AppleTVでYouTube広告をブロックする裏技が発見される！Protobufの脆弱性を突く手法とは

Protobufとアプリは正しい動きをしてるよ。ほとんどのユーザーはMitM攻撃なんてしないし。クライアントコードをエッジにどうやってデプロイするのさ？アップデートされないかもしれないのに、未知のタグナンバーフィールドを処理するために？そんなのありえないって。誰もそんなソフト書くべきじゃないよ。メンテナンスが地獄になるから。アップグレードもダウングレードもできなくなる。ワイヤフォーマットとAPIを尊重しないと、後方互換性とか考えられない。俺のキャリアで一番頭痛かったのは、エンジニアが賢くあろうとした結果。

一番良いのはAPIをバージョン管理して、10年以上前の古いバージョンも全部サポートすることだよね。protoでやってることはマジで良いと思う。

あのさ…ユーザーがpremiumに加入してなくて、サーバーが広告を送ってこないなら、エラーメッセージ出せば良くない？

MitM攻撃を防ぎたいなら、データを署名するのが正解。シリアライゼーションフォーマットを厳しくして防ごうとするのは間違い。柔軟性も必要だし。クライアントに広告を表示させないように変更できないフォーマットなんて作れないよ。cert pinningの方がずっと簡単。

皮肉なことに、Protobufには”required”と”optional”のフィールドオプションがあるんだよね。でも10年以上前に、Googleが「requiredは使うな！自分でロジックでバリデーションしろ！」って警告をドキュメントに追加したんだ。requiredフィールドが欠けてるとパケット全体がダメになるから。(requiredフィールドを廃止する時も大変だしね) 最初はrequiredを使ってたんだけど、後で色々問題が起きたから、全部optionalに変えて、コードで存在チェックするようにした。

笑えるのが、ストリーミングデータに対する不要な”セキュリティ”制御のせいでGoogleがChromecastを壊したんだよね。まだ直せてないみたい。

俺のChromecastは問題ないから、もうアップデートで直ったんじゃない？Jellyfinだけ壊れてた気がする。セキュリティ制御が原因じゃなくて、Chromecastのハードウェア認証の内部CAの有効期限が切れたから。Chromecastをアップデートするか、クライアントアプリで有効期限を一時的に無視する必要がある。アプリが後者をしてる間に、GoogleがChromecastの証明書インフラを短期間でアップデートする方法を考えてるみたい。

個人的には、スムーズで途切れない動画再生の方が、広告収入を取り戻すよりも重要。

Googleがまだcertificate pinningしてないのがマジで意外。

Cert pinningは解決策だよ。理想的じゃないし、消費者にとっては良くないけど、解決策じゃないってことはない。Apple TVでアプリのバイナリを改造するには、まずジェイルブレイクが必要じゃん。だから、今回のCert pinningは”piholeとかを持ってる人がApple TVの広告をブロックできる”から、”Apple TVをジェイルブレイクして、Cert pinningブレイカーをインストールして、piholeみたいな環境を持ってる人が広告をブロックできる”ってレベルになる。Googleが広告を見せたいなら、今回の件を考えるとCert pinningは明らかに有利だよ。でも、Googleはそこまで気にしてないみたい。OPのレベルが高すぎるからね。

広告とanalyticsでサポートされてる独自の動画サービスを運営してる場合、「正当なトラフィック検査」なんてほとんどないよ。Googleは、ユーザーがネットワークトラフィックをいじるのを嫌がるし、YouTubeダウンローダーのスクリプトを書くのが難しくなることを望んでる。ユーザーとしては、すべてのTLS接続を解除して、ネットワーク上のすべてのデータを盗聴したいだろうけど、それはGoogleの視点とは違うんだよね。データに署名するのは、2つ目のキーでTLSのセキュリティ対策を複製するようなもの。TLSはすでにデータに署名してるから、Googleは信頼のルートを確認するだけでいいんだ。

