NPO SmartTV app is onveilig - Privacy en beveiliging

woensdag 29 januari 2020 15:30

Acties:

+5 Henk 'm!

Topicstarter

Mijn SmartTV liep steeds vast en heb daarom met Samsung gebeld over het euvel.
De beste man deed een factory reset, maar de NPO app bleef vast lopen.

En toen viel het kwartje: waarom is de app 0.06MB? Is het soms een web-app?
En ja hoor! http://start-ctv.npo.nl (http en niet eens https)

In Firefox 56.0.2 kreeg ik de "app" aan de praat.
Met Firefox 73 nog niet.

Ik moest wel alle beveiliging in mijn router uit zetten zodat alle tracking, analytics, etc. er door komen.
En dan begrijp ik ook waarom de app wel/niet werkt.
De app is te afhankelijk van:

http www-assets.npo.nl
http images.poms.omroep.nl
https assets.npo-data.nl
https atconnect.npo.nl
https media.amberalert.nl
https topspin.npo.nl
https start-api.npo.nl
https cdn.jsdelivr.net
https cdnjs.cloudflare.com
https tag.aticdn.net
https graylog.24imedia.com
https iujns99dslob93ah.nl
https sb.scorecardresearch.com
kmnl.tns-nipo.com
npo-drm-gateway.samgcloud.nepworldwide.nl
go.microsoft.com
adconfigproxy.azurewebsites.net
secureclock.playready.microsoft.com
secureclock2.playready.microsoft.com

Daar kwam ook uit dat de app 720p is.

Ik wil dit nog wel verder uitzoeken maar het kost best wat tijd.
Straks maar de domeinnaam rerouten naar mijn test server en verder kijken.

Of heeft iemand dit al uitgezocht?

[ Voor 10% gewijzigd door DJMaze op 30-01-2020 19:13 ]

Maak je niet druk, dat doet de compressor maar

donderdag 30 januari 2020 10:11

Acties:

0 Henk 'm!

Mirano

Ben benieuwd wat hier uit komt!

donderdag 30 januari 2020 12:06

Acties:

+5 Henk 'm!

DJMaze

Topicstarter

Mirano schreef op donderdag 30 januari 2020 @ 10:11:
Ben benieuwd wat hier uit komt!

Nou, ik heb net een MitM gedaan, en die werkt perfect!
Omdat start-ctv.npo.nl inderdaad op HTTP draait kan je alles aanpassen

Hierdoor kon ik ook de headers die de Samsung Tizen TV verstuurt aanpassen.
En de user-agent nabootsen voor geautomatiseerde scripting.

code:

1	Mozilla/5.0 (SMART-TV; Linux; Tizen 2.4.0) AppleWebKit/538.1 (KHTML, like Gecko) Version/2.4.0 TV Safari/538.1

Het frapante is dat, met mijn MitM proxy, de app het nu wel doet op TV

Maak je niet druk, dat doet de compressor maar

donderdag 30 januari 2020 12:29

Acties:

+2 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Ha, mooi uitgezocht....

Dus die web-app werkt met de juiste useragent ook in de browser, terwijl je anders een mooi intro als mp4'tje ziet?

Dat er nog gebruik wordt van het onveilige HTTP is wel zwak.
Blijkbaar waren de open dir's van een jaar of 10 geleden niet voldoende

.
Toen kon je in bijna alle omroep-mappen bladeren naar scripts en verborgen test / blooper-video's (met Eva Jinek) of mappen met CV's (

)...

[ Voor 71% gewijzigd door AW_Bos op 30-01-2020 12:34 ]

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

donderdag 30 januari 2020 12:35

Acties:

+1 Henk 'm!

Xander

Waarom is dit precies onveilig?

Bang dat mensen kunnen meekijken met je TV programma? Gaan er vertrouwelijke gegevens over deze verbinding?

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

donderdag 30 januari 2020 12:37

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Xander schreef op donderdag 30 januari 2020 @ 12:35:
Waarom is dit precies onveilig?

Bang dat mensen kunnen meekijken met je TV programma? Gaan er vertrouwelijke gegevens over deze verbinding?

Het is dat de NPO geen porno uitzendt

.

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

donderdag 30 januari 2020 12:39

Acties:

0 Henk 'm!

TwArbo

Xander schreef op donderdag 30 januari 2020 @ 12:35:
Waarom is dit precies onveilig?

Bang dat mensen kunnen meekijken met je TV programma? Gaan er vertrouwelijke gegevens over deze verbinding?

Je kunt toch inloggen bij NPO Start?

donderdag 30 januari 2020 12:40

Acties:

+4 Henk 'm!

DaFeliX

Tnet Devver

AW_Bos schreef op donderdag 30 januari 2020 @ 12:37:
[...]

Het is dat de NPO geen porno uitzendt .

