看電影也會被攻擊?小心「惡意字幕」控制你的電腦跟手機!
看電影也會被攻擊?小心「惡意字幕」控制你的電腦跟手機!
2017.05.26 | 影視

看影片配字幕,這是一般台灣民眾再正常不過的生活場景,但現在「字幕」也可能讓你的手機、電腦、電視暴露在受到網路攻擊的威脅下,以色列的資安業者在本周,針對這項全新的攻擊手法提出警告。

字幕中植入惡意代碼,估計影響2億用戶

以色列資安業者Check Point本周表示,網路犯罪組織在VLC、Kodi、Popcorn Time及Stremio等媒體播放器的字幕中植入惡意代碼,可以藉由這項漏洞取的使用者裝置的控制權,估計至少影響全球2億用戶。

Check Point指出,字幕檔案通常從網路資料庫自動被下載下來,目前市面上約有25種不同字幕格式,依據解析度不同,來確保使用者經驗,因此駭客可以輕易的強迫播放器下載他們的惡意字幕,因為格式眾多,媒體播放器業者通常無暇顧及字幕格式安全性。

ㄧ但使用者載入惡意字幕檔,駭客就能從遠端控制使用者的iOS、Android手機、PC、智慧電視等,進一步竊取機密資料或安裝勒索程式;以下這支影片,用播放器Popcorn Time播放電影《冰雪奇緣》,來示範如何惡意代碼值入Windows PC上,分割畫面右方是攻擊者的電腦,執行駭客程式Kali Linux。

經常更新播放軟體,避免字幕漏洞

Check Point惡意軟件研究團隊負責人Yaniv Balmas解釋,媒體播放器都是使用像是「OpenSubtitles」的公共字幕檔案庫,播放器通常會根據選播的影片執行最受歡迎的字幕檔案。

也就是說,駭客可以操控OpenSubtitles系統,讓惡意檔案的排序在最前面搶先執行;Check Point團隊表示,只需要兩分鐘的時間,就能夠以被標記可信任黃金會員的身分,對字幕檔案上下其手,讓惡意檔案排在第一順位,由於這些資料庫的開放性,任何人只需要註冊一個用戶名都有可能可以動手腳,而用戶通常不會知道,自己使用的是哪一款字幕檔案。

Yaniv Balmas表示,每一款媒體播放器都有不同弱點,直到開發者發佈補丁修復後才有可能被公開,而任何使用這種字幕來源的平台都可能存在相同的漏洞。

媒體播放器Stremio發言人表示,Check Point揭露出漏洞後很快就進行修復,Kodi、Popcorn Time也都紛紛推出修復版本,外媒也提醒用戶需要時常更新自己所使用的軟體。

資料來源:ForbesLiliputingCheck Point

關鍵字: #隱私與資安

登入數位時代會員

開啟專屬自己的主題內容,

每日推播重點文章

閱讀會員專屬文章

請先登入數位時代會員

看更多獨享內容

請先登入數位時代會員

開啟收藏文章功能,

請先登入數位時代會員

開啟訂閱文章分類功能,

請先登入數位時代會員

我還不是會員, 註冊去!
追蹤我們
電商終局戰
© 2025 Business Next Media Corp. All Rights Reserved. 本網站內容未經允許,不得轉載。
106 台北市大安區光復南路102號9樓