Résultats de 1 à 24 sur 24
  1. #1
    Inscrit
    janvier 2015
    Messages
    2 809
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    31

    Consiguen ver sin pagar los canales de pago de Movistar TV



    Todos los sistemas y todas las aplicaciones tienen agujeros de seguridad. Movistar TV, el paquete de televisión incluido en Fusión no iba a ser menos y es que un investigador de la Universidad Politécnica de Madrid ha conseguido ver los canales de pago gratis sin pagar.
    Según podemos leer en eldiario.es, Aitor Magán, investigador de la Universidad Politécnica de Madrid, se dio cuenta mientras jugaba con la aplicación de Movistar TV para Windows que era capaz de ver Canal+1, un servicio que no tenía contratado. En un primer momento no sabía como había conseguido ver un canal de pago que no había contratado, así que comenzó a investigar. El objetivo era descubrir las URL utilizadas por la operadora para transmitir los canales.

    Para ello, analizó las peticiones realizadas por su navegador hasta encontrar las URL de todos los canales de pago. En ese momento se dio cuenta de que cada canal disponía de tres direcciones distintas, dos de ellas protegidas por algún tipo de DRM mientras la tercera no estaba cifrada con nada. Analizando todas las demás, pudo comprobar que se formaban siempre de la misma siguiendo una estructura muy básica.
    Una vez conseguidas estas URL, bastaría con introducirlas en un reproductor como VLC. Aunque no es exactamente lo mismo, con nuestro ordenador podemos ver sin problemas los canales que sí tenemos contratados con un reproductor de vídeo. En nuestro foro tenemos un hilo que explica todo el proceso y ofrece las direcciones necesarias de cada uno de los canales.

    Aviso a Movistar

    Aitor decidió entonces avisar a la operadora del fallo de seguridad, empleando para ello Twitter como canal de comunicación. Señala que la respuesta fue rápida y en los días siguientes ya no era posible acceder a los enlaces sin proteger, aunque las que él había guardado seguían operativas. Por ello pensó que el problema se había solucionado para los nuevos intentos de recuperar las URL sin protección.
    Aunque nada más lejos de la realidad ya que todos los enlaces han vuelto a funcionar después de un tiempo y parece que en estos momentos siguen activos. Ha cambiado ligeramente la URL y su estructura, pero en el fondo sigue siendo lo mismo que antes. Por ello, este usuario ha decidido publicar el problema de seguridad al entender que no se le ha puesto el remedio correcto.

    adslzone
    mvision 260hd

    no me molesta que me mientas,lo que me molesta es que ya no puedo confiar en ti

  2. Merci pour ce post tonil thanked for this post
  3. #2
    Inscrit
    septembre 2014
    Localisation
    España
    Âge
    48
    Messages
    666
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    7
    Pues ya podia haberse callado la boca jeje .para su investigación y desarrollo.

  4. Merci pour ce post Niebla, tonil thanked for this post
    Likes coletti liked this post
  5. #3
    Inscrit
    janvier 2015
    Messages
    2 809
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    31
    tienes razon todo lo que sea I+D jajajajajaja
    mvision 260hd

    no me molesta que me mientas,lo que me molesta es que ya no puedo confiar en ti

  6. Merci pour ce post tonil thanked for this post
  7. #4
    Inscrit
    avril 2015
    Messages
    1 121
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    9
    ¿se pueden conseguir esas url para su investigacion..?

  8. Merci pour ce post tonil thanked for this post
  9. #5
    Inscrit
    janvier 2015
    Messages
    814
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    7
    La moral de cada uno

  10. Merci pour ce post tonil thanked for this post
  11. #6
    Inscrit
    avril 2015
    Messages
    728
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    5
    Poco a poco ya caerán los de movi

  12. Merci pour ce post tonil thanked for this post
  13. #7
    Inscrit
    janvier 2015
    Localisation
    Jaén (España)
    Âge
    34
    Messages
    352
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    3
    Muy buena información, gracias.

  14. Merci pour ce post tonil thanked for this post
  15. #8
    Inscrit
    avril 2015
    Âge
    37
    Messages
    40
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    0
    Ahora mismo parece que ya no van.Saludos

  16. Merci pour ce post tonil thanked for this post
  17. #9
    Inscrit
    janvier 2015
    Messages
    883
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    6
    Leñes en que parte del foro están las url jajajajajaj, es broma.

