Около 200 милиона потребители на видео плейъри и стрийминг услуги са уязвими на атака, която използва злонамерени файлове със субтитри, алармира компанията за сигурност Check Point.
Хакерите могат да изпълнят дистанционно код на компютри, смарт телевизори и мобилни устройства, като използват популярни видео плейъри и услуги като VLC Media Player, Kodi, Popcorn Time и Stremio.
„Това е чисто нов атакуващ вектор. Смятаме, че има над 200 милиона потребители на видео и стриймъри, уязвими на този тип атаки“, предупреди Омри Херсковичи, ръководител на екип в CheckPoint.
Изглежда, че всеки медиен плейър, изследван от компанията, съдържа уязвимост, която позволява на хакерите да изпълнят отдалечено код и да получат контрол над целевата система, след изтегляне на зловредния файл със субтитри.
В частност, експертите са тествали експлойт на уязвимостта в плейъра VLC, за да придобият контрол над компютъра. VLC е избран, тъй като още през април в него бяха открити четири отделни уязвимости, които вече са затворени от разработчика. Съветът към потребителите на този плейър е незабавно да го актуализират до най-новата версия.
Сценарият на атаките включва примамване на жертвите да посетят злонамерен уеб сайт, който използва някой от уязвимите стрийминг видео плейъри, или да отварят на своя компютър вредоносен файл със субтитри, изтеглен за използване с видео.
„С атаката чрез субтитри хакерите могат да поемат пълен контрол над всяко устройство, което ги изпълнява. Оттам насетне атакуващият може да направи каквото си поиска с машината на жертвата, независимо дали е компютър, смарт телевизор или мобилно устройство. Потенциалните щети, които нападателят може да причини, са безбройни – кражба на чувствителна информация, инсталиране на рансъмуер, DoS атаки и много други“, поясняват от CheckPoint.
Проблемът се корени в лошото кодиране на субтитрите. Има десетки формати на субтитри, но не и стандарти за внедряването им. Всеки един от изследваните плейъри използва вътрешна версия за внедряване на субтитрите и всеки от тях има уязвимост, са установили специалистите.
За да сработи експлойтът, злонамереният файл със субтитри трябва да бъде избран за изпълнение заедно с видеото. При друг сценарий жертвата изпълнява видеоклип, който е програмиран предварително да изтегля субтитри от онлайн хранилище.
Според изследователите, популярни сайтове за субтитри като OpenSubtitles.org, които се използват от BS Player, са идеалното място за потенциалните нападатели да разпространят вредоносните файлове.
Ами оказва се възможно, по всяка вероятност с “препълване на буфера”(buffer overflow).
Такива пинизи навремето имаше и с видео и музикални файлове.
Че кой е този формат, дето позволява изпълнението на програмен код, вместо текста на субтитрите, ако приемем, че плеърите стриктно изпълняват формата на различните видове субтитри? То там ограниченията са много, та чак и да се ползва за такива масови атаки не ми се вярва…