＞データに署名しろって？
それって結局、バイナリに別のキーをピン留めするのと同じじゃん。Cert pinningを使った方が、署名と暗号化の両方を提供してくれるし、暗号化のレイヤーを重ねる必要もない。

あるいは、署名と検証にかかるコストが、これをする人が少ないことを考えると、コストに見合わないってことかもしれないね。

コンテンツパブリッシャーの視点から見ると、正当なトラフィック検査のケースは、広告を保護することに同意した信頼できる機関によってバックアップされた代替証明書を持つこと。

＞アプリのバイナリを改造すれば突破できるって作者も言ってるし、意味ないじゃん。
兄弟コメントにもあるように、クライアントを改造するユーザーに対して、データの署名は役に立たないよ。クライアントが証明書に期待する署名を変更できるし…クライアントがデータに期待する署名も変更できる。

ユーザーが明示的に信頼／インストールした証明書を拒否する場合、Cert pinningはマルウェアの挙動とみなされると思う。

＞mitmproxyのAPIから返されるbytesオブジェクト(body: bytearray = bytearray(flow.response.get_content(strict=False) or b””))はimmutableだよ。
Byteオブジェクトはimmutableだけど、bytearrayオブジェクトは違うよ。

もっと手軽にC++とかGoでプロキシ作れば同じことできるよ。mitmproxyと格闘するより安定してて楽だと思う。プロキシ経由にするとSNIとかでパフォーマンス落ちるし。pfSenseも同じで、Linuxサーバーとiptablesで十分。protoファイルで必要なフィールドだけ定義してコード自動生成してflag書き換えるのがPythonより楽でアップデートも簡単。Protobufは未知のフィールド無視するから、スキーマ変更しても既存の環境壊れないし。

YouTube体験をわざと遅くして、動画切り替え遅くしたいな。特にshorts中毒だから、そうすれば抜け出せるかも。

ちょっと試してみてるんだけど、ロードが少し遅れるとループから抜け出して「我に返る」感じになるね。

21世紀はデジタルドラッグの時代として記憶されるだろうね。

いや、デジタルドラッグ時代の始まり、かな。

特定のドメインの帯域を遅くするのも効果あるかも。

それもいいけど、動画の画質も落ちるよね。YouTube自体は子供に見せてもいいコンテンツも多いけど、shortsばっかり見ちゃうのが問題。ファストフードみたいなもんだよね。

shortsをブロックする方法を探してる人がいるのかもって思った。自分はYouTubeを昔から使っててshortsもあまり見ないから、shortsに無関心なんだよね。同じような人いる？shortsの利用を管理したい友達に教えられることが何かあるかも。あと、opalみたいなアプリも便利だよ。
https://www.opal.so/

shortsとかreelsとかに慣れないんだけど、子供たちがハマってるのを見ると心配になる。動画の間に少し間を置けば、中毒性を減らせるんじゃないかと思ってる。

マジそれな。面白いShorts見つけて、他にもないかなーってスワイプしてると、アプリのロードに10秒もかかったりするんだもん。そうなると、他にやること見つけちゃうよね。Shortsにマジ価値感じないし。

えー、マジでその意見わかんないわ。コンテンツは置いといて、YouTubeはマジで安定してるんだよね。ストリーミングも視聴も。OBSから4K60FPSで配信しても、YouTubeはちゃんと処理してくれるし。まあ、PCが遅いから1440pでやってるけど。視聴に関しても、有線Apple TVだと4K60FPSでも途切れたことないし。
Shortsのゴリ押しと、3動画くらいしか記憶してないっぽいアルゴリズムはマジで嫌だけど、それ以外はマジで満足してる。変な右翼のとか、キモい動画とかもオススメされないし。

コンテンツ自体は別に問題じゃないんだよね。問題は、長年かけてプレイヤーとインターフェースが肥大化してゴミ化してること。最近はもう面倒くさくて、mpvとytdlpで気になる動画だけ見てるわ。