  18. Merci pour ce post tonil thanked for this post
    Likes coletti liked this post
  19. #10
    Inscrit
    janvier 2015
    Messages
    2 809
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    31

    Aitor Magán García

    Researcher at Universidad Politécnica de Madrid
    Seguir




    Cómo descubrí las URLs de los canales de Movistar TV Go

    8 de abr de 2015





    Una tarde, jugando con la aplicación de Movistar TV para Windows, descubrí que era capaz de ver Canal+1. Eso no tendría nada de sorprendente si no fuera por el hecho de que no lo tengo contratado. No sé cómo conseguí esto, pero me dio a entender que era posible ver los canales de TV aunque no los tuvieses contratados.
    Dada la conclusión anterior, me propuse hacer algunas pruebas para ver si era capaz de descubrir las URLs que se usan para hacer el streaming. Y cuál fue mi sorpresa al conseguirlo.
    Cuando era pequeño, hacer este tipo de experimentos me encantaba y estoy seguro de que de haber existido esta plataforma hace unos años, habría experimentado con ella antes. Sin embargo, el estar todo el día delante de un ordenador, mi interés al llegar a casa se basa en desconectar, aunque a veces me siga saliendo la vena freak que llevo dentro.
    Así, me puse a experimentar con la versión web del servicio, haciendo un simple monitoreo de las peticiones de red mediante el navegador para ver qué era lo que encontraba. Cuál fue mi sorpresa al comprobar, que en una de las llamadas al backend, se estaban devolviendo las URLs de todos los canales que el usuario tenía contratados. Cada canal disponía de tres URLs: dos protegidas mediante DRM y otra sin ningún tipo de protección. Aquí el ejemplo de algunas de las URLs (no protegidas) encontradas:


    Como se puede apreciar, las URLs de todos los canales siguen un esquema muy básico:
    http://BXXXXX.cdn.telefonica.com/XXXXXX/NOMBRE-CANAL-ACORTADO_SUB.m3u8
    donde XXXXX es un identificador aleatorio y NOMBRE-CANAL-ACORTADO el nombre del canal acortado.
    Dado esto, me propuse un siguiente paso: descubrir la URL de Canal+1, un canal que no tenía contratado y que el backend no me había devuelto en la petición. Sólo había dos variables: ¿cuál era el identificador? y ¿cuál era el nombre del canal acortado?
    La parte del identificador era la más complicada y es que es completamente aleatoria (o al menos no he encontrado ningún patrón). La única pista que podía intuir es que era un número entre 25000 y 40000. Por su parte, el nombre del canal acortado era más sencillo viendo el patrón que se había utilizado para Canal+Liga (CPLUSLG) y Canal+Champions (CPLUSCHP). Así que me decidí por usar CPLUS1.
    Lo único que quedaba era hacer un bucle de llamadas hasta encontrar cual era el identificador adecuado. Esto lo hice mediante un simple script en Python. Al final descubrí que la URL para ver Canal+1 era (y digo era): http://b31303.cdn.telefonica.com/31303/CPLUS1_SUB.m3u8.
    Una vez, y con todos estos datos, me puse en contacto con @movistar_es vía Twitter para comentarles acerca de este fallo. He de reconocer que se pusieron en contacto conmigo el mismo día que les comenté el fallo. Unos días más tarde pude comprobar que el backend ya no estaba devolviendo la URL del canal sin proteger. Sólo devolvía las URLs protegidas con DRM, aunque las que estaban sin proteger (y que yo había almacenado) seguían completamente operativas. Sin embargo, poco a poco las URLs dejaron fueron dejando de funcionar. Primero cayó la de Canal+1 (justo antes del partido FC Barcelona-Real Madrid) y las demás dejaron de responder al cabo de una semana.
    En la última semana de marzo, sólo funcionaba la URL de Cosmopolitan. Sin embargo, cuál fue mi sorpresa ayer al comprobar que, de nuevo, todas las URLs (salvo la de Canal+1) estaban funcionando de nuevo.
    En el siguiente enlace, podéis acceder a las URLs de los canales que están funcionando en este momento: https://gist.github.com/aitormagan/a13ef797cc26d193704f. Sólo tienes que abrir las URLs con VLC desde cualquier sitio con conexión a Internet (incluso fuera de España).
    Sólo hay una cosa en la que estaba equivocado inicialmente. Al principio entendí que los canales se mandaban sin ningún tipo de protección. Sin embargo, he podido comprobar que todas las aplicaciones utilizan las URLs protegidas con DRM para mostrar los canales. No obstante, esto tampoco es del todo seguro ya que un usuario con las suficientes habilidades técnicas, podría manipular las aplicaciones para que abriesen URLs de canales que no tienen contratados.
    Aclaraciones finales

    En principio, cuando hablé con la gente de Movistar (en realidad Telefonica I+D), les dije que en un mes haría público el fallo, ya que me parecía un logro interesante para mi experiencia laboral. El día que se cumplió el mes ninguna de las URLs estaban funcionando así que desistí de publicarlo al entender que nadie me iba a dar crédito ya que desde el momento en que comuniqué el error nadie se ha vuelto a poner en contacto conmigo ni para darme las gracias, y eso que me pidieron el correo electrónico "para mantenerme informado". Ahora que casi todas las URLs vuelven a funcionar, veo que es el momento de hacer esta publicación y que no quede en el olvido.
    Esto sólo me deja una cosa clara: Spain is different. En cualquier otro sitio, la empresa, a la que por cierto pago 100 € mensuales, habría recompensado al usuario. Aquí no han dado ni las gracias.
    Si estás interesado en el Script de Python que utilicé para descubrir las URLs de los canales, puedes pedírmelo por aquí y te lo mando sin problemas.
    Aitor Magán
    mvision 260hd

    no me molesta que me mientas,lo que me molesta es que ya no puedo confiar en ti

  20. Merci pour ce post Treville, tonil, hem. thanked for this post
  21. #11
    Inscrit
    février 2015
    Âge
    46
    Messages
    4 286
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    25
    Tarde o temprano caeran es ley de vida,un saludo.

