neprihlásený Piatok, 3. februára 2023, dnes má meniny Blažej
Pozor, útočníci vás môžu hacknúť cez titulky k filmom a seriálom

Značky: bezpečnosťInternetvideo

DSL.sk, 23.5.2017


Hacknúť počítače je aspoň potenciálne možné cez takmer akýkoľvek softvér, ktorý používatelia používajú, a akékoľvek typy dát, s ktorými užívatelia prichádzajú do styku.

Aktuálne to dokumentujú zistenia bezpečnostnej spoločnosti Check Point, ktorá identifikovala vo viacerých populárnych prehrávačoch multimediálnych súborov bezpečnostné zraniteľnosti umožňujúce ovládnuť počítače cez útočníkom vytvorené titulky k videám.

Nebezpečné titulky

Titulky pritom používa veľké množstvo používateľov najmä z krajín nehovoriacich anglicky, keďže množstvo populárneho video obsahu sa točí v USA alebo minimálne po anglicky.

Zraniteľnosti sa teoreticky môžu nachádzať a v minulosti sa viackrát nachádzali aj v spracovaní samotného videa, často v prípade metadát, na túto oblasť si tvorcovia prehrávačov ale už dávajú väčší pozor. Podľa Check Point je v prehrávačoch ale podcenená bezpečnosť implementácie zobrazovania titulkov.

Tých je až viac ako 25 formátov, pričom formáty často podporujú aj rozšírené možnosti nielen zobrazenie čistého textu.

Zraniteľné prehrávače

Experti našli vážne chyby vo VLC, Kodi, Popcorn Time a strem.io, pričom avizujú možnosť ovládnutia počítača po zapnutí zobrazovania útočníkom podvrhnutých titulkov. Najmä prvé tri z menovaných sú mimoriadne populárnymi multimediálnymi prehrávačmi a podľa odhadu Check Point ich používa spolu rádovo 200 miliónov užívateľov.

Bezpečnostná spoločnosť na videu demonštruje hacknutie počítača cez titulky v prípade Popcorn Time a Kodi.


Demonštrácia hacknutia PC cez titulky (video: Check Point)



Technické detaily spoločnosť zatiaľ nezverejnila, kým nebudú opravené všetky problémy. Na demonštračnom videu je ale možné vidieť v Kodi použitie titulkov uložených v súbore s koncovkou .srt, či titulky v tomto súbore boli naozaj v princípe aj textové titulky vo formáte SRT nie je jasné.

Odporúčania

Časť zraniteľností už bola opravená.

V prípade VLC podľa informácií vývojárov pre TorrentFreak aktuálna verzia, ktorou je 2.2.5.1, už nie je hacknuteľná. Dve menšie chyby budú opravené v pripravovanej verzii 2.2.6.

Popcorn Time má mať opravy už aplikované.

Kodi je zatiaľ zraniteľné, na tento týždeň ale vývojári avizujú opravenú verziu 17.2. Oprava v podobe zdrojových kódov je už zrejme podľa informácií Check Point k dispozícii.

Jasným odporúčaním pre užívateľov je samozrejme inštalovať najnovšie opravené verzie prehrávačov a celkovo svoj softvér permanentne aktualizovať.

Kým nebude definitívne jasné, že sú v jednotlivých prehrávačoch definitívne opravené všetky tieto zraniteľnosti, môže byť vhodným odporúčaním nepoužívať titulky od potenciálne nedôveryhodných tvorcov. Check Point zároveň upozorňuje, že na vyhľadávačoch titulkov je pomerne jednoduché pre prípadných útočníkov zvýšiť hodnotenie nimi podvrhnutých titulkov a zabezpečiť ich stiahnutie veľkým množstvom užívateľov. Alebo dokonca ich automatické stiahnutie v prehrávačoch vyberajúcich a sťahujúcich titulky automaticky.


      Zdieľaj na Twitteri



Najnovšie články:

Helikoptéra na Marse uskutočnila po dlhom čase prieskumný let
Apple zariadení sa používajú dve miliardy
Webbov teleskop mal problém s prístrojom, spôsobilo ho zrejme kozmické žiarenie
Vydaný LibreOffice 7.5
AMD oznámila cenu a termín dostupnosti Ryzenov 7000X3D s veľkou L3 cache
Známe mesto pristúpilo k dramatickému obmedzeniu verejného osvetlenia, úplne ho vypína
Predaje PC, tabletov aj mobilov majú klesnúť aj v tomto roku
LTS podpora linuxových jadier sa zhoršila, dlhšiu podporu majú len staršie jadrá
V EÚ sa predáva už 12.1% elektromobilov, na Slovensku okolo 2%
Tretí blok Mochoviec začal dodávať elektrinu do siete, zatiaľ s 20% výkonom


Diskusia:
                               
 

Cat videos kill your PC.
Odpovedať Známka: 10.0 Hodnotiť:
 

