В проблемах к альтернативному youtube-плееру NewPipe для Android пишут, что плеер перестал работать в России.
Последний комментарий с исправлением кода намекает, что на ТСПУ внедрен какой-то фильтр TLS, не полностью совместимый со всем ПО.
Быть может, проблема в отсутствии SNI, а может и в чём-то другом. Жду PCAP’ов от пользователей.
Домен www.youtube.com резолвится в 173.194.220.198, но в случае NewPipe с сервера не приходит ответ на ClientHello.
Запрос к https://www.youtube.com на тот же IP-адрес через cURL работает без проблем.
2021-09-16T12:33:25.199Z
ValdikSS
Еще один PCAP-файл, присланный пользователем программы.
По сообщениям пользователей, смена DNS возвращает работоспособность программе, предположительно, из-за другого IP-адреса домена www.youtube.com — фильтр включён с ограничением по адресу.
Phone A
× not working using mobile data (Beeline)
× not working using wifi wired connection (Dom.ru)
Phone B
✓ working using mobile data (Yota)
× not working using wifi wired connection (Dom.ru)
When I switch to mobile data (Yota), request channel list or video, it works like it should.
After that if I switch back to wi-fi (Dom.ru) it keeps working for some time and then stops loading anything again. In one case it worked for about 1 hour, in other for about 30 minutes
This is filter works specifically for www.youtube.com domain. Changing SNI to anything other (even wxw.youtube.com) opens the website again.
2021-09-16T13:08:38.969Z
ValdikSS
TLS filtering is done regardless of IP address.
Here’s how it looks from a server perspective: youtube-tspu-server.zip (4.2 KB)
As you can see, the clients’ TLS ClientHello packet is received, but the ServerHello reply can’t be delivered. The client does not receive ServerHello. www.youtube.com does not work, www.nottube.com works.
NAT session teardown?
2021-09-16T13:37:07.043Z
ValdikSS
Фильтр настроен на блокировку комбинации TLS Cipher Suites + Supported Groups + Signature Algorithms + SNI. Удаление какого-либо из шифра в любой части, изменение порядка cipher suites или любая другая модификация приводит к доставке пакета и работоспособности сетевой связности.
2021-09-16T14:01:00.424Z
vanyaindigo
А для чего именно может применяться такая настройка фильтра?
2021-09-16T14:01:44.783Z
zhenyolka
@ValdikSS и снова я)
На операторе Tele2 только что заметил отвал newpipe, притом через браузер все нормально( даже www.youtube.com) открывается, твой тест парой постов выше тоже нормально проходит, хотя newpipe не пашет. Странно… Попробую запустить tcpdump
2021-09-16T14:01:52.488Z
zhenyolka
Раз уже понятна схема блокировки, остался один вопрос: зачем так геморно и с таким паттерно? Почему нельзя просто заблочить по SNI? Или это специально для андроид клиента?
2021-09-16T14:02:59.496Z
ValdikSS
Right now it seems like a TLS Fingerprinting to block an Android application which uses www.youtube.com as a domain fronting (wild guess: Navalny Android/iOS app?).
2021-09-16T14:03:56.303Z
darkk(Leonid Evdokimov)
Seems, NewPipe’s fingerprint is quite unique. https://tlsfingerprint.io/ does not parse Client Hello from aforementioned pcaps as known fingerprint that was already observed in the campus traffic.
2021-09-16T14:06:52.589Z
zhenyolka
Its really useless to block NewPipe. Best candidate to block is Google’s Youtube app. Can it be something like tests or preparations for whole youtube block?
2021-09-16T14:11:02.826Z
darkk(Leonid Evdokimov)
I have no iOS devices, but Navalny’s app (ver. 2.0, one from Google Play Market) gives a different fingerprint on my Android:
They use okhttp3 library with ConnectionSpec.MODERN_TLS.cipherSuites() and 2 additional ones click
// This will try to enable all modern CipherSuites(+2 more)
// that are supported on the device.
// Necessary because some servers (e.g. Framatube.org)
// don't support the old cipher suites.
