Side 1 av 2 12 SisteSiste
Resultater 1 til 20 av 30
Abonnér på denne tråden
  1. #1
    Hifi Freak AndersR's Avatar
    Ble medlem
    May 2011
    Sted
    Oslo
    Innlegg
    2,678
    Tagget i
    1 Innlegg
    Torget
    1

    Tommel ned Pinlig sikkerhetsproblem med Spotify Connect

    [Moderatorer: jeg er litt usikker på om dette er korrekt sted å poste på, men siden dette går på streaming antar jeg at det er mest korrekt å legge det her. Flytt gjerne tråden om dette er feil.]


    Oppdaget i går en utrolig pinlig, og egentlig veldig ubehagelig sak.
    Satt og så film. Plutselig forsvinner både lyd og bilde. Så dukker det opp et bilde av et platecover og et eller annet skrotmusikk begynner å spille.
    Heldigvis identifiserte jeg skrotmusikken til å måtte stamme fra en kompis som hadde vært på besøk og benyttet spotify connect funksjonaliteten i Denon recieveren min til å prøve å prakke på meg noe av musikken hans.
    Jeg antok derfor at han stod utenfor blokka og hadde akkurat klart å koble seg på gjestenettet mitt hvor recieveren er koblet til (netopp for å kunne la gjester spille fra medbragt Spotify via Spotify Connect funksjonen på recieveren min).

    Han satt derimot hjemme. en god del kilometer i luftlinje unna meg.

    Etter å ha sjekka litt viser det seg at dette er en kjent sak som har sanket klager i mange år. Det eldste tilfellet jeg klarte å finne hvor spotify support har bekreftet dette som en funksjon og ikke en bug, er fra august 2014. Vet ikke hvor lenge før dette de har vært klar over problemet. Men det har ikke vært noe ønske om å gjøre noe med det.

    Problemet er altså at hvem som helst som har vært innom anlegget ditt og spilt av musikk via spotify connect vil kunne holde anlegget ditt som gissel. Når som helst. Fra hvor som helst.
    Via Spotify-appen sin sender de kommandoer til spotify, som i sin tur sender kommandoer og musikk til din Spotify Connect enablede enhet.
    De trenger med andre ord ikke ha tilgang til ditt lokale WLAN. Det hjelper ikke å flytte enheten til andre nettverk, det hjelper ikke å rename enheten.
    Faktisk betyr dette at om noen kjøper en brukt enhet, så vil bekjente av tidligere eier kunne styre både musikkvalg og volum.

    Avspilling via Spotify Connect overstyrer alt annet som enheten gjør, og får alltid førsteprioritet.
    Spotify Connect kan ikke disables i enhetene som har dette innebygget.
    Det nytter ikke å skifte nettverk.
    Det nytter ikke å bytte passord.
    Det nytter ikke å endre navn på enheten du eier. Spotify har tatt eierskap i den og vil ikke slippe den samme hva du gjør.
    Det finnes ingen måte å nullstille lista over enheter som har mulighet til å kontrollere musikkavspilling hos deg.
    Det er ikke mulig å se hvem som har startet avspillingen.

    Spotify ser ikke dette som et problem, bare som en flott funksjon.

    I praksis betyr dette at du kan terrorisere venner, bekjente og fiender enten ved et uhell eller med overlegg, dersom du på et eller annet tidspunkt har fått mulighet til å spille musikk på enheten via Spotify Connect. Og med mindre de kobler den fra nett fullstendig (og på den måten mister en hel del annen funksjonalitet) så er det ingen måte eieren av utstyret kan gjøre for å stanse det.


    Med mindre noen av dere har funnet en måte som ingen andre på internett har funnet ut av.
    Isåfall vil jeg veldig gjerne høre hva dere har å si om saken.