DJMaze schreef op woensdag 29 januari 2020 @ 15:30:
[...]
• http images.poms.omroep.nl
[[...]

images.porns.opmroep.nl doet mij iets anders vermoeden...

Einstein: Mijn vrouw begrijpt me niet

donderdag 30 januari 2020 12:42

Acties:

0 Henk 'm!

Xander

TwArbo schreef op donderdag 30 januari 2020 @ 12:39:
[...]

Je kunt toch inloggen bij NPO Start?

Geen idee ik ken de app niet goed.

Vandaar mijn vraag.

Als er inloggegevens over die http verbinding gaan dan is dat mijn antwoord.

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

donderdag 30 januari 2020 12:51

Acties:

+1 Henk 'm!

hardware-lover

verder kijken dan ......

Xander schreef op donderdag 30 januari 2020 @ 12:35:
Waarom is dit precies onveilig?

Bang dat mensen kunnen meekijken met je TV programma? Gaan er vertrouwelijke gegevens over deze verbinding?

Het ligt er een beetje aan wat je onder vertrouwelijk verstaat? Verbinding is iig niet beveiligd.

Via de gedeelde link en een browser krijg je het volgende voor de kiezen. Kan me niet herinneren dit bij gebruik van de app zo gezien te hebben, maar dat zal dan beslist wel in de app voorwaarden terug te vinden zijn (verwacht ik)?

Afbeeldingslocatie: https://i.ibb.co/r3sYcDC/NPO-start.png

Afbeeldingslocatie: https://i.ibb.co/r3sYcDC/NPO-start.png

Edit: is idd instelbaar binnen de Android app. Standaard staat dit echter aan na installatie.

[ Voor 6% gewijzigd door hardware-lover op 30-01-2020 18:40 ]

Testing, one, two ...

donderdag 30 januari 2020 12:51

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

DaFeliX schreef op donderdag 30 januari 2020 @ 12:40:
[...]

[...]

images.porns.opmroep.nl doet mij iets anders vermoeden...

Daar gaat de streaming van Spuiten & Slikken overheen

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

donderdag 30 januari 2020 13:00

Acties:

+1 Henk 'm!

DJMaze

Topicstarter

@AW_Bos & @DaFeliX:
Kleine aanpassing van het logo.
Maar je kan er man/vrouw organen neer zetten als je dat graag wilt

De slogan van 24/i media (de bouwer) is wel heel grappig nu:

We create next generation video experiences

En de android app gebruikers zijn blijkbaar ook ontevreden sinds augustus.
https://play.google.com/s...hl=nl&showAllReviews=true

Ik ga weer even verder puzzelen...

Update 15:28:

ze gebruiken kong/0.9.9
het is PlayReady protected content

Nu alleen nog de stream aan de praat krijgen.

[ Voor 58% gewijzigd door DJMaze op 18-02-2020 16:16 ]

Maak je niet druk, dat doet de compressor maar

donderdag 30 januari 2020 15:47

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Dus dit betekent dat alle streaming waarvoor je normaal moet betalen nu gratis is, nu de API-key dus zonder veel moeite uit te lezen is?

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

donderdag 30 januari 2020 15:59

Acties:

+2 Henk 'm!

DJMaze

Topicstarter

AW_Bos schreef op donderdag 30 januari 2020 @ 15:47:
Dus dit betekent dat alle streaming waarvoor je normaal moet betalen nu gratis is?

Je moet dan de JSON analyseren en aanpassen. Op basis daarvan weet je of het kan of niet.
Uit mijn onderzoek blijkt dat niet te gaan omdat je moet inloggen.

Voor nu laat ik het er bij. D.m.v. de proxy kan ik nu NPO kijken op een werkende app

Ik wil daarom 24/i media hartelijk bedanken voor de HTTP verbinding en een onwerkbare crashende app (anders had ik dit nooit uitgezocht) $_/-\o_$

[ Voor 20% gewijzigd door DJMaze op 18-02-2020 16:24 ]

Maak je niet druk, dat doet de compressor maar

donderdag 30 januari 2020 16:03

Acties:

+3 Henk 'm!

_Quadro

Morgen op nu.nl:
Nederlands Tech Forum Hackt NPO app. Na de ster meer

donderdag 30 januari 2020 17:58

Acties:

+1 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

De laatste tijd lijkt de NPO zich vooral te focussen reclame leveren.
Ik was al overgestapt naar het Jeugdjournaal om de reclame te ontwijken maar zelfs daar wordt ik nu doodgegooid reclames die het beter doen dan de uitzending die ik wil bekijken.

Dit is een van de redenen waarom ik zo enorme hekel heb aan het verschijnsel dat iedereen z'n eigen app bouwt. 90% is troep, zeker als het gaat om apps van organisaties die zelf geen software-bedrijf zijn. Er wordt ontzettend veel tijd en geld in gestoken en ze doen allemaal ongeveer hetzelfde.