Zdvihnite všetci ruky, ktorí máte strach :))
Ale vážne, keď vidím tie pakle aktualizácii pre win a "allow adobe to install update" alebo "always trust"
V podstate inštaluje si to čo chce, spúšťa sa to kedy chce...
A najsvinskejší špión je antivírus-skenuje všetky vaše fajly (možno aj faily, má tajná služba lepší nástroj ako windows a antivírus?)
Na sme budú písať, že hackeri dostali pedofila cez titulky k filmu lolita :D
Odpovedať Známka: -2.0 Hodnotiť:
 

Nemal by som strach, s tym 512Kbps uploadom na dsl a FUP je to celkom bezpecne.
Odpovedať Hodnotiť:
 

Ay dlhy by mal byt ten kod? Ked otvorim hoci aj srt, tak v notepad plaintexte vidim, co tam je nie? Ak uvidim nieco zle, tak to najdem, alebo sa o skryje aj pred plantextom ?
Odpovedať Hodnotiť:
 

a ty prechadzas kazde titulky pred pouzitim vo filme v notepade?
Odpovedať Známka: 3.3 Hodnotiť:
 

Preto nepouzivam VLC ale MPHC!
https://mpc-hc.org
Odpovedať Hodnotiť:
 

Co je 1.april? Alebo nejaky iny blaznivy den??? Co sa deje? Ten nadpis je fakt dobry :-D
Odpovedať Známka: 2.0 Hodnotiť:
 

Ohraniceny casovy interval indikujuci vyspelost civilizacie stupnom urovne chapania principov jadrovej fuzie.
Odpovedať Známka: -4.7 Hodnotiť:
 

Pod BUGuntu (Ubuntu) ma tiež háčknu ?
Odpovedať Známka: -5.7 Hodnotiť:
 

Ano.
Odpovedať Známka: 10.0 Hodnotiť:
 

Potvrdzujem, kvoli tomu som pred mesiacom preinstaloval Lubuntu a Kodi som si tam uz radsej nedal. Teraz sa mi potvrdilo, ze to nebola paranoja
Odpovedať Známka: 3.3 Hodnotiť:
 

Ano, dokonca jednoduchsie lebo Ubuntu ma v porovnani s Windows dost nizke zabezpecenie a ma len velmi slabe zakladne sandboxovanie programov na rozdiel od Windows kde Kodi vo forme UWP je bezpecnostne niekde uplne inde :D
Odpovedať Známka: -7.8 Hodnotiť:
 

minusky ti dali zjavni "znalci" uwp architektury
Odpovedať Známka: -5.0 Hodnotiť:
 

uz si konecne zapamatajte ze "no system is safe".
Odpovedať Hodnotiť:
 

Sa treba naucit anglicky a nie citat titulky
Odpovedať Známka: -2.7 Hodnotiť:
 

Dam vam hadanku...po anglicky viem, no napriek tomu si anglicke titulky zapinam.
?
Odpovedať Známka: 4.7 Hodnotiť:
 

ďeveť?
Odpovedať Známka: 8.9 Hodnotiť:
 

Motorku?
Odpovedať Známka: 8.3 Hodnotiť:
 

Tu nemam. Ani auto. A moja dievcina ma caka v Blave.
Odpovedať Známka: 6.0 Hodnotiť:
 

a nie je jej zima?

Odpovedať Hodnotiť:
 

http://dopice.sk/jEg
Odpovedať Známka: 10.0 Hodnotiť:
 

zeby japan, china, bollywood? :)
Odpovedať Známka: 10.0 Hodnotiť:
 

Riešenie hádanky je že si jebnutý.
Odpovedať Známka: -4.4 Hodnotiť:
 

Si hluchý.
Odpovedať Známka: 9.3 Hodnotiť:
 

dal som ti plus
Odpovedať Známka: 10.0 Hodnotiť:
 

som si precital, ze "dal som ti pusu"

Odpovedať Hodnotiť:
 

ceee je spravne.
Odpovedať Známka: 10.0 Hodnotiť:
 

no lebo ked stale chrumes chipsy tak nepocujes co rozpravaju
Odpovedať Hodnotiť:
 

Ja chrúmem lupienky, ale nie pri filme.
Odpovedať Hodnotiť:
 

Vo filmoch sa velakrat hovori v inom jazyku, pripadne pozerate film s niekym kto anglicky nevie.
Odpovedať Hodnotiť:
 

Aky su mudry. Co ak pozeram filmy, ktore nie su iba po anglicky? Mam sa naucit tolko jazykov? Plus ked sa ucia konkretny jazyk nie je nic lepsie ako titulky k tomu co hovoria. Pan sheep, vyzera to tak ze sa po anglicky neucili.
Odpovedať Známka: 10.0 Hodnotiť:
 

presne, navyše niekedy je kvôli rôznym príčinám niečomu nerozumieť (silný prízvuk herca, odborné výrazy, hlas prekrývaný hlasnými efektmi). Ja tiež radšej zapínam k anglickým filmom anglické titulky. Jediná nevýhoda že to strašne láka ich stále čítať a z filmu má potom človek menej :D
Odpovedať Hodnotiť:
 

