一种通过视频播放器挂载字幕而感染用户设备从而实现全面控制的新病毒

Check Point(世界知名的安全解决方案提供商)研究人员透露了一种新的互联网攻击手段,威胁到全球数百万用户:字幕攻击。

用户的设备通过视频播放器,下载恶意字幕文件而被感染。攻击者可以通过许多流行的流媒体平台(包括 VLC,Kodi,Popcorn-Time 和 strem.io)中发现的漏洞,完全控制任何类型的设备。估有大约两亿的视频播放器极易被感染,使其成为近年来最广泛,易于访问和零抵抗的漏洞之一。

新病毒介绍

正常情况下,黑客使用「向量攻击(attack vector)」的方法,主流有两种:诱导用户访问恶意网站,或者诱导用户打开恶意软件。

我们的研究揭示了一种新的,完全被忽视的技术。当用户的播放器加载字幕时,而被攻击。这些字幕长久以来被视为是可靠地的良性文本文件。而我们的研究显示,这些储存字幕的库可以被攻破,黑客更改病毒字幕的评分,使之能够推送给用户自动匹配。数百万用户对此毫无防备,所以更加危险。

根本原因

各种媒体播放器处理字幕文件和不同的字幕格式,是病毒的温床。有超过 25 中字幕格式,而每种有不同的特点和功能。媒体播放器需要解析多个字幕格式以保证更好的用户体验,每个播放器使用不同的方法。这样的分散而不规范的情况导致了许多不同的漏洞。

影响

范围:数亿的用户可能被感染。现在发现的每个易感染的播放器都有数百万用户,我们有理由相信,其他媒体播放器也可能会收到类似的攻击。VLC 已于2016年6月5日发布了其最新版本的 1.7 亿多次下载,Kodi(XBMC)每天拥有超过 1000 万个独特用户,每月拥有近 4000 万个独立用户。Popcorn 还没有具体数据,但是绝对超过数百万用户。

损害:通过字幕攻击,攻击者可以对任何相关设备进行完全控制。无论是 PC、智能电视、移动设备都无可避免。攻击者可以窃取敏感信息,勒索等等。

哪些播放器受到影响?

迄今为止,我们测试并发现了四个最着名的媒体播放器中的漏洞:VLC,Kodi,Popcorn 和 Stremio。我们有理由相信其他媒体播放器中也存在类似的漏洞。

IPS签名:

  • Popcorn Time Subtitles Remote Code Execution
  • Kodi Open Subtitles Addon Remote Code Execution
  • VLC ParseJSS Null Skip Subtitle Remote Code Execution
  • Stremio Subtitles Remote Code Execution

病毒如何传播?

进一步深入的研究字幕的供应链,发现了一些有趣的结果。有许多共享的在线存储库,如 OpenSubtitles.org,用于索引和插入电影字幕。

一些媒体播放器自动下载字幕;这些存储库对攻击者具有广泛的潜力。

我们的研究人员也可以通过操纵网站的排名算法证明:我们可以保证精心设计的恶意字幕,通过播放器自动下载,从而实现对整个字幕供应链进行完全控制,而不需要任何人攻击或需要用户交互。此漏洞同时也会影响哪些手动挂载字幕的用户。

目前,大多数的媒体播放器已经发现了这个问题并且发布了更新,不幸的是,Android版本的VLC播放器依然危险,因为它在Play商店最后的更新日期是2016年8月。

原文:Hacked in Translation - from Subtitles to Complete Takeover | Check Point Blog

评论

0条评论

    发表评论

    电子邮件地址不会被公开。 必填项已用*标注