    I mellomtiden vil jeg anbefale alle om å ikke gjøre som meg. Hold heller kjeft om Spotify Connect funksjonaliteten ovenfor besøkende, og om du har satt opp et gjestenett for å gi besøkende internettilgang, hold Spotify-enhetene dine langt unna dette nettverket.
    B&W-basert stuekino under oppføring. Byggetråd HER

  2. #2
    Hifi Freak skorob's Avatar
    Ble medlem
    May 2012
    Sted
    Brumunddal
    Innlegg
    2,866
    Tagget i
    0 Innlegg
    Jøss.. ikke merket dette på chromecast sin spotify connect...
    Galskapen: Auralic Aries G2 - Accuphase DC-37- Accuphase C-3850 - Accuphase M-6200 - Spendor D9.- Arendal Sub2 - Wireworld Electra7 strømkabling. - Cardas signalkabler og Chord høyttalerkabler.
    Stue: Squeezebox Touch - Primare Pre32 & A34.2 - Klipsch RF7mk3 - Luxman JPS100 kabling.

  3. #3
    Hifi Freak lovemusikk's Avatar
    Ble medlem
    Nov 2009
    Innlegg
    6,752
    Tagget i
    1 Innlegg
    Regner med du skrev tilsvarende mail til Spotify?

    Enn bare å syte rundtom som folk flest
    Hovedanlegg:
    DAC: Heed Obelisk DA m/oppgraderte kort PRE: Musical Innovation, MI25 EFFEKT: Musical Innovation, MI18 HØYTTALERE: Uscher Dancer Mini 2 DMD KABLER: Ja
    Billig anlegget:
    Signalkilde: Marantz CD 17 Forsterker: Marantz PM 17 Høyttalere: Klipsch RP160M

  4. #4
    Hifi Freak AndersR's Avatar
    Ble medlem
    May 2011
    Sted
    Oslo
    Innlegg
    2,678
    Tagget i
    1 Innlegg
    Torget
    1
    Du vil bare merke dette dersom noen du har hatt på besøk og som har spilt musikk på enheten din, enten trykker feil eller ønsker å kødde med deg.
    Eller du kommer hjem til naboklager og ødelagte høyttalere, siden styring av volumet også er mulig fra Spotifyklienten, ihvertfall på mange enheter.

    Jeg har ikke noe kundeforhold hos Spotify. Og vil definitivt ikke ha det etter denne "avsløringen". Jeg bruker Tidal, men følte det var en kul funksjon å ha dersom det kom besøkende som brukte Spotify og ville introdusere meg for noe som ikke fantes i Tidal-arkivet.
    Derfor blir det ingen klagemail til Spotify. Dessuten har jeg søkt meg frem til ganske mange tråder på nett som omtaler problemet og den totalt uforstående tilbakemeldingen de som har fått svar fra Spotify, faktisk har mottatt. De fleste blir bedt om å opprette et nytt Premium-medlemskap. Som er totalt irrelevant. Andre poster at dette er slik det skal være, og nekter å se at dette faktisk kan være et alvorlig problem

    Navn:      SpotifySkandale.JPG
Visninger: 621
Størrelse: 37.6 Kb

    Siden forumet her består av svært kompetente problemløsere håpet jeg at noen kunne vite noe mer enn hva jeg har klart å søke meg frem til.
    Og hvis ikke er det uansett på sin plass å advare andre mot dette, siden jeg ikke fant dette omtalt på forumet fra før av.
    B&W-basert stuekino under oppføring. Byggetråd HER

  5. #5
    Hifi Freak Valfy's Avatar
    Ble medlem
    Feb 2011
    Innlegg
    2,300
    Tagget i
    1 Innlegg
    Torget
    1
    Syte?? Han gjør folk obs på et ganske drøyt problem på en avspillingstjeneste sikkert 70% av oss her inne bruker aktivt.
    Han bidro til ganske mye mer enn du klarte i ditt innlegg
    AMR DP-777SE
    Kinki EX-M1
    Ø Audio Icon

    The trouble with ignorance is that it feels so much like expertise

  6. #6
    Hifi Freak Valfy's Avatar
    Ble medlem
    Feb 2011
    Innlegg
    2,300
    Tagget i
    1 Innlegg
    Torget
    1


    Same problem here and it's annoyingly also the case that the remote device can assert control of my desktop Spotify; pause and play happening from time to time.

