har enheten min kobla opp lenger, og at jeg har flyttet recieveren til det beskyttede nettverket. Om noen kommer på besøk igjen senere, har jeg satt opp et nettbrett som dedikert Sonos-controller, og har Tidal tilgjengelig. Dersom Tidal ikke har ønsket musikk dropper man det. Ellers får jeg finne frem en minijack og kjøre det via kabel.

Spotify Connect er ikke en funksjonalitet jeg kommer til å ville bruke igjen med mindre det kommer en mulighet for meg selv til å rense opp i hvem som har mulighet til å styre musikken. For slik det er nå er jeg enten avhengig av å betale Spotify løsepenger for å hindre andre i å pøble med anlegget mitt (ved å selv koble meg opp etter at gjestene har gått hjem), eller basere meg på at den som kobler seg mot anlegget mitt alltid husker å slette koblingen manuelt i etterkant siden jeg selv ikke har kontroll over eget anlegg.
 
Sist redigert:

AndersR

Hi-Fi freak
Ble medlem
15.05.2011
Innlegg
5.063
Antall liker
3.738
Sted
Oslo
Torget vurderinger
1
Oppdatering:
Recieveren min har på mystisk vis gjenoppstått på lista over tilgjengelige enheter som "Kompis 1" kan se i sin Spotify-app, uten at han har hatt mulighet til å kontakte den siden han sletta den fra enhetene sine.
Vi har verifisert at det ikke bare er en grafikkglitch eller noe sånt, men at det faktisk stemmer at han nok en gang kan sitte hjemme hos seg selv og overstyre musikken hos meg.

Som han selv sier: "Dette er jo som å gi en 5-åring en atombombe" , men hevder at han skal prøve å motstå fristelsen til å spille Eilert Pilarm hele natta.


Jeg føler meg ikke helt overbevist....
 

hifiguru

Hi-Fi freak
Ble medlem
15.07.2002
Innlegg
5.715
Antall liker
1.259
Sted
Porsgrunn
Torget vurderinger
1
Har en "gøyal" historie rundt dette. Satt på pub hvor jeg fikk styre musikken med min mobil over Spotify Connect. Forsterkeren, en NAD D7050 var akkurat samme som jeg hadde hjemme den gang. (Som forforsterker i et halvsvært hornsystem med GREIT headroom) Jeg fyra opp en spilleliste men det kom ikke en lyd. Rart tenkte jeg. Stengte appen og startet på nytt, valgte device D7050 og det funket.

Synes det var merkelig og kaldt når jeg kom hjem noen timer senere.....viser seg at naboen klikket og fikk politiet til å ta strømmen. Anlegget mitt hadde stått på full rulle fra kl 21 og utover. 100db+.....
 

hifiguru

Hi-Fi freak
Ble medlem
15.07.2002
Innlegg
5.715
Antall liker
1.259
Sted
Porsgrunn
Torget vurderinger
1
Oppdatering:
Recieveren min har på mystisk vis gjenoppstått på lista over tilgjengelige enheter som "Kompis 1" kan se i sin Spotify-app, uten at han har hatt mulighet til å kontakte den siden han sletta den fra enhetene sine.
Vi har verifisert at det ikke bare er en grafikkglitch eller noe sånt, men at det faktisk stemmer at han nok en gang kan sitte hjemme hos seg selv og overstyre musikken hos meg.

Som han selv sier: "Dette er jo som å gi en 5-åring en atombombe" , men hevder at han skal prøve å motstå fristelsen til å spille Eilert Pilarm hele natta.


Jeg føler meg ikke helt overbevist....
Gå til Spotify.com og logg deg på der. Finn "log out of all devices" Deretter bytter du passord
 

AndersR

Hi-Fi freak
Ble medlem
15.05.2011
Innlegg
5.063
Antall liker
3.738
Sted
Oslo
Torget vurderinger
1
Problemet er at det ikke er jeg som styrer dette. Det er andre som har vært innom hos meg som får mulighet til å styre musikken min fra hvorsomhelst med sine egne spotifykontoer. Jeg har ingenting jeg skulle ha sagt.
 
Topp Bunn