VLC, Kodi; η επίθεση των υποτίτλων. Προσοχή στα subtitles

Χαμένοι στη μετάφραση ή στη μετάφραση; Subtitles με VLC, Kodi ή κάποιον άλλο player; Καλύτερα να προσέχετε από πού κατεβάζετε τους υπότιτλους σας (subtitles): Αποδεικνύεται ότι οι εισβολείς μπορούν να μολύνουν υπότιτλους (subtitles) με κακόβουλο κώδικα για να εκμεταλλευτούν ευπάθειες σε δημοφιλή media players και να πάρουν τον έλεγχο της συσκευής σας.

Ερευνητές από την εταιρεία ασφαλείας Check Point ανακάλυψαν μια ασυνήθιστη επίθεση, η οποίο βασίζεται στην κρυφή εισαγωγή κακόβουλου λογισμικού σε υποτίτλων. Η λίστα με τους ευπαθείς players συμπεριλαμβάνει μέχρι τώρα δημοφιλείς εφαρμογές όπως τις: VLC, Kodi, Popcorn Time και Stremio.subtitles

Σύμφωνα με τα ευρήματά τους, οι ειδικοί ασφάλειας εκτιμούν ότι υπάρχουν περίπου 200 streamers που τρέχουν ευάλωτο , καθιστώντας την συγκεκριμένη επίθεση “μία από τις πιο διαδεδομένες” αυτή τη στιγμή.

Η Check Point διαθέσει ένα PoC που εμφανίζει πως μπορεί να πραγματοποιηθεί μια η απομακρυσμένη εκτέλεση κώδικα σε Popcorn Time και Kodi (θα το βρείτε στο τέλος της δημοσίευσης).

  Tails Project: Tails 5.1 ανωνυμία στο διαδίκτυο

Αυτό που καθιστά την επίθεση ιδιαίτερα σημαντική είναι ότι πολλοί από τους εμπλεκόμενους media players αλλά και οι θεωρούν τα αποθετήρια υποτίτλων σαν “αξιόπιστη πηγή”.

Επιπλέον, η Check Point προειδοποιεί ότι το λογισμικό προστασίας από ιούς και άλλες παρόμοιες εναλλακτικές ασφαλείας συχνά ερμηνεύουν τους υπότιτλους σαν “καλοήθη αρχεία κειμένου” και τα ελέγχουν χωρίς να προσπαθούν να αξιολογήσουν προσεκτικά τη φύση τους.

“Η επίθεση βασίζεται σε μεγάλο βαθμό στην κακή κατάσταση ασφαλείας που υπάρχει στον τρόπο που επεξεργάζονται τα αρχεία υποτίτλων (subtitles) μερικοί media players, αλλά και τον μεγάλο αριθμό μορφών υποτίτλων. Αρχικά, υπάρχουν πάνω από 25 μορφές υποτίτλων που χρησιμοποιούμε, ο καθένας με μοναδικά χαρακτηριστικά και , αναφέρει το άρθρο στο blog τους.

Από τότε, η Check Point ενημέρωσε τις μεγάλες εταιρείες ανάπτυξης media players που επηρεάζονται. Δυστυχώς, ενώ ορισμένα θέματα έχουν ήδη διορθωθεί, υπάρχουν και άλλα που καθιστών ακόμα το λογισμικό ευπαθές σε αυτού του είδους την επίθεση. Για το λόγο αυτό, η εταιρεία ασφάλειας αποφάσισε να μην αποκαλύψει περαιτέρω τεχνικές λεπτομέρειες για να αποτρέψει περαιτέρω επιθέσεις.

  Eric Schmidt έγραφε νόμους για το AI ενώ έκανε επενδύσεις (πολλά τα λεφτά Άρη)

Μέχρι τότε: Καλύτερα να αποφύγετε δημοφιλή αποθετήρια υποτίτλων.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  48  =  51