Author Topic: PhatNoise spying  (Read 10142 times)

0 Members and 1 Guest are viewing this topic.

Offline sbingner

  • Administrator
  • Veteran.
  • *****
  • Posts: 1301
PhatNoise spying
« on: June 20, 2007, 09:47:47 pm »
Guess what, phatnoise is spying on us... anybody know the legality of this?   Whenever you run PhatNoise Media Manager it does the following:

Code: [Select]
11:44:50.033595 IP 192.168.1.4.tksocket > 205.157.3.52.http: P 1:201(200) ack 1 win 65535
        0x0000:  4500 00f0 23ff 4000 8006 438b c0a8 0104  E...#.@...C.....
        0x0010:  cd9d 0334 0b63 0050 b8af 3534 b3cf 5efe  ...4.c.P..54..^.
        0x0020:  5018 ffff ee78 0000 4745 5420 2f75 7361  P....x..GET./usa
        0x0030:  6765 2f70 6d75 2e70 6870 3f61 3d31 2675  ge/pmu.php?a=1&u
        0x0040:  7365 723d 3846 3131 3742 4242 2d39 3930  ser=8F117BBB-990
        0x0050:  422d 3435 6335 2d42 3239 462d 3145 3941  B-45c5-B29F-1E9A
        0x0060:  4537 3141 4334 4639 2664 6174 653d 3230  E71AC4F9&date=20
        0x0070:  3037 2d30 362d 3230 2532 3031 3125 3341  07-06-20%2011%3A
        0x0080:  3434 2533 4133 3620 4854 5450 2f31 2e31  44%3A36.HTTP/1.1
        0x0090:  0d0a 5573 6572 2d41 6765 6e74 3a20 5068  ..User-Agent:.Ph
        0x00a0:  6174 4e6f 6973 6520 4d65 6469 6120 4d61  atNoise.Media.Ma
        0x00b0:  6e61 6765 720d 0a48 6f73 743a 2073 6f66  nager..Host:.sof
        0x00c0:  7477 6172 652e 7068 6174 6e6f 6973 652e  tware.phatnoise.
        0x00d0:  636f 6d0d 0a43 6163 6865 2d43 6f6e 7472  com..Cache-Contr
        0x00e0:  6f6c 3a20 6e6f 2d63 6163 6865 0d0a 0d0a  ol:.no-cache....

The response is a 404, but that doesn't mean it's not still logged...

Offline judb

  • Administrator
  • Veteran.
  • *****
  • Posts: 1329
  • ph4t l3wtz
Re: PhatNoise spying
« Reply #1 on: June 20, 2007, 10:08:15 pm »
interesting.. i wonder what exactly it is sending back to phatnoise.. or was sending back if it is broken now.  i'm of half a mind to poison my internal DNS to keep phatnoise from getting traffic from my system.  thats just not cool.

Offline sbingner

  • Administrator
  • Veteran.
  • *****
  • Posts: 1301
Re: PhatNoise spying
« Reply #2 on: June 20, 2007, 11:04:34 pm »
All I saw it sending is what I posted... it also appears to www.microsoft.com which seems pretty strange.  I could post that info also.

It's telling them when you open and close PMM and providing a unique ID for the installation
« Last Edit: June 20, 2007, 11:14:53 pm by sbingner »

Offline beckfield

  • A few posts under my belt.
  • *
  • Posts: 35
  • PhatHacker
Re: PhatNoise spying
« Reply #3 on: June 20, 2007, 11:37:57 pm »
Isn't there an integrated web browser in Media Manager, like the one in Music Manager?

Offline sbingner

  • Administrator
  • Veteran.
  • *****
  • Posts: 1301
Re: PhatNoise spying
« Reply #4 on: June 20, 2007, 11:42:29 pm »
Here's the full dump of all outgoing communication:

