Díra, na kterou nikdo nemyslel. Počítač můžete ohrozit stažením titulků k filmu

13

Výzkumníci bezpečností společnosti Check Point upozornili na závažnou díru, která se nachází v softwarových přehrávačích filmů. Pomocí nakažených titulků můžou hackeři napadnout váš počítač a vzdáleně jej kompletně ovládnout. Zranitelnost obsahují například VLC, Kodi (XBMC) nebo streamovací platformy Popcorn Time či Stremio. Ohroženo je podle odhadů až 200 milionů zařízení.

Tyto přehrávače mají funkci pro automatické stažení titulků dle vybraného jazyka. Stahuje se z některých veřejných repozitářů, jako je například OpenSubtitles.org. Vždy by se automaticky měly vybrat ty s nejlepším hodnocením. Check Pointu se ovšem podařilo do repozitáře nahrát falešné titulky a ještě zmanipulovat hodnocení tak, aby se právě ony vybraly pro autostažení.

Hackování skrz titulky k filmu
Hackování skrz titulky k filmu

Takový soubor ani neuvidíte. Jako hrozbu jej nevidí ani antivirový software. Kód se zkrátka spustí a otevře počítač pro vnější útok. Check Point ukázal i na videu, že po načtení titulků se otevřelo spojení a pak se mohl k počítači oběti připojit přes VNC.

Check Point nezveřejnil detaily hack a exploit ještě také nepublikoval. Upozornil ale tvůrce softwaru a ti už vydali první opravy. Jen u Kodi jsou zatím k dispozici pouze zdrojové kódy, nikoliv připravený binární instalátor.

Díra, na kterou nikdo nemyslel. Počítač můžete ohrozit stažením titulků k filmu

Ohodnoťte tento článek!

13 KOMENTÁŘE

  1. To je ale pořád dokola to samé přece. Důvěřuj ale prověřuj, nemyslíš zaplatíš, potřebuješ mít všechno automatizované tak proč se pak divíš že máš plný počítač balastu? Je to všechno o lidech a jejich přístupu k věcem ….

    • He he, ale jde to snad jinak? Osobní prověřování všeho je pro člověka časově prostě nemožné – nehledě na to, že z různých důvodů firmy uživatele spíše zbavují možnosti jakékoli volby.

      • A co jako na tom nejde jinak? Omezit automatizace na nezbytné minimum? Používat u PC mozek? Dívat se na filmy buď v původním znění nebo s dabingem? Nenechat přehrávače dělat všechno za tebe, tedy i stahovat si titulky bůhví odkud? Výmluvy, nic než výmluvy …

        • No ano, doufám, že máte ve výchozím stavu odpojené při startu všechny disky a následně si je ručně mountujete po každém startu, nebo ještě líp, ručně točíte plotnami disků a zapisovací/čtecí hlavou, přece to nebudete nechávat na nespolehlivé automatice, aby si tam dělala, co si zamane. Výmluvy nic než výmluvy… aneb proč zjednodušovat a urychlovat práci, když to jde složitě a pomalu. Evidentně tu někdo nechápe, že vše okolo bezpečnosti se točí kolem kompromisu bezpečnost-komfort, ano můžeme si dělat vše pomalu, složitě a ručně kvůli bezpečí, ale v takovém případě se na to celé pak radši vyprdnu.

      • gngl: Ty programy nejspíš používají stejnou opensource knihovnu, která se o to stahování a zobrazování titulků stará.

        KamilZ: Check Point uvádí, že je až 25 různých formátů titulků. Všechny nemusí být textové jako SRT. Nejspíš tam je i nějaký binární (různé obrazové titulky jako na DVD), které je potřeba interpretovat. Asi. Detaily nezveřejní, ať to zatím nikdo nezneužívá.

        • dle jejich git repozitářů měli VLC (přetečení zásobníku) a KODI (špatná práce se zip soubory) různé chyby v jejich kódu, jediné co je spojuje je podobný vektor útoku.

          Bohužel to v původním článku nikdo nenapsal a ani nezveřejnil, které přehrávače testovali, takže dokud nikdo nezveřejní vzorky školivého kódu, tak nikdo jiné přehrávače nezkotroluje.

          Způsob našli jsme chybu, vy ji možná máte taky ale neřeknem vám to je akorát na přesdržku.

        • Knihoven pro rendering titulků minimálně historicky bylo několik. Některé přehrávače byly „hloupější“ a nedokázaly třeba všechny vymoženosti ASS, nebo vůbec zobrazovaly jen prostý text. Ty samozřejmě budou mít problémy s mnohem menší pravděpodobností.

  2. Zprava je samozrejme holy nesmyl, ono ostatne jako vsechno od Check Pointu.

    Jedna se o to, ze titulky se stahujou zazipovane, teda binarni data, zadny text, no a to je problem. Proto je nejdednodussi si stahnout titulky sam rucne a rozzipovat si je slusnym programem, ve kterem nejsou takto hloupe zneuzitelne chyby, treba 7-zip.
    Nicmene se v podstate nic nedeje, nebot normalni clovek prideluje prehravaci maximalne prava „user“ a tudiz vir nema sanci proniknout do systemu, maximalne nakazi uzivatelsky profil.

    Co je na zprave naopak krasne, ze si s takovouhle trivialitou nevi rady antivirove programy. 😀 Dalsi duvod je nepouzivat.

  3. Bulvární článek akorát s tím rozdílem, že Kodi už dávno včera bylo vydané.
    http://mirrors.kodi.tv/releases/win32/kodi-17.2-Krypton.exe
    a od dnešní půlnoci je aktualizace dostupná na Google Store a bohužel to stále není aktualizované na Windows Store (který je lepší použít) a je velká škoda, že článek neobsahuje:
    “ As such we highly encourage all users to install this latest version! Any previous Kodi version will not get any security patch.“ Takže majitelé android boxů s verzí 5 a nižší bohužel nemají moc na vybranou a musí zůstat na Kodi 16 a jedině, co doporučím je se „vybrečet“ na podpoře výrobce Vašeho boxu sice to víceméně bude bez úspěchů (zdravím Evolveo, které například nemajíí například podporu custom rom na Xda-developers a zdrojáky nejsou vydané), ale dané výrobci vědět, že takhle to nejde. 🙂