    Update: Removing all remote devices, logging out everywhere and resetting password appears to have worked. This was the Spotiamb 0.2.1 issue/exploit that many others appear to have been affected by.



    https://community.spotify.com/t5/Oth...t/td-p/1265851


    Har ikke tid til å undersøke mer akkurat nå
    AMR DP-777SE
    Kinki EX-M1
    Ø Audio Icon

    The trouble with ignorance is that it feels so much like expertise

  7. #7
    Hifi Freak ptb's Avatar
    Ble medlem
    Nov 2008
    Sted
    MDG´s forsøkslaboratorium
    Innlegg
    7,944
    Tagget i
    8 Innlegg
    Torget
    5
    Jeg ble gjort oppmerksom på dette du beskriver i startinnlegget av Isak hos Multirom og skal ikke aktivere noe Spotify ABO på min enhet (NAIM) - dersom jeg ikke allerede ved første gangs oppsett ved en "glipp" gjorde det.
    Husker det var et eller annet med et Yes/No spm i forbindelse med Spotify Connect, men er pokker ikke i stand til å huske hva jeg svarte
    Det var først en ukes tid senere jeg ble gjort oppmerksom på greia.
    Skal kontakte Multirom om hvordan jeg enklest kan sjekke. Om det er slik at jeg har aktivert, så skal verken jeg eller andre bruke Spotify på denne enheter.

    Slik det selskapet holdning er til dette = full boikott fra min side.

    Det er helt utrolig at en slik "funksjon" i det hele tatt er tillat
    Dvs - det er neppe prøvd for en domstol, men må jo kunne prøves med hjemmel i eiendomsrett?
    Om det ikke er så da at man har akseptert dette under betingelser man aldri leser, når evt abo ble startet.
    Siste redigert av ptb; 16.01.2018 kl. 17:00.
    Is there anybody out there?
    Hi-Fi oppsett loftsstue: Leben CS-600/Sugden A21ai, Meridian 508.24, Sonus Faber Liuto, Linn Sondek LP12, Thorens TEP 302. Hi-Fi oppsett stue: NAIM Uniti Star, VA Mozart Grand, Beogram 4500
    Hobbyrom- og Head-Fi komboer: Pro-Ject MaiA, Klipsch Icon, DIY Thorens TD150 MkII, Meridian 508.20, Beogram CD X,
    Stax SR-007 MkI/SRM 007tII, Ultrasone Edition 8, Oppo PM-1, B&W P5 S2, Violectric V200, Thorens TD 2001, Beogram 9000, Whest Two, Inertia BDT/1, Muffsy

  8. #8
    Hifi Freak AndersR's Avatar
    Ble medlem
    May 2011
    Sted
    Oslo
    Innlegg
    2,678
    Tagget i
    1 Innlegg
    Torget
    1
    Dette har ingenting med noe abonnement å gjøre. Og du velger ikke om du skal kunne aktivere den eller ikke. Funksjonen ligger i bakgrunnen hele tida, og trigger dersom det kommer noe inn på den. Du som eier av enheten (f.eks recieveren) trenger ikke gjøre noenting, du trenger ikke engang ha en spotify-konto. Funksjonen ligger der uansett, og frem til jeg innså hvordan den var designet anså jeg det som en utelukkende positiv funksjon.

    Nå som jeg ser at jeg ikke kan bli kvitt folk som har koblet seg til anlegget mitt med mindre de ønsker det selv (og klarer det), er jeg ikke like positiv.