Code: [Select]
13:37:42.660946 IP 192.168.1.4.ovwdb > 207.46.193.254.http: P 0:325(325) ack 1 win 65535
        0x0000:  4500 016d 4e59 4000 8006 5858 c0a8 0104  E..mNY@...XX....
        0x0010:  cf2e c1fe 098f 0050 da87 2521 4829 3337  .......P..%!H)37
        0x0020:  5018 ffff 89ce 0000 4745 5420 2f20 4854  P.......GET./.HT
        0x0030:  5450 2f31 2e31 0d0a 5573 6572 2d41 6765  TP/1.1..User-Age
        0x0040:  6e74 3a20 5068 6174 4e6f 6973 6520 4d65  nt:.PhatNoise.Me
        0x0050:  6469 6120 4d61 6e61 6765 720d 0a48 6f73  dia.Manager..Hos
        0x0060:  743a 2077 7777 2e6d 6963 726f 736f 6674  t:.www.microsoft
        0x0070:  2e63 6f6d 0d0a 4361 6368 652d 436f 6e74  .com..Cache-Cont
        0x0080:  726f 6c3a 206e 6f2d 6361 6368 650d 0a43  rol:.no-cache..C
        0x0090:  6f6f 6b69 653a 204d 4331 3d47 5549 443d  ookie:.MC1=GUID=
        0x00a0:  3562 3666 6632 6661 3166 6337 3565 3431  5b6ff2fa1fc75e41
        0x00b0:  6133 6630 3032 3864 3930 6462 3264 3465  a3f0028d90db2d4e
        0x00c0:  2648 4153 483d 6661 6632 264c 563d 3230  &HASH=faf2&LV=20
        0x00d0:  3037 3526 563d 333b 2041 3d49 2649 3d41  075&V=3;.A=I&I=A
        0x00e0:  7855 4641 4141 4141 4142 5543 6741 416f  xUFAAAAAABUCgAAo
        0x00f0:  5379 474c 7570 4978 744c 335a 4565 3368  SyGLupIxtL3ZEe3h
        0x0100:  4461 6e41 4121 2126 4353 3d31 3130 7675  DanAA!!&CS=110vu
        0x0110:  6e36 3030 3257 3448 304a 3b20 5754 5f46  n6002W4H0J;.WT_F
        0x0120:  5043 3d69 643d 3230 362e 3132 362e 332e  PC=id=206.126.3.
        0x0130:  3138 362d 3137 3138 3137 3831 3434 2e32  186-1718178144.2
        0x0140:  3938 3630 3233 363a 6c76 3d31 3138 3135  9860236:lv=11815
        0x0150:  3535 3931 3633 3539 3a73 733d 3131 3831  55916359:ss=1181
        0x0160:  3538 3433 3331 3233 340d 0a0d 0a         584331234....
13:37:43.041828 IP 192.168.1.4.ovwdb > 207.46.193.254.http: P 325:692(367) ack 508 win 65028
        0x0000:  4500 0197 4e7b 4000 8006 580c c0a8 0104  E...N{@...X.....
        0x0010:  cf2e c1fe 098f 0050 da87 2666 4829 3532  .......P..&fH)52
        0x0020:  5018 fe04 fecd 0000 4745 5420 2f65 6e2f  P.......GET./en/
        0x0030:  7573 2f64 6566 6175 6c74 2e61 7370 7820  us/default.aspx.
        0x0040:  4854 5450 2f31 2e31 0d0a 5573 6572 2d41  HTTP/1.1..User-A
        0x0050:  6765 6e74 3a20 5068 6174 4e6f 6973 6520  gent:.PhatNoise.
        0x0060:  4d65 6469 6120 4d61 6e61 6765 720d 0a48  Media.Manager..H
        0x0070:  6f73 743a 2077 7777 2e6d 6963 726f 736f  ost:.www.microso
        0x0080:  6674 2e63 6f6d 0d0a 4361 6368 652d 436f  ft.com..Cache-Co
        0x0090:  6e74 726f 6c3a 206e 6f2d 6361 6368 650d  ntrol:.no-cache.
        0x00a0:  0a43 6f6e 6e65 6374 696f 6e3a 204b 6565  .Connection:.Kee
        0x00b0:  702d 416c 6976 650d 0a43 6f6f 6b69 653a  p-Alive..Cookie:
        0x00c0:  204d 4331 3d47 5549 443d 3562 3666 6632  .MC1=GUID=5b6ff2
        0x00d0:  6661 3166 6337 3565 3431 6133 6630 3032  fa1fc75e41a3f002
        0x00e0:  3864 3930 6462 3264 3465 2648 4153 483d  8d90db2d4e&HASH=
        0x00f0:  6661 6632 264c 563d 3230 3037 3526 563d  faf2&LV=20075&V=
        0x0100:  333b 2041 3d49 2649 3d41 7855 4641 4141  3;.A=I&I=AxUFAAA
        0x0110:  4141 4142 5543 6741 416f 5379 474c 7570  AAABUCgAAoSyGLup