お前がプレイヤーとスクリプトをあれこれいじくり回す時間、ブラウザ開いてm.youtube.com見る時間の10倍はかかるだろ。

スクリプトとか使ってないよ。見たい動画のURLをmpvに手動でペーストしてるだけ。YouTubeのゴミみたいなインターフェースと付き合うより全然マシ。

最後まで皮肉だと思ってたわ。ナイスアイデア。

Googleが十分ユーザー体験を劣化させてくれてるんじゃないの？

いいねー、どうやるか詳しくブログに書いてくれるの楽しみにしてる！

どこが非効率なのか、もっと簡単なソフトでどう改善できるか、ガイド作ってよ。

作者はあんたのコメント意識してたっぽいよ。めっちゃ詳しく調べてるし。PythonとC++でベンチマークも取ってるし、最終的にはprotobufのデコードすらしてない。mitmも色々試してる。pfSenseはただの「セキュリティルーター」としてじゃなくて、VLANとかVPNでAppleTVだけをターゲットにしてるんだよ。

あんたのコメントは安っぽいし、見下してる。作者の投稿は違う。口だけじゃなくて、行動で示してくれよ。

どんな答えを期待してるのか分かんないけど、作者の投稿を批判したつもりはないよ。面白かったし、個人的にはとっくに諦めてると思う。アプリが証明書ピニングを使ってないのは興味深いし、ハッカー魂と決意がすごい。

ただ、この手のエンジニアリングの課題（特にpfSenseで構築してmitmproxyスクリプトを本番環境で使うこと）には詳しいから、誰かの時間とフラストレーションを減らせればと思って経験を共有しただけだよ。

コメントしない方が良かった？

＞小さいC++/Go/… proxy
macOSで動いて、家の他のデバイスにも使える軽量proxyでおすすめある？

https://github.com/elazarl/goproxy
がproxy書くのに良い感じのGoのライブラリだよ。HTTPSのパストスルーとMITM両方サポートしてる。これはwww.google.comへの接続をMITMして、https://www.google.com/maps へのリクエストを拒否する例：
package main
import (
”log”
”net/http”
”strings”
”github.com/elazarl/goproxy”
)
func main() {
proxy := goproxy.NewProxyHttpServer()
proxy.Verbose = true
proxy.OnRequest(goproxy.DstHostIs(”www.google.com”)).HandleConnect(goproxy.AlwaysMitm)
proxy.OnRequest(goproxy.DstHostIs(”www.google.com”)).DoFunc(func(r *http.Request, ctx *goproxy.ProxyCtx) (*http.Request, *http.Response) {
if strings.HasPrefix(r.URL.Path, ”/maps”) {
return r, goproxy.NewResponse(r, ”text/plain”, 403, ”Forbidden”)
}
return r, nil
})
log.Fatal(http.ListenAndServe(”:8080”, proxy))
}

試して：
curl -k -x localhost:8080 https://www.google.com/
curl -k -x localhost:8080 https://www.google.com/maps
curl -x localhost:8080 https://www.apple.com/

-kは証明書エラーを無視するため。apple.comはパストスルーだから必要ないよね。
”本番”（自分の家みたいな信頼できるネットワークね。インターネットに公開するのはやめといた方がいい）ではハードコードされたものじゃなくて、自分の証明書を使ってね。

＞クリエイターを応援したいから、数か月YouTubeの広告をブロックした後、YouTube Premiumに課金することにした。何かを壊せるからといって、そうする必要があるわけじゃない。
YouTube Premiumの支払いって、クリエイターの支援になるの？（もしそうなら、Patreonと比べてどれくらい？）

Patreonに比べたら全然だけど、何人もYouTuber見てたら、全員のPatreonに登録するのって現実的じゃないじゃん？
YouTube Premiumのサブスクリプションがクリエイターに与える収入は微々たるものかもしれないけど、広告ブロックして動画を見るよりはマシだと思うよ。
（自分はublock使ってて、誰かのパトロンになれるほどお金ないけど）