We moeten terug naar het model waarin content wordt aangeboden volgens onafhankelijke en open standaarden die niet gebonden zijn aan één site, bedrijf of app. Biedt AUB een neutrale videostream aan die iedereen met z'n eigen software kan bekijken. Dan hoeft niet iedere organisatie z'n eigen crappy videospeler te onwikkelen en kunnen we weer gebruik maken van gespecialiseerde software.
Software als VLC en MPV is veeel geavanceerder dan meest geavanceerde app ooit, en draait op meer platformen dan de apps.

PS. Ik focus nu een beetje op video maar voor andere terreinen geldt hetzelfde. We hebben open standaarden en onafhankelijke software.

This post is warranted for the full amount you paid me for it.

donderdag 30 januari 2020 18:09

Acties:

+4 Henk 'm!

DJMaze

Topicstarter

Iemand heeft dit topic gelezen. De HTTP wordt nu geredirect naar HTTPS.
Maar de TV accepteert invalide SSL certificaten

Ben nu de npo.min.js van 2MB aan het analyseren.
Blijkbaar is de web-app daarom zo traag op de tv.

[ Voor 29% gewijzigd door DJMaze op 30-01-2020 18:11 ]

Maak je niet druk, dat doet de compressor maar

donderdag 30 januari 2020 18:12

Acties:

0 Henk 'm!

JukeboxBill

Gelukkig kost het maar 2,95 euro per maand om zonder reclame te kijken.

Een slimme vos is nooit te oud om een nieuwe streek te leren

donderdag 30 januari 2020 18:13

Acties:

+6 Henk 'm!

DJMaze

Topicstarter

JukeboxBill schreef op donderdag 30 januari 2020 @ 18:12:
Gelukkig kost het maar 2,95 euro per maand om zonder reclame te kijken.

Dat is niet het doel. Het doel was om te achterhalen waarom de NPO app crasht op mijn Samsung TV.
En toen kwam het hele beveiligingsprobleem aan het licht en hoe de app functioneert.

De advertenties draaien dus in JavaScript en je weet hoe het zit met malafide advertenties in je gewone PC.
Ik weet nog niet hoe veilig Tizen 2.4 is in dit opzicht.
Vandaar dit uitgebreide onderzoek.

En aangezien tv's lang mee gaan, en "smart" na 2 jaar zonder updates een soort Internet Explorers worden, is dit voor de app ontwikkelaars een doorn in het oog.
Tizen zit al op versie 4 terwijl de tv uit 2016 nog hangt op 2.4 (en zonder ES6 dus).
Laat staan TLS 1.2/1.3 voor een goede beveiliging.
Hiermee wordt dus ook duidelijk hoe lastig het wordt om een goede beveiliging in te bouwen, en de vraag of tv's überhaupt nog "smart" mogen zijn.

En dit is eigenlijk nog onschuldig om de app aan de praat te krijgen, wat Samsung allemaal aan data verstuurt naar samsung is vast zorgwekkender (heb ik nog niet uitgezocht).

[ Voor 56% gewijzigd door DJMaze op 30-01-2020 19:33 ]

Maak je niet druk, dat doet de compressor maar

vrijdag 31 januari 2020 00:40

Acties:

0 Henk 'm!

WeiserMaster

DJMaze schreef op donderdag 30 januari 2020 @ 18:13:
[...]
En dit is eigenlijk nog onschuldig om de app aan de praat te krijgen, wat Samsung allemaal aan data verstuurt naar samsung is vast zorgwekkender (heb ik nog niet uitgezocht).

Ik ben benieuwd!

vrijdag 31 januari 2020 00:42

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

DJMaze schreef op donderdag 30 januari 2020 @ 18:09:
Iemand heeft dit topic gelezen. De HTTP wordt nu geredirect naar HTTPS.
Maar de TV accepteert invalide SSL certificaten

Zeg dat nou niet te hard, straks leest Samsung mee en krijgen we zo een software-update

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

vrijdag 31 januari 2020 07:42

Acties:

0 Henk 'm!

De Nelis

en anders maar niet...

AW_Bos schreef op vrijdag 31 januari 2020 @ 00:42:
[...]

Zeg dat nou niet te hard, straks leest Samsung mee en krijgen we zo een software-update

Samsung, software update? 🤡

time is infinite, but each week is ten hours short..

vrijdag 31 januari 2020 14:36

Acties:

0 Henk 'm!

-SaveMe-

-klik-

Ik gebruik NPO Start (plus) op mijn AppleTV, zou dit daar ook zo slecht zijn ... ?