        0x0120:  4978 744c 335a 4565 3368 4461 6e41 4121  IxtL3ZEe3hDanAA!
        0x0130:  2126 4353 3d31 3130 7675 6e36 3030 3257  !&CS=110vun6002W
        0x0140:  3448 304a 3b20 5754 5f46 5043 3d69 643d  4H0J;.WT_FPC=id=
        0x0150:  3230 362e 3132 362e 332e 3138 362d 3137  206.126.3.186-17
        0x0160:  3138 3137 3831 3434 2e32 3938 3630 3233  18178144.2986023
        0x0170:  363a 6c76 3d31 3138 3135 3535 3931 3633  6:lv=11815559163
        0x0180:  3539 3a73 733d 3131 3831 3538 3433 3331  59:ss=1181584331
        0x0190:  3233 340d 0a0d 0a                        234....
13:37:43.632875 IP 192.168.1.4.ratl > 205.157.3.56.http: P 0:194(194) ack 1 win 65535
        0x0000:  4500 00ea 4ede 4000 8006 18ae c0a8 0104  E...N.@.........
        0x0010:  cd9d 0338 0991 0050 28d6 057d 7af1 8ccc  ...8...P(..}z...
        0x0020:  5018 ffff 2c68 0000 4745 5420 2f55 7064  P...,h..GET./Upd
        0x0030:  6174 6572 2f63 7572 7265 6e74 5665 7273  ater/currentVers
        0x0040:  696f 6e4e 756d 6265 722e 6173 703f 7370  ionNumber.asp?sp
        0x0050:  6563 6961 6c62 7569 6c64 3d50 4841 544e  ecialbuild=PHATN
        0x0060:  4f49 5345 5f57 5757 2663 7572 7265 6e74  OISE_WWW&current
        0x0070:  5665 7273 696f 6e3d 332e 3932 2048 5454  Version=3.92.HTT
        0x0080:  502f 312e 310d 0a55 7365 722d 4167 656e  P/1.1..User-Agen
        0x0090:  743a 2050 6861 744e 6f69 7365 204d 6564  t:.PhatNoise.Med
        0x00a0:  6961 204d 616e 6167 6572 0d0a 486f 7374  ia.Manager..Host
        0x00b0:  3a20 7068 6174 6d61 6e75 7064 6174 652e  :.phatmanupdate.
        0x00c0:  7068 6174 6e6f 6973 652e 636f 6d0d 0a43  phatnoise.com..C
        0x00d0:  6163 6865 2d43 6f6e 7472 6f6c 3a20 6e6f  ache-Control:.no
        0x00e0:  2d63 6163 6865 0d0a 0d0a                 -cache....
13:37:43.915474 IP 192.168.1.4.ovwdb > 207.46.193.254.http: P 692:1017(325) ack 39702 win 65535
        0x0000:  4500 016d 4eff 4000 8006 57b2 c0a8 0104  E..mN.@...W.....
        0x0010:  cf2e c1fe 098f 0050 da87 27d5 4829 ce4c  .......P..'.H).L
        0x0020:  5018 ffff ec04 0000 4745 5420 2f20 4854  P.......GET./.HT
        0x0030:  5450 2f31 2e31 0d0a 5573 6572 2d41 6765  TP/1.1..User-Age
        0x0040:  6e74 3a20 5068 6174 4e6f 6973 6520 4d65  nt:.PhatNoise.Me
        0x0050:  6469 6120 4d61 6e61 6765 720d 0a48 6f73  dia.Manager..Hos
        0x0060:  743a 2077 7777 2e6d 6963 726f 736f 6674  t:.www.microsoft
        0x0070:  2e63 6f6d 0d0a 4361 6368 652d 436f 6e74  .com..Cache-Cont
        0x0080:  726f 6c3a 206e 6f2d 6361 6368 650d 0a43  rol:.no-cache..C
        0x0090:  6f6f 6b69 653a 204d 4331 3d47 5549 443d  ookie:.MC1=GUID=
        0x00a0:  3562 3666 6632 6661 3166 6337 3565 3431  5b6ff2fa1fc75e41
        0x00b0:  6133 6630 3032 3864 3930 6462 3264 3465  a3f0028d90db2d4e
        0x00c0:  2648 4153 483d 6661 6632 264c 563d 3230  &HASH=faf2&LV=20
        0x00d0:  3037 3526 563d 333b 2041 3d49 2649 3d41  075&V=3;.A=I&I=A
        0x00e0:  7855 4641 4141 4141 4142 5543 6741 416f  xUFAAAAAABUCgAAo
        0x00f0:  5379 474c 7570 4978 744c 335a 4565 3368  SyGLupIxtL3ZEe3h
        0x0100:  4461 6e41 4121 2126 4353 3d31 3130 7675  DanAA!!&CS=110vu