  22. Merci pour ce post tonil thanked for this post
  23. #12
    Inscrit
    avril 2015
    Âge
    59
    Messages
    98
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    3
    Muy buena información

  24. Merci pour ce post tonil thanked for this post
  25. #13
    Inscrit
    mars 2015
    Âge
    64
    Messages
    282
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    5
    Citation Envoyé par orujillo Voir le message
    Tarde o temprano caeran es ley de vida,un saludo.
    O quizás, podrían haber caído incluso antes de tal "descubrimiento". Solo que aún no es público.

  26. Merci pour ce post tonil thanked for this post
    Likes coletti liked this post
  27. #14
    Inscrit
    avril 2015
    Messages
    210
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    3
    muy buena informacion saludos

  28. Merci pour ce post tonil thanked for this post
  29. #15
    Inscrit
    avril 2015
    Âge
    64
    Messages
    702
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    3
    gracias por la informacion un saludo

  30. Merci pour ce post tonil thanked for this post
  31. #16
    Inscrit
    juin 2014
    Âge
    42
    Messages
    776
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    10
    A por ellos que son pocos y cobardes

    zaludos
    Fresat v7
    vu+zero openplus 2.0
    Clon clud ibox black hole 2.0.6

  32. Merci pour ce post coletti thanked for this post
  33. #17
    Inscrit
    janvier 2015
    Messages
    2 809
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    31
    la pena es que antes se hacia de manera altruista ahora si no se saca tajada no se hace publico
    mvision 260hd

    no me molesta que me mientas,lo que me molesta es que ya no puedo confiar en ti

  34. #18
    Inscrit
    avril 2015
    Âge
    35
    Messages
    41
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    0
    pero esas cosas no se dicen hombre......jajajajaja, aunque estas cosas, mas temprano que tarde, acaban cayendo

  35. #19
    Inscrit
    avril 2015
    Âge
    51
    Messages
    78
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    3
    Legamos tarde, pero tiempo al tiempo

  36. #20
    Inscrit
    mars 2015
    Âge
    64
    Messages
    282
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    5
    Citation Envoyé par coletti Voir le message
    la pena es que antes se hacia de manera altruista ahora si no se saca tajada no se hace publico
    Verdad! Que tiempos aquellos. Las piccards, la negrita y sus mosceos, etc....con el amigo Maligno que en gloria esté.

  37. Likes coletti liked this post
  38. #21
    Inscrit
    janvier 2015
    Âge
    48
    Messages
    97
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    3
    este tio es un crack pero eso de avisar no se hace se comparte e investigamos todos

  39. Merci pour ce post DRAKE thanked for this post
  40. #22
    Inscrit
    mars 2015
    Âge
    64
    Messages
    282
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    5
    Citation Envoyé par nereuky Voir le message
    este tio es un crack pero eso de avisar no se hace se comparte e investigamos todos
    Ahí la has claváo compi!

  41. #23
    Inscrit
    janvier 2015
    Âge
    52
    Messages
    82
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    3
    son unos desagradecidos , despues de haberle dado la informacion del fallo no han tenido ningun detalle con usted

  42. #24
    Inscrit
    mai 2015
    Âge
    52
    Messages
    44
    Messages Remerciés / Appréciés
    Pouvoir de réputation
    0
    sera cuestion de investigar.....

Sujets similaires

  1. Los españoles tendremos que volver a pagar para poder ver la TDT
    Par bacanal dans le forum Discusión general
    Réponses: 3
    Dernier message: 19/07/2017, 18h28
  2. Réponses: 4
    Dernier message: 29/03/2017, 19h24
  3. Tutorial ver gratis Movistar-Tv Con User y Pass preactivado sin crack
    Par jamt25 dans le forum Ayuda y tutorales IPTV
    Réponses: 0
    Dernier message: 20/12/2016, 16h24
  4. Réponses: 3
    Dernier message: 07/07/2016, 15h40
  5. Réponses: 0
    Dernier message: 22/12/2015, 23h36

Liens sociaux

Liens sociaux

Règles des messages

  • Vous ne pouvez pas créer de sujets
  • Vous ne pouvez pas répondre aux sujets
  • Vous ne pouvez pas importer de fichiers joints
  • Vous ne pouvez pas éditer vos messages
  •  
  • Les BB codes sont Activés
  • Les Smileys sont Activés
  • Le BB code [IMG] est Activé
  • Le code [VIDEO] est Activé
  • Le code HTML est Désactivé