GamiQ, de game notes app met game maps!

zaterdag 1 februari 2020 21:48

Acties:

0 Henk 'm!

kodak

FP ProMod

@DJMaze heb je al contact opgenomen met NPO? Wel zo netjes lijkt me om het daar eerst te melden zodat ze het kunnen verbeteren.

zaterdag 1 februari 2020 21:58

Acties:

0 Henk 'm!

GlowMouse

DJMaze schreef op donderdag 30 januari 2020 @ 18:09:
Iemand heeft dit topic gelezen. De HTTP wordt nu geredirect naar HTTPS.
Maar de TV accepteert invalide SSL certificaten

Met je mitm hoef je de redirect niet door te sturen. Je tv kan gewoon HTTP blijven doen naar de mitm.

zaterdag 1 februari 2020 22:06

Acties:

+6 Henk 'm!

DJMaze

Topicstarter

kodak schreef op zaterdag 1 februari 2020 @ 21:48:
@DJMaze heb je al contact opgenomen met NPO? Wel zo netjes lijkt me om het daar eerst te melden zodat ze het kunnen verbeteren.

Dat wilde ik gister doen met een rapport om te verbeteren. Echter was iemand mij voor en heeft mij gebeld. Ik ga op de koffie langs.

Er staat ook weinig onthullends in dit topic en ben ik wel iets doorgeschoten omdat blijkbaar bijna niemand Smart TV problematiek aankaart.

[ Voor 16% gewijzigd door DJMaze op 01-02-2020 22:17 ]

Maak je niet druk, dat doet de compressor maar

zaterdag 1 februari 2020 22:17

Acties:

0 Henk 'm!

kodak

FP ProMod

DJMaze schreef op zaterdag 1 februari 2020 @ 22:06:
[...]
Dat wilde ik gister doen met een rapport om te verbeteren. Echter was iemand mij voor en heeft mij gebeld. Ik ga op de koffie langs.

Kan je ze mooi vragen wat ze nog graag getest willen hebben

(Zie je vraag of dit al bekend was.)

zaterdag 1 februari 2020 22:42

Acties:

0 Henk 'm!

DJMaze

Topicstarter

kodak schreef op zaterdag 1 februari 2020 @ 22:17:
Kan je ze mooi vragen wat ze nog graag getest willen hebben
(Zie je vraag of dit al bekend was.)

Wie weet!

Zal in ieder geval graag overleggen of ze info kunnen verstrekken aan het publiek, zodat it-nederland weet waarom dingen zijn zoals ze zijn (zonder bedrijfsgeheimen te publiceren).

Maak je niet druk, dat doet de compressor maar

zaterdag 15 februari 2020 21:43

Acties:

0 Henk 'm!

Blihi

Je moet voor de grap die Samsung smart TV eens achter een pihole zetten. Dan valt pas op hoeveel informatie die TV probeert naar Samsung te sturen. Echt bizar.

De advertenties in NPO start zijn vrij eenvoudig te blokkeren. De meeste van de advertentieservers in de OP worden door standaard blacklists al verwijderd. Je moet soms wel de TV opnieuw opstarten om de NPO app aan de gang te krijgen.

WP: Toshiba Estia 8kW split HWT-801H(R)W-E + HWT-1101 binnenunit met 300 liter SWW tank. PV: 4 strings, totaal 12590 Wp

dinsdag 18 februari 2020 16:39

Acties:

+3 Henk 'm!

DJMaze

Topicstarter

Ik ben op de koffie geweest bij 24/i.
Gezellig informeel actief bedrijf, waar je prima kan werken, darten, eitje koken (nog geen paaseieren).
Als je wil scripten/ontwikkelen/gamen voor tv's kan je solliciteren.

Uit het gesprek kwam naar voren waarom http wordt gebruikt.
Veel tv's hebben verlopen SSL certificaten en dat is jammer.
Doordat ze na mijn actie http redirecten naar https bleken dus veel tv's het niet goed te doen.
Cijfers heb ik niet, maar het zou zonde zijn als de tv in de woonkamer na 5 jaar niet naar een andere kamer / mancave kan verhuizen vanwege SSL.

Maak je niet druk, dat doet de compressor maar

dinsdag 29 december 2020 20:53

Acties:

0 Henk 'm!

satya

Ook handig:

ik zocht wat atconnect.npo.nl deed want die kwam ik geblokt bij nextdns tegen.

https://www.utrechtsciencepark.nl/nl/privacybeleid

woensdag 30 december 2020 15:02

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

satya schreef op dinsdag 29 december 2020 @ 20:53:
Ook handig:

ik zocht wat atconnect.npo.nl deed want die kwam ik geblokt bij nextdns tegen.

https://www.utrechtsciencepark.nl/nl/privacybeleid

Ik begreep niet wat je hier wilde zeggen, tot ik javascript er aanzette

Collects data on user behaviour and interaction in order to optimize the website and make advertisement on the website more relevant.

Sja.. Niet echt nodig voor een niet-gratis TV.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)