看影片配字幕，這是一般台灣民眾再正常不過的生活場景，但現在「字幕」也可能讓你的手機、電腦、電視暴露在受到網路攻擊的威脅下，以色列的資安業者在本周，針對這項全新的攻擊手法提出警告。

字幕中植入惡意代碼，估計影響2億用戶

以色列資安業者Check Point本周表示，網路犯罪組織在VLC、Kodi、Popcorn Time及Stremio等媒體播放器的字幕中植入惡意代碼，可以藉由這項漏洞取的使用者裝置的控制權，估計至少影響全球2億用戶。

Check Point指出，字幕檔案通常從網路資料庫自動被下載下來，目前市面上約有25種不同字幕格式，依據解析度不同，來確保使用者經驗，因此駭客可以輕易的強迫播放器下載他們的惡意字幕，因為格式眾多，媒體播放器業者通常無暇顧及字幕格式安全性。

ㄧ但使用者載入惡意字幕檔，駭客就能從遠端控制使用者的iOS、Android手機、PC、智慧電視等，進一步竊取機密資料或安裝勒索程式；以下這支影片，用播放器Popcorn Time播放電影《冰雪奇緣》，來示範如何惡意代碼值入Windows PC上，分割畫面右方是攻擊者的電腦，執行駭客程式Kali Linux。

經常更新播放軟體，避免字幕漏洞

Check Point惡意軟件研究團隊負責人Yaniv Balmas解釋，媒體播放器都是使用像是「OpenSubtitles」的公共字幕檔案庫，播放器通常會根據選播的影片執行最受歡迎的字幕檔案。

也就是說，駭客可以操控OpenSubtitles系統，讓惡意檔案的排序在最前面搶先執行；Check Point團隊表示，只需要兩分鐘的時間，就能夠以被標記可信任黃金會員的身分，對字幕檔案上下其手，讓惡意檔案排在第一順位，由於這些資料庫的開放性，任何人只需要註冊一個用戶名都有可能可以動手腳，而用戶通常不會知道，自己使用的是哪一款字幕檔案。

Yaniv Balmas表示，每一款媒體播放器都有不同弱點，直到開發者發佈補丁修復後才有可能被公開，而任何使用這種字幕來源的平台都可能存在相同的漏洞。

媒體播放器Stremio發言人表示，Check Point揭露出漏洞後很快就進行修復，Kodi、Popcorn Time也都紛紛推出修復版本，外媒也提醒用戶需要時常更新自己所使用的軟體。

資料來源：Forbes、Liliputing、Check Point