＞広告ブロックして動画を見ることは何も提供しない。
視聴回数を提供してるじゃん。それによってYouTubeのアルゴリズムでブーストされて、クリエイターは報酬を得られるんだよ。
それに、スポンサー付きの動画も多いし。

それってSponsorBlockがある理由じゃん

SponsorBlockって、モデレーションが酷くて、過剰にいろんなものをブロックする熱狂的な人がいるのが問題なんだよね

＞”horrible”って言い過ぎじゃない？
SponsorBlock使ってるけど問題ないよ。MKBHDの動画で99%スキップされた時は笑った

Linus Tech Tipsの動画で、seekbarがSponsorBlockのせいでカラフルになってたのを見たよ。誰かがスポンサーとかプロダクトプレイスメントとか脱線を全部マークしたんだね。
俺も動画のセグメントをマークするよ。例えば、プレゼンターがウザい時にcringyなジョークをスキップするとか。

＞”それらのセグメントが間違ってマークされてたってこと？”
そうなら、ネットのいたずらだね。無視すればいいだけ。
もしセグメントが正しくマークされてて、動画に多すぎたなら、それは動画クリエイターの問題であって、セグメントを公開してるコミュニティの問題じゃない。

正しくマークされてたけど、誰かが動画の無駄な部分にウンザリして、わざわざやったんだと思う。LTTの動画でそんなにSBセグメントが多いのを見たのは初めてだった。

SponsorBlockはコンテンツクリエイターにとっては問題があるかもしれないけど、視聴者としては全く気にしない

スポンサー関連のセグメントだけじゃなくて、関係ないものまでマークしちゃうのが問題ってこと

設定で、実際の広告だけをブロックするように調整できるよ

マジ？SponsorBlockを何年も使ってるけど、そんなの見たことないよ。スキップされたものをわざわざ見返すことは滅多にないし、見返したとしても、スキップして正解だったと思うことが多いな。

俺は中小のテック系とか科学系のYouTuberをよく見るんだけど、f4miってチャンネルでこれを見たことあるよ。

YouTubeが最近Premium機能を追加してて、5秒スキップすると、よくスキップされる部分をまとめてスキップするか聞いてくるんだって。SponsorBlockを参考にして、Premiumユーザー向けの機能にしたみたいだね。

Pixelでそれが機能したことないんだよね。広告飛ばすためにタップ連打してるし、30秒とか90秒スキップの方が確実。あのプロンプトが出たの5回くらいしか見たことない。

これって、アーティストが無料で露出を得ようとするのと同じ構図なのかな？

Premiumユーザーの方が、広告視聴者よりもYouTubeに遥かに貢献してるんだよ。

＞https://support.google.com/youtube/answer/7060016?hl=en
＞YouTube Premiumメンバーなら広告が表示されないから、月額料金をクリエイターと分け合うんだ。お気に入りのクリエイターの動画をたくさん見れば見るほど、クリエイターの収入が増えるってわけ。
＞https://www.reddit.com/r/youtube/comments/177353i/you_should…

YouTubeの視聴履歴を見ると、クリエイターの取り分は約45%で、1時間あたり約50p（月12時間視聴で約£12支払いの場合）になるみたい。つまり、10分の動画あたり約10セント。
広告視聴だと、1000回あたり1～5ドルだから、動画1本あたり1セント以下。
つまり、クリエイターは普通の視聴者よりも俺から20～100倍も稼いでるってこと。もし音楽を200時間リピートして、新しいコンテンツを10時間しか見ない場合はどうなるのかわからないけど、Spotifyの分配方法よりは公平かもね。

YouTube Premiumユーザーの方が、広告視聴よりもクリエイターの取り分が多いらしいよ。広告スキップされちゃうと収入にならないからね。でも、Premiumユーザーはまだ少ないから、微々たるもんだって。

＞YouTube Premiumユーザーの方がクリエイターの取り分が多いってのは、何度も聞いたことあるけど、Google/YouTubeの公式情報が見つからないんだよね。ほとんど第三者の分析に基づいた話みたい。