    Det KAN hende at man kan kvitte seg med dette dersom man tar en "reset to factory defaults" eller noe sånt. Men på en vanlig surroundreciever mister du mye innstillinger som kan ha tatt mange timer å sette opp. Som romkorreksjonen f.eks. Jeg har derfor ikke lyst til å prøve dette bare for å teste det ut, da det vil være kjedelig om det ikke har noen effekt.
    B&W-basert stuekino under oppføring. Byggetråd HER

  9. #9
    Bransjeaktør Flageborg's Avatar
    Ble medlem
    Feb 2005
    Innlegg
    2,811
    Tagget i
    0 Innlegg
    Sitat Sitat fra AndersR Se Innlegg
    Etter å ha sjekka litt viser det seg at dette er en kjent sak som har sanket klager i mange år.
    Ja, dette har vært mulig i flere år.....skremmende at det ikke er stoppet for lenge siden
    http://www.kringlyd.no - Hosted by ProIsp

  10. #10
    Æresmedlem Evo III's Avatar
    Ble medlem
    Dec 2009
    Sted
    I et hus
    Innlegg
    13,859
    Tagget i
    8 Innlegg
    Album
    1
    Torget
    1
    Sitat Sitat fra lovemusikk Se Innlegg
    Regner med du skrev tilsvarende mail til Spotify?

    Enn bare å syte rundtom som folk flest
    Syte! Var et bra innlegg det der da,jeg visste det ikke.

    O
    |Sonus Faber|Accuphase|CEC|Micro Seiki|SME|Leema|Ortofon|

  11. #11
    Medlem
    Ble medlem
    Aug 2015
    Innlegg
    24
    Tagget i
    0 Innlegg
    Torget
    1
    Har vært klar over dette en stund.
    En grei måte å løse dette på er å opprette gjestenettverk på routeren som er adskilt fra resten av LAN.

    Også får alle andre koble seg på gjestenettverket, de vil da ikke få tilgang spotify connect funksjonen i streameren/forsteker eller cast!
    Da har du samtidig sørget for at de heller ikke kan tulle med pc`r evt servere og annet utstyr du har.

  12. #12
    Hifi Freak AndersR's Avatar
    Ble medlem
    May 2011
    Sted
    Oslo
    Innlegg
    2,678
    Tagget i
    1 Innlegg
    Torget
    1
    Dette er det jeg nå endte opp med å gjøre. Men tidligere, før jeg innså problemet med Spotify Connect, følte jeg det var en god ide å ha recieveren min på gjestenettet, fordi jeg -ønsket- at gjester skulle ha mulighet til å sende musikk til forsterkeren.

    Som nevnt gikk det fort over da jeg fant ut at de ikke trengte være hos meg for å bombe meg med musikken sin. Så da ble det løsningen du skisserer ovenfor.


    Ser for meg at dette må være et ideelt mål for hackere: Få tilgang til Spotifys servere og Rickrolle hele verden, synkront!
    B&W-basert stuekino under oppføring. Byggetråd HER

  13. #13
    Æresmedlem Dazed's Avatar
    Ble medlem
    Jan 2003
    Sted
    Sarpsborg
    Innlegg
    19,604
    Tagget i
    2 Innlegg
    Sitat Sitat fra AndersR Se Innlegg
    Få tilgang til Spotifys servere og Rickrolle hele verden, synkront!
    Glimrende! Hadde nesten vært verdt det!

  14. #14
    Hifi Freak AndersR's Avatar
    Ble medlem
    May 2011
    Sted
    Oslo
    Innlegg
    2,678
    Tagget i
    1 Innlegg
    Torget
    1
    Rent teknisk sett trenger man ikke engang et fnugg hackerskills for å oppnå en viss variant av dette.
    Sett i gang et "kunstprosjekt" på reddit eller et annet stort forum med millioner av brukere, hvor alle som er med på prosjektet tråler rundt etter steder hvor det finnes muligheter til å benytte spotify connect. Butikker, hoteller og alle andre steder hvor det finnes kompatibelt utstyr som kan nås. Og selvsagt alle stakkarer med åpne nettverk og kompatibelt utstyr tilkoblet.
    På avtalt tid, så starter man avspilling. Som vil få det til å føles som at Spotify er hacket og hele verden Rickrolles, mens det egentlig bare er Spotify Connect som viser sitt sanne ansikt.