        0x0110:  6e36 3030 3257 3448 304a 3b20 5754 5f46  n6002W4H0J;.WT_F
        0x0120:  5043 3d69 643d 3230 362e 3132 362e 332e  PC=id=206.126.3.
        0x0130:  3138 362d 3137 3138 3137 3831 3434 2e32  186-1718178144.2
        0x0140:  3938 3630 3233 363a 6c76 3d31 3138 3135  9860236:lv=11815
        0x0150:  3535 3931 3633 3539 3a73 733d 3131 3831  55916359:ss=1181
        0x0160:  3538 3433 3331 3233 340d 0a0d 0a         584331234....
13:37:44.044673 IP 192.168.1.4.ovwdb > 207.46.193.254.http: P 1017:1384(367) ack 40209 win 65028
        0x0000:  4500 0197 4f11 4000 8006 5776 c0a8 0104  E...O.@...Wv....
        0x0010:  cf2e c1fe 098f 0050 da87 291a 4829 d047  .......P..).H).G
        0x0020:  5018 fe04 6104 0000 4745 5420 2f65 6e2f  P...a...GET./en/
        0x0030:  7573 2f64 6566 6175 6c74 2e61 7370 7820  us/default.aspx.
        0x0040:  4854 5450 2f31 2e31 0d0a 5573 6572 2d41  HTTP/1.1..User-A
        0x0050:  6765 6e74 3a20 5068 6174 4e6f 6973 6520  gent:.PhatNoise.
        0x0060:  4d65 6469 6120 4d61 6e61 6765 720d 0a48  Media.Manager..H
        0x0070:  6f73 743a 2077 7777 2e6d 6963 726f 736f  ost:.www.microso
        0x0080:  6674 2e63 6f6d 0d0a 4361 6368 652d 436f  ft.com..Cache-Co
        0x0090:  6e74 726f 6c3a 206e 6f2d 6361 6368 650d  ntrol:.no-cache.
        0x00a0:  0a43 6f6e 6e65 6374 696f 6e3a 204b 6565  .Connection:.Kee
        0x00b0:  702d 416c 6976 650d 0a43 6f6f 6b69 653a  p-Alive..Cookie:
        0x00c0:  204d 4331 3d47 5549 443d 3562 3666 6632  .MC1=GUID=5b6ff2
        0x00d0:  6661 3166 6337 3565 3431 6133 6630 3032  fa1fc75e41a3f002
        0x00e0:  3864 3930 6462 3264 3465 2648 4153 483d  8d90db2d4e&HASH=
        0x00f0:  6661 6632 264c 563d 3230 3037 3526 563d  faf2&LV=20075&V=
        0x0100:  333b 2041 3d49 2649 3d41 7855 4641 4141  3;.A=I&I=AxUFAAA
        0x0110:  4141 4142 5543 6741 416f 5379 474c 7570  AAABUCgAAoSyGLup
        0x0120:  4978 744c 335a 4565 3368 4461 6e41 4121  IxtL3ZEe3hDanAA!
        0x0130:  2126 4353 3d31 3130 7675 6e36 3030 3257  !&CS=110vun6002W
        0x0140:  3448 304a 3b20 5754 5f46 5043 3d69 643d  4H0J;.WT_FPC=id=
        0x0150:  3230 362e 3132 362e 332e 3138 362d 3137  206.126.3.186-17
        0x0160:  3138 3137 3831 3434 2e32 3938 3630 3233  18178144.2986023
        0x0170:  363a 6c76 3d31 3138 3135 3535 3931 3633  6:lv=11815559163
        0x0180:  3539 3a73 733d 3131 3831 3538 3433 3331  59:ss=1181584331
        0x0190:  3233 340d 0a0d 0a                        234....

I'm guessing it goes to the www.microsoft.com site when it initializes its web browser like you said... it's just a bit strange.  Could just be sloppy coding letting it load up a default website first... but either way I don't like the whole tracking thing.

Offline beckfield

  • A few posts under my belt.
  • *
  • Posts: 35
  • PhatHacker
Re: PhatNoise spying
« Reply #5 on: June 20, 2007, 11:46:16 pm »
How does that compare to a dump when you just load Internet Explorer?

Offline sbingner

  • Administrator
  • Veteran.
  • *****
  • Posts: 1301
Re: PhatNoise spying
« Reply #6 on: June 20, 2007, 11:48:35 pm »
My homepage is google... it doesn't contact MS at all when I load IE.  I tried changing homepage and it changed nothing there.

You'll note the user-agent isn't IE also