看影片配字幕,這是一般台灣民眾再正常不過的生活場景,但現在「字幕」也可能讓你的手機、電腦、電視暴露在受到網路攻擊的威脅下,以色列的資安業者在本周,針對這項全新的攻擊手法提出警告。
字幕中植入惡意代碼,估計影響2億用戶
以色列資安業者Check Point本周表示,網路犯罪組織在VLC、Kodi、Popcorn Time及Stremio等媒體播放器的字幕中植入惡意代碼,可以藉由這項漏洞取的使用者裝置的控制權,估計至少影響全球2億用戶。
Check Point指出,字幕檔案通常從網路資料庫自動被下載下來,目前市面上約有25種不同字幕格式,依據解析度不同,來確保使用者經驗,因此駭客可以輕易的強迫播放器下載他們的惡意字幕,因為格式眾多,媒體播放器業者通常無暇顧及字幕格式安全性。
ㄧ但使用者載入惡意字幕檔,駭客就能從遠端控制使用者的iOS、Android手機、PC、智慧電視等,進一步竊取機密資料或安裝勒索程式;以下這支影片,用播放器Popcorn Time播放電影《冰雪奇緣》,來示範如何惡意代碼值入Windows PC上,分割畫面右方是攻擊者的電腦,執行駭客程式Kali Linux。
經常更新播放軟體,避免字幕漏洞
Check Point惡意軟件研究團隊負責人Yaniv Balmas解釋,媒體播放器都是使用像是「OpenSubtitles」的公共字幕檔案庫,播放器通常會根據選播的影片執行最受歡迎的字幕檔案。
也就是說,駭客可以操控OpenSubtitles系統,讓惡意檔案的排序在最前面搶先執行;Check Point團隊表示,只需要兩分鐘的時間,就能夠以被標記可信任黃金會員的身分,對字幕檔案上下其手,讓惡意檔案排在第一順位,由於這些資料庫的開放性,任何人只需要註冊一個用戶名都有可能可以動手腳,而用戶通常不會知道,自己使用的是哪一款字幕檔案。
Yaniv Balmas表示,每一款媒體播放器都有不同弱點,直到開發者發佈補丁修復後才有可能被公開,而任何使用這種字幕來源的平台都可能存在相同的漏洞。
媒體播放器Stremio發言人表示,Check Point揭露出漏洞後很快就進行修復,Kodi、Popcorn Time也都紛紛推出修復版本,外媒也提醒用戶需要時常更新自己所使用的軟體。
資料來源:Forbes、Liliputing、Check Point