    Tipper det hadde foreligget en fiks på dette maksimalt to uker etter en slik hendelse, dersom aksjonen ble godt planlagt og gjennomført.
    B&W-basert stuekino under oppføring. Byggetråd HER

  15. #15
    Hifi Freak
    Ble medlem
    Mar 2012
    Sted
    Setesdal
    Innlegg
    2,363
    Tagget i
    0 Innlegg
    Album
    1
    Ja dette var meget betenkelig
    Hjemmekino: Klipsch Palladium P-39F/P-27C/P-27S, McIntosh MC1201/501/252/MCD205/MP100, Onkyo PR-RZ5100, Apple TV 4K, Oppo UDP-203, Epson EH-LS10000, Dreamscreen V6 120", 2xShyHorns/PD2450 DIY, 2xCrown K2, 2xSVS PB12-Ultra/2, Velodyne SMS-1, Rega RP40, AudioDesk Pro

    Stueanlegg: Pioneer PDP-LX5090, McIntosh C50, McIntosh MC252, Klipsch RF-3, Sony BDP-S790, ATV3

  16. #16
    Æresmedlem Dazed's Avatar
    Ble medlem
    Jan 2003
    Sted
    Sarpsborg
    Innlegg
    19,604
    Tagget i
    2 Innlegg
    Sitat Sitat fra AndersR Se Innlegg

    Tipper det hadde foreligget en fiks på dette maksimalt to uker etter en slik hendelse, dersom aksjonen ble godt planlagt og gjennomført.
    ....like etter at advokatene til Spotify hadde stått på døra.

  17. #17
    Hifi Freak AndersR's Avatar
    Ble medlem
    May 2011
    Sted
    Oslo
    Innlegg
    2,678
    Tagget i
    1 Innlegg
    Torget
    1
    Sitat Sitat fra Dazed Se Innlegg
    Sitat Sitat fra AndersR Se Innlegg

    Tipper det hadde foreligget en fiks på dette maksimalt to uker etter en slik hendelse, dersom aksjonen ble godt planlagt og gjennomført.
    ....like etter at advokatene til Spotify hadde stått på døra.
    For hva? Det var jo bare et uhell. Sånt som skjer hele tida for alle andre, man trykker visst på feil enhet innimellom. Hva skal anklagen gå ut på? At de aktuelle brukerne (som fort kan være flere hundre) ville høre Rick Astley? Det må jo være lov.

    Tror nok Spotify ville fått et par advokater i sin egen retning om det ble skikkelig bråk ut av dette, for ikke å ha fiksa dette selv om det har vært et kjent problem i snart fire år.
    B&W-basert stuekino under oppføring. Byggetråd HER

  18. #18
    Hifi-entusiast Nolfi's Avatar
    Ble medlem
    Jul 2006
    Innlegg
    408
    Tagget i
    0 Innlegg
    Er det ikke sånn, at hvis du velger å caste til en annen device, så kan du det, såfremt Spotify er pålogget denne devicen?
    Eksempel:
    Bruker 1 er på wifi og velger å caste til SpotifyAmp1. Da brukes Spotify-kontoen som er brukt av Spotify appen på mobilen.
    Hvis bruker 2 er på samme wifi og velger å caste til samme SpotifyAmp1, da brukes kontoen på bruker 2 sin mobil.
    Hvis bruker 1 drar ut, vekk fra wifi, og velger å spille musikk i Spotify appen, da har denne brukeren ikke tilgang til SpotifyAmp1, da brukeren ikke er logget på lengre. (Det er en Call home funksjon i Spotify Connect på spilleren, som skaper tunnel til Spotify, og som gjør, at man kan spille remote, men altså bare når tunnelen er oppe = aktivt abonnement på spilleren)
    Kan det være sånn, at OP ikke har brukt Spotify mot anlegget sitt etter gjesten var koblet på og det derfor var mulig for gjesten å spille via anlegget Remote? Prøv da å spill fra din Spotify konto og be gjesten om å sjekke om anlegget er tilgjengelig i Spotify appen hans. Jeg tipper den ikke er det.
    Jeg har en Naim Uniti Nova og når jeg spiller via Spotify Connect, så står det i displayet hvilken konto som er logget på. Min kone skulle spille musikk på jobben sin og fikk ikke lyd, selv om hun spilte på 100% men hun så da at hun var koblet på Novaen (og den har da spillet på 100% hjemme, ouch).

