Safari-Zwang, System-Eingriffe, China-Zertifikate
MagentaTV: Grusel-Erfahrungen beim Streaming unter macOS
Der soeben veröffentlichte Twitter-Thread des Entwicklers Cedric Kastner sollte eine Pflichtlektüre für alle Telekom-Manager werden, die am Rollout des Video-Streaming-Dienstes MagentaTV mitgearbeitet haben.
In insgesamt 14 Wortmeldungen beschreibt Kastner hier seinen Versucht das Telekom-Angebot zumindest einmal auszuprobieren und nimmt den interessierten Leser an die Hand durch ein Mienenfeld voll schlechten Entscheidungen, furchtbarer Software-Komponenten und stümperhafter Auftragsarbeiten.
Kastners Odyssee beginnt mit Login-Problemen und dem verwirrenden Telekom-Hinweis, er möge zum Zuschauen bitte den Apple-Browser Safari nutzen. Eine noch zu verkraftende Einschränkung. Was dann jedoch folgt, wird euch in den kommenden Tagen schlecht schlafen lassen.
Vom 75MB großen Telekom-„Plugin“ mit fehlenden Berechtigungen aus der zwilichtigen Huawei-Küche, über neue Root-Zertifikate, fest hinterlegte Crypto-Schlüssel und Mechanismen, die so tief ins System eingreifen, dass Apples App Nap-Funktion direkt mal für alle Apps deaktiviert wird.
Es hätte so schön sein können: eine Alternative zu @Zattoo, die mir neuerdings paralleles Streaming per Sendergruppe verbieten. Aber nein: @MagentaTV verkackt schon beim Login. #Telekom #MagentaTV #ITmadeInGermany #WirSchaffenDas #Neuland pic.twitter.com/XfmTZlCGOV
— Cedric Kastner (@nurtext) 4. November 2019
Ich kann mich nun bei @MagentaTV einloggen, aber er mag Chromium, Firefox, Chrome, und Brave nicht. Ich solle bitte Safari verwenden – WTF?! pic.twitter.com/5hRma5TjVM
— Cedric Kastner (@nurtext) 4. November 2019
Okay, also nehme ich Safari. Man hat ja sonst keine Probleme. Aber die Telekom weiß es besser und versorgt mich mit dem nächsten Fehler. Ich habe übrigens nur auf Das Erste schalten wollen. pic.twitter.com/NwJvLQhItM
— Cedric Kastner (@nurtext) 4. November 2019
Einer geht noch. Ich soll jetzt ein Plugin installieren. Na warum auch nicht?! Wäre doch viel zu einfach, würde man die DRM-Komponenten des jeweiligen Browsers verwenden, so wie Amazon, Netflix, und alle anderen VoD-Anbieter es tun. Was kommt als nächstes? Adobe Flash? pic.twitter.com/OYrXDcX44D
— Cedric Kastner (@nurtext) 4. November 2019
Das "Plugin" ist 75 MB groß und lädt mit unter 1 MB/s vor isch hin. Wenn die Telekom eines kann, dann Infrastruktur und Software-Entwicklung – klar. pic.twitter.com/uPSTXyP9yK
— Cedric Kastner (@nurtext) 4. November 2019
Das Installationspaket ist natürlich nicht mit einem Apple Developer Distribution-Zertifikat signiert, weswegen macOS nun meckert. Hint: Ich bin schon auf der 2. Stufe der macOS-Sicherheit. pic.twitter.com/9nn1sfXjHF
— Cedric Kastner (@nurtext) 4. November 2019
Dann schauen wir uns das Plugin doch mal genauer an… Och guck mal, das hat die Telekom wohl von Huawai bauen lassen, genau wie die Open Telekom Cloud, die ja ein richtiger Erfolg war. #MadeInGermanyNOT pic.twitter.com/BzI9S90fX2
— Cedric Kastner (@nurtext) 4. November 2019
Es wird spannend. Die Telekom möchte mir Zertifikate unterjubeln. Spätestens jetzt sollte @heiseonline @golem und das @BSI_Bund sich den Kram mal angucken. pic.twitter.com/vsdLgnK8GD
— Cedric Kastner (@nurtext) 4. November 2019
Aber zunächst einmal verbasteln sie systemweit das Kommandozeilentool "screencapture" und deaktivieren das macOS-Feature "App Nap" für ALLE Benutzer. pic.twitter.com/a9hyFfEdor
— Cedric Kastner (@nurtext) 4. November 2019
* für alle angemeldeten Benutzer. Dafür deaktivieren sie App Nap aber nicht nur für ihre Player-App sondern für alle Apps.
— Cedric Kastner (@nurtext) 4. November 2019
Knaller: Sie prüfen auf zwei Ports und wenn diese offen sind (aka eine Verbindung zum Streaming-Server (und CA-Server?) besteht, unterbinden sie "screencapture" mit Exit-Code 1. pic.twitter.com/8yHG0rbwmw
— Cedric Kastner (@nurtext) 4. November 2019
Ich bin zwar kein Kryptografie-Experte, aber das hier sieht nach einem absoluten Fail aus, auch wenn es offenbar nicht aktiv verwendet wird: "Zufälliger 128-Byte String" der einfach nur ne statische Zeichenkette zu sein scheint. Top! pic.twitter.com/t0MUF4R5dG
— Cedric Kastner (@nurtext) 4. November 2019
Kommen wir zum spannenden Teil, den Zertifikaten: Falls da draußen jemand auf Private Keys von @Huawei_Germany sitzt und das Kennwort nicht kennt, aber gerne eigene Zertifikate in derren Namen erstellen möchte: Versucht es mal mit: Huawei123 #DieBestenDerBestenDerBestenSir pic.twitter.com/CeGOzTmx4H
— Cedric Kastner (@nurtext) 4. November 2019
Zertifikate Teil 2: Selbst-signierte Root- und Server-Zertifikate, u.a. für localhost, ausgestellt auf die Telekom und mit höchsten Trust-Level im Schlüsselbund von macOS hinterlegt, gern geschehen – ihre Telekom. pic.twitter.com/jCllWpFlKK
— Cedric Kastner (@nurtext) 4. November 2019
Ich würde ja gerne noch weiter forschen, aber das wird mir jetzt zu wild. Traut dem Zeug von @deutschetelekom nicht, da wird sehr tief in euer System eingegriffen und mich würde es wundern, wenn es auf Windows anders wäre, als bei mir auf macOS. @golem & @heiseonline übernehmt.
— Cedric Kastner (@nurtext) 4. November 2019