חוקרים בחברת אבטחת המידע הישראלית צ'ק-פוינט גילו שיטת תקיפה חדשה ומטרידה, שמאפשרת לתוקפים להשתמש בקבצי הכתוביות, הנפוצים לצפייה בתוכן עם תרגום בנגנים כמו קודי ו-VLC, על מנת לפרוץ ולהשתלט על המכשירים שבהם משתמש הצופה.
כאשר משתמש מוריד ומפעיל את קובץ הכתוביות המכיל קוד זדוני בנגן המדיה שלו, יכולים התוקפים להשתלט על המכשיר, תוך ניצול חולשות אבטחה בתוכנות הנגנים.
"שרשרת האספקה של הכתוביות מורכבת מאוד, עם 25 פורמטים שונים של כתוביות שלכל אחד מהם מאפיינים ויכולות שונים. בתוך האקו-סיסטם הזה מופעלים כיום אמצעי אבטחה מוגבלים. לכן, חולשות האבטחה האלו אטרקטיביות מאוד עבור תוקפים", אמר עמרי הרשקוביץ, מנהל צוות מחקר חולשות בצ'ק פוינט.
עוד ב-Geektime:
החברה הישראלית שרוצה להתחרות בפייסבוק
סמסונג תציג השבוע מסך נמתח לסמארטפונים וטאבלטים
כתוביות לסרטים ותוכניות טלוויזיה נוצרות על ידי מגוון רחב של כותבים, שמעלים אותן למאגרי כתוביות כדוגמת OpenSubtitles, בהם הכתוביות מקוטלגות ומדורגות. החוקרים גילו כי ניתן גם לתמרן את אלגוריתם הדירוג של הכתוביות, כך שיעלה את הדירוג של הכתוביות הזדוניות לעומת אחרות. כיוון שחלק מנגני הווידאו מורידים באופן אוטומטי את הקבצים בעלי הדירוג הגבוה ביותר, במקרים רבים אפילו לא נדרשת מעורבות של הצופה בבחירת קובץ הכתוביות.
צוות החוקרים דיווח על הבעיה לצוותי האבטחה של החברות שעומדות מאחורי אותם נגני מדיה, ואותן חולשות תוקנו. הנגן הפופולארי VLC, ואיתו גם נגם אחר בשם Streamio, פרסמו עדכוני גרסה המכילים את התיקון. "כדי להפחית את הסיכוי להיפגע ממתקפות פוטנציאליות, אנחנו ממליצים למשתמשים לעדכן את גרסאות הנגנים והסטרימרים שבהם הם משתמשים", אמר הרשקוביץ.