צ'ק פוינט: פרצת אבטחה בכתוביות סרטים ברשת

    חוקרי צ'ק פוינט גילו שיטת תקיפה חדשה שעשויה לאפשר לתוקפים להשתמש בקובצי כתוביות המכילים קוד זדוני, על מנת לפרוץ ולהשתלט על המכשירים שבהם משתמש הצופה בפלטפורמות מדיה פופולריות כמו קודי. הפרצה תוקנה אחרי האזהרה של החברה הישראלית

    ynet

    חוקרי אבטחה של חברת צ'ק פוינט חושפים היום (ג') שיטת תקיפה חדשה, שעשויה לאפשר לתוקפי סייבר להשתלט על מכשיריהם של מאות מיליוני המשתמשים בפלטפורמות מדיה פופולריות כמו Kodi, Popcorn Time, Stremio ו-VLC.

     

    הדמיה: כך פורצים לכם למחשב 

     

    בצ'ק פוינט אמרו כי התקיפה מתאפשרת באמצעות קובץ כתוביות המכיל קוד זדוני. כאשר הצופים מורידים ומפעילים את קובץ הכתוביות בנגן המדיה, יכולים התוקפים להשתלט על המכשיר - תוך ניצול חולשות אבטחה בפלטפורמות המדיה עצמן.

     

    "שרשרת האספקה של הכתוביות מורכבת מאוד, עם 25 פורמטים שונים של כתוביות שלכל אחד מהם מאפיינים ויכולות שונים. בתוך האקו-סיסטם הזה מופעלים כיום אמצעי אבטחה מוגבלים. לכן, חולשות האבטחה האלו אטרקטיביות מאוד עבור תוקפים", אמר עמרי הרשקוביץ, מנהל צוות מחקר חולשות בצ'ק פוינט. "גילינו דרך שבה תוקפים יכולים ליצור כתוביות זדוניות שיגיעו למיליוני משתמשים, ולעקוף את מנגנוני האבטחה כדי להשתלט באופן מוחלט על המכשירים".

     


     

    בחברה הוסיפו כי צוות החוקרים של צ'ק פוינט בדק ומצא חולשות אבטחה בארבע מבין פלטפורמות המדיה הפופולריות ביותר: Kodi, Popcorn Time, Stremio ו-VLC, ודיווח על החולשות לצוותי האבטחה של החברות. חולשות האבטחה בפלטפורמות הללו הן שמאפשרות לתוקפים להשתמש בכתוביות הזדוניות כדי להשתלט על המכשיר המנגן את קובץ המדיה.

     

    בצ'ק פוינט הסבירו כי כתוביות לסרטים ותוכניות טלוויזיה מיוצרות על ידי מגוון רחב של כותבים, שמעלים אותם למאגרי כתוביות כדוגמת OpenSubtitles.org. במאגרים הללו, הכתוביות מקוטלגות ומדורגות. חוקרי צ'ק פוינט גילו כי בנוסף ניתן גם לתמרן את אלגוריתם הדירוג של הכתוביות, באופן שיעלה את הדירוג של הכתוביות הזדוניות על פני קבצים אחרים. כיוון שחלק מפלטפורמות המדיה מורידות באופן אוטומטי את הקבצים בעלי הדירוג הגבוה ביותר, במקרים רבים אפילו לא נדרשת מעורבות של הצופה בבחירת קובץ הכתוביות.

     

    בעקבות הדיווח של צ'ק פוינט, תיקנו ארבע החברות את החולשות. שתיים מהן, Stremio ו-VLC, אף פרסמו עדכוני גרסה המכילים את התיקון. "כדי להפחית את הסיכוי להיפגע ממתקפות פוטנציאליות, אנחנו ממליצים למשתמשים לעדכן את גרסאות הנגנים והסטרימרים שבהם הם משתמשים", סיכם הרשקוביץ.

     

    לגרסה הקודמת של נגן VLC, ששוחררה ביוני 2016, ישנן יותר מ-170 מיליון הורדות. ל-Kodi ישנם יותר מ-10 מיליון משתמשים ייחודיים (unique) ביום וכ-40 מיליון משתמשים ייחודיים בחודש.

     

    להודעה בבלוג של צ'ק פוינט: http://blog.checkpoint.com/2017/05/23/hacked-in-translation/