// https://github.com/square/okhttp/issues/4053#issuecomment-402579554
final List<CipherSuite> cipherSuites =
new ArrayList<>(ConnectionSpec.MODERN_TLS.cipherSuites());
cipherSuites.add(CipherSuite.TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA);
cipherSuites.add(CipherSuite.TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA);
final ConnectionSpec legacyTLS = new ConnectionSpec.Builder(ConnectionSpec.MODERN_TLS)
.cipherSuites(cipherSuites.toArray(new CipherSuite[0]))
.build();
builder.connectionSpecs(Arrays.asList(legacyTLS, ConnectionSpec.CLEARTEXT));
I’ve made a small modification in NewPipe by replacing TLS_RSA_WITH_AES_256_CBC_SHA with TLS_RSA_WITH_AES_128_CBC_SHA in the library cipher list, and the application is now working again.
2021-09-16T15:28:55.574Z
Alex01d(Alex)
SmartTubeNext тоже перестал работать, по крайней мере, с теле2.
So they block HTTPS requests to www.youtube.com via okhttp library.
2021-09-16T15:47:23.618Z
ValdikSS
Hint: this block could be circumvented by changing SNI case. wWw.youtube.com works.
Hint: other domains, such as docs.google.com, are not blocked with this TLS fingerprint.
2021-09-16T15:54:32.836Z
ValdikSS
Фильтр убран. Что это такое было — непонятно, у меня нет даже предположений.
2021-09-18T18:53:33.861Z
zhenyolka
Я тут на днях поизучал последнюю версию приложения Навальный. Okhttp обнаружить не смог. Более того, оно максимуи, что пытается сделать, так это обратится к DnS.GooGle и, вроде как, не использует домены youtube. Блокировки пытается обойти через newnode, а это битторенты и прочие данные по udp протоколу. Соответственно, эта приложуха тут не причем.
При всем при этом, очевидно, это не случайный фильтр и для чего-то он тестировался. Осталось понять, зачем? Другой вопрос, что фильтр убрали, когда гугл согласился сотрудничать и удалить видео с канала Навального, только причем тут newpipe, который, так и так, мало кто использует, а те, кто используют, знают про VPN?
2021-09-18T19:48:20.744Z
ValdikSS
У меня два предположения, высосанных из пальца:
Проводилась демонстрация возможности блокировки конкретной программы, а не сервиса: «Смотрите, в браузере работает, в официальной программе работает, а в NewPipe — не работает».
There are many references to “OkHttp” in the code. I see okhttp3. which matches the major version reported earlier; however there is also okhttp/4.6.0. (Well, looking at the changelog, it seems these numbers do not have to match and okhttp3 is the correct package name even for later versions.)
In the disassembled code (smali/s/k.smali), there is a list of 4 strings:
The filter was configured for SNI check. It wasn’t IP-bound.
I also edited SNI in the captured packet to docs.google.com, and it was delivered successfully. Haven’t tried other SNIs.
2021-09-18T21:34:54.868Z
Neko
Проблема с NewPipe встречалась мне только один раз.
Регулярно встречаю ошибки буферизации при воспроизведении Ютуба с помощью mpv + youtube-dl со следующими ошибками в командной строке:
ffmpeg: tls: Error in the pull function.
ffmpeg: https: Will reconnect at 262144 in 0 second(s), error=Input/output error.
Получается, ffmpeg тоже блокируют.
2021-09-19T00:33:13.578Z
Dredd
А патченная версия NewPipe от ValdikSS’a не пишет ли куда-либо обширные логи ? Смущает слово"debug" в названии. Отладка в данном вопросе дело конечно нужное, но для меня этот фикс проблему решил и хотелось бы обойтись без лишних логов, которые будут захламлять память.
2021-09-19T04:34:51.044Z
darkk(Leonid Evdokimov)
The APK at GitHub claims to be v2.2 and it mentions www.youtube.com. But the TLS fingerprint of the traffic produced by that APK is slightly different from NewPipe’s fingerprint as well. I take NewPipe’s fingerprint from the aforeposted pcaps.
v2.2 from apkmonk also mentions youtube, but the binary differs from GitHub release.
2021-09-24T21:56:08.886Z
tango
Thanks, great find. I confirm that I find “www.youtube.com” in the 2.2 APK.
Indeed, my bad. Seems, I’ve confused the apk from apkmonk with the v2.2 apk from apkcombo.com having sha256 3a2dc36dcaac20e8d52ac91b6290508a3c3209dc4bd81f91b86924304122c699.