  19. #19
    Hifi Freak AndersR's Avatar
    Ble medlem
    May 2011
    Sted
    Oslo
    Innlegg
    2,678
    Tagget i
    1 Innlegg
    Torget
    1
    Jeg har ikke spotifykonto selv. Jeg benyttet denne løsningen kun for gjester.
    Det er ikke noen loginmulighet på selve recieveren som jeg har klart å finne så langt. Så man er avhengig av at noen sender noe fra en annen enhet.

    Mener du at det kan være slik at det er den siste gjesten som går hjem fra meg som vil ha mulighet til å bombe meg med musikken sin og de andre mister muligheten?

    Basert på hva jeg har lett meg frem til på nett ser det ikke slik ut. Det er først nylig at det har blitt mulig å slette koblinger mot enheter man har sendt musikk til, fra spotifyappen på telefoner og nettbrett. Så jeg synes det høres rart ut om man skulle blitt kasta ut dersom noen andre begynte å spille musikk mot enheten. Det stemmer ikke overens med hva andre har opplevd ser det ut som.
    Men jeg har ikke prøvd dette selv.

    Jeg kan heller ikke se hvem som spiller av.


    Det jeg synes er aller mest merkelig med dette, er hva Spotify tror de oppnår ved å ha det slik. Hvilken fordel har brukerne av å kunne endre musikk hjemme når de er på jobb, for eksempel?
    B&W-basert stuekino under oppføring. Byggetråd HER

  20. #20
    Hifi Freak ptb's Avatar
    Ble medlem
    Nov 2008
    Sted
    MDG´s forsøkslaboratorium
    Innlegg
    7,944
    Tagget i
    8 Innlegg
    Torget
    5
    ^ De oppnår ihvertfall at jeg aldri kommer til å gjøre bruk av deres tjenester - som om det monner
    Is there anybody out there?
    Hi-Fi oppsett loftsstue: Leben CS-600/Sugden A21ai, Meridian 508.24, Sonus Faber Liuto, Linn Sondek LP12, Thorens TEP 302. Hi-Fi oppsett stue: NAIM Uniti Star, VA Mozart Grand, Beogram 4500
    Hobbyrom- og Head-Fi komboer: Pro-Ject MaiA, Klipsch Icon, DIY Thorens TD150 MkII, Meridian 508.20, Beogram CD X,
    Stax SR-007 MkI/SRM 007tII, Ultrasone Edition 8, Oppo PM-1, B&W P5 S2, Violectric V200, Thorens TD 2001, Beogram 9000, Whest Two, Inertia BDT/1, Muffsy

Side 1 av 2 12 SisteSiste

Skrive Tillatelser

  • Du kan ikke starte nye tråder
  • Du kan ikke svare på innlegg
  • Du kan ikke laste opp vedlegg
  • Du kan ikke redigere dine innlegg
  •  


 

Om Hifisentralen

    Hifisentralen er Norges største webside innen high-end hi-fi og musikk, og vi har vært på nett siden år 2001. Velkommen til en god hi-fi diskusjon eller kjøp og salg av utstyr.
   

Følg oss på sosiale medier:

Facebook Twitter RSS Feed