Hacknúť počítače je aspoň potenciálne možné cez takmer akýkoľvek softvér, ktorý používatelia používajú, a akékoľvek typy dát, s ktorými užívatelia prichádzajú do styku.
Aktuálne to dokumentujú zistenia bezpečnostnej spoločnosti Check Point, ktorá identifikovala vo viacerých populárnych prehrávačoch multimediálnych súborov bezpečnostné zraniteľnosti umožňujúce ovládnuť počítače cez útočníkom vytvorené titulky k videám.
Nebezpečné titulky
Titulky pritom používa veľké množstvo používateľov najmä z krajín nehovoriacich anglicky, keďže množstvo populárneho video obsahu sa točí v USA alebo minimálne po anglicky.
Zraniteľnosti sa teoreticky môžu nachádzať a v minulosti sa viackrát nachádzali aj v spracovaní samotného videa, často v prípade metadát, na túto oblasť si tvorcovia prehrávačov ale už dávajú väčší pozor. Podľa Check Point je v prehrávačoch ale podcenená bezpečnosť implementácie zobrazovania titulkov.
Tých je až viac ako 25 formátov, pričom formáty často podporujú aj rozšírené možnosti nielen zobrazenie čistého textu.
Zraniteľné prehrávače
Experti našli vážne chyby vo VLC, Kodi, Popcorn Time a strem.io, pričom avizujú možnosť ovládnutia počítača po zapnutí zobrazovania útočníkom podvrhnutých titulkov. Najmä prvé tri z menovaných sú mimoriadne populárnymi multimediálnymi prehrávačmi a podľa odhadu Check Point ich používa spolu rádovo 200 miliónov užívateľov.
Bezpečnostná spoločnosť na videu demonštruje hacknutie počítača cez titulky v prípade Popcorn Time a Kodi.
Demonštrácia hacknutia PC cez titulky (video: Check Point)
Technické detaily spoločnosť zatiaľ nezverejnila, kým nebudú opravené všetky problémy. Na demonštračnom videu je ale možné vidieť v Kodi použitie titulkov uložených v súbore s koncovkou .srt, či titulky v tomto súbore boli naozaj v princípe aj textové titulky vo formáte SRT nie je jasné.
Odporúčania
Časť zraniteľností už bola opravená.
V prípade VLC podľa informácií vývojárov pre TorrentFreak aktuálna verzia, ktorou je 2.2.5.1, už nie je hacknuteľná. Dve menšie chyby budú opravené v pripravovanej verzii 2.2.6.
Popcorn Time má mať opravy už aplikované.
Kodi je zatiaľ zraniteľné, na tento týždeň ale vývojári avizujú opravenú verziu 17.2. Oprava v podobe zdrojových kódov je už zrejme podľa informácií Check Point k dispozícii.
Jasným odporúčaním pre užívateľov je samozrejme inštalovať najnovšie opravené verzie prehrávačov a celkovo svoj softvér permanentne aktualizovať.
Kým nebude definitívne jasné, že sú v jednotlivých prehrávačoch definitívne opravené všetky tieto zraniteľnosti, môže byť vhodným odporúčaním nepoužívať titulky od potenciálne nedôveryhodných tvorcov. Check Point zároveň upozorňuje, že na vyhľadávačoch titulkov je pomerne jednoduché pre prípadných útočníkov zvýšiť hodnotenie nimi podvrhnutých titulkov a zabezpečiť ich stiahnutie veľkým množstvom užívateľov. Alebo dokonca ich automatické stiahnutie v prehrávačoch vyberajúcich a sťahujúcich titulky automaticky.
Zdvihnite všetci ruky, ktorí máte strach :))
Ale vážne, keď vidím tie pakle aktualizácii pre win a "allow adobe to install update" alebo "always trust"
V podstate inštaluje si to čo chce, spúšťa sa to kedy chce...
A najsvinskejší špión je antivírus-skenuje všetky vaše fajly (možno aj faily, má tajná služba lepší nástroj ako windows a antivírus?)
Na sme budú písať, že hackeri dostali pedofila cez titulky k filmu lolita :D
Ay dlhy by mal byt ten kod? Ked otvorim hoci aj srt, tak v notepad plaintexte vidim, co tam je nie? Ak uvidim nieco zle, tak to najdem, alebo sa o skryje aj pred plantextom ?
Re: co pod linuxom ?
Od: Security consultant
|
Pridané:
23.5.2017 23:35
Ano, dokonca jednoduchsie lebo Ubuntu ma v porovnani s Windows dost nizke zabezpecenie a ma len velmi slabe zakladne sandboxovanie programov na rozdiel od Windows kde Kodi vo forme UWP je bezpecnostne niekde uplne inde :D
Aky su mudry. Co ak pozeram filmy, ktore nie su iba po anglicky? Mam sa naucit tolko jazykov? Plus ked sa ucia konkretny jazyk nie je nic lepsie ako titulky k tomu co hovoria. Pan sheep, vyzera to tak ze sa po anglicky neucili.
presne, navyše niekedy je kvôli rôznym príčinám niečomu nerozumieť (silný prízvuk herca, odborné výrazy, hlas prekrývaný hlasnými efektmi). Ja tiež radšej zapínam k anglickým filmom anglické titulky. Jediná nevýhoda že to strašne láka ich stále čítať a z filmu má potom človek menej :D
Nechapem, a ja som si myslel že titulky sú len text v súbore, ktorý sa číta po riadkoch a parsuje... aby sa vedelo čo zobraziť v ktorom čase... no zjavne to tak asi nebude
Re: asdasda
Od reg.: K-NinetyNine
|
Pridané:
24.5.2017 8:46
aj pri textakoch moze byt chyba v parseri, ktory pri nejakom nestandardnom znaku alokuje menej pamati a tu a tam necha pretiect buffer. alebo ina implementacna chyba. moznosti je neurekom a vsetko co spracuva akekolvek data moze obsahovat podobne problemy.
> Nechapem, a ja som si myslel že titulky sú len text
> v súbore, ktorý sa číta po riadkoch a parsuje.
Každý hack spočíva v tom, že sa niečo použije inak ako sa pôvodne očakávalo.
Podľa mňa ide o to, že sa ako vstup podhodí niečo, čo nie je "len text v súbore".
Zas jedna poloteoreticka zranitelnost bez realneho dosahu. Aktualne sa toho vela nevie - lepsie povedane nic sa nevie.
Nikde nie je pomenopvane detailnejsie :
- je to zneuzitelne vzdialene, lokalne, alebo len cez LANku ?
- je to zneuzitelne za NATom/FW ?
- CVE number samozrejme chyba - vsak naco
- utocny vektor je dost hypoteticky, lebo je viazany na specialne vyuzivanie vstavanej funkcionality voci webu Opensubtitles.org (ktory je sam o sebe specialitou na adv/malware)
Cele je to len proof-of-concept a apera sa o to, ze dany SW automaticky stahuje titule z OpenSubtitles.org a predpoklada specialne upravene titulky.
GOM player
Od: Freeware VS Opensource
|
Pridané:
24.5.2017 9:20
Utočníci ? to čo je zas za novu slovnú srhračku ? Tí naši Hokejoví útočníci ? Čo to je útočník ? Ten čo ide spredu ? Ten čo útočí zo zadu je partizán ?
neprihlásený 