Nechapem, a ja som si myslel že titulky sú len text v súbore, ktorý sa číta po riadkoch a parsuje... aby sa vedelo čo zobraziť v ktorom čase... no zjavne to tak asi nebude
Odpovedať Známka: 10.0 Hodnotiť:
 

no, ak je prípona .srt a v skutočnosti to nie je čistý texťák, tak by to šlo, ni?
Odpovedať Známka: 10.0 Hodnotiť:
 

aj pri textakoch moze byt chyba v parseri, ktory pri nejakom nestandardnom znaku alokuje menej pamati a tu a tam necha pretiect buffer. alebo ina implementacna chyba. moznosti je neurekom a vsetko co spracuva akekolvek data moze obsahovat podobne problemy.
Odpovedať Hodnotiť:
 

> Nechapem, a ja som si myslel že titulky sú len text
> v súbore, ktorý sa číta po riadkoch a parsuje.

Každý hack spočíva v tom, že sa niečo použije inak ako sa pôvodne očakávalo.
Podľa mňa ide o to, že sa ako vstup podhodí niečo, čo nie je "len text v súbore".
Odpovedať Známka: 10.0 Hodnotiť:
 

Ako je na tom MPC HC?
Odpovedať Známka: 10.0 Hodnotiť:
 

Zas jedna poloteoreticka zranitelnost bez realneho dosahu. Aktualne sa toho vela nevie - lepsie povedane nic sa nevie.
Nikde nie je pomenopvane detailnejsie :

- je to zneuzitelne vzdialene, lokalne, alebo len cez LANku ?
- je to zneuzitelne za NATom/FW ?
- CVE number samozrejme chyba - vsak naco
- utocny vektor je dost hypoteticky, lebo je viazany na specialne vyuzivanie vstavanej funkcionality voci webu Opensubtitles.org (ktory je sam o sebe specialitou na adv/malware)

Cele je to len proof-of-concept a apera sa o to, ze dany SW automaticky stahuje titule z OpenSubtitles.org a predpoklada specialne upravene titulky.


Odpovedať Známka: -10.0 Hodnotiť:
 

Ano si mudry so vsetkymi tymi vyrazmi, ale uz nemudruj.
Odpovedať Známka: 6.7 Hodnotiť:
 

citas citam citame:

Technické detaily spoločnosť zatiaľ nezverejnila, kým nebudú opravené všetky problémy.
Odpovedať Známka: 10.0 Hodnotiť:
 

kazdy jeden security pruser, ktory sa kedy odohral bol na zaciatku len "jedna poloteoreticka zranitelnost bez realneho dosahu".
Odpovedať Hodnotiť:
 

Mne DSL.sk pravidelne titulkami hackuje mozog...
Odpovedať Známka: 7.8 Hodnotiť:
 

Utočníci ? to čo je zas za novu slovnú srhračku ? Tí naši Hokejoví útočníci ? Čo to je útočník ? Ten čo ide spredu ? Ten čo útočí zo zadu je partizán ?
Odpovedať Známka: 2.0 Hodnotiť:
 

Netuším, ale napadol mi https://www.youtube.com/watch?v=V75mSwIvxQw
Odpovedať Hodnotiť:
 

Útočník, je ten čo útočí. Spredu, zozadu, zboku, zdola, ... to je fuk. S čím máš problém?
Odpovedať Známka: 5.0 Hodnotiť:
 

Nie je to jedno ? vydierači, teroristi, banditi, predajcovia BTC, daj si tam čo chceš všetko je správne.
Odpovedať Hodnotiť:
 

out of topic: BTC ide jak raketa: uz je za 2250, ked to takto pojde dalej, do konca maja je na 2500 a v polke juna 3000

len som strasne zvedavy keby bublina splasne
Odpovedať Známka: 10.0 Hodnotiť:
 

dokial budu vsetci len cakat, kym bublina splasne, tak nesplasne :D
Odpovedať Hodnotiť:
 

tak, treba nieco robit aby uz konecne splasla :D
Odpovedať Hodnotiť:
 

Ja som vedel, ze treba vsetko spustat cez firejail.
Odpovedať Hodnotiť:
 

Esteze porno nepotrebuje titulky, som v pohode.
Odpovedať Známka: 6.7 Hodnotiť:
 

Veľmi dôležité je, že nás nemožnú hacknúť cez titulky k dokumentom. Idem si rovno pozrieť nejaký dokument. Pre istotu jednodielny.
Odpovedať Hodnotiť:
 

VLC 2.2.6 uz je dostupne
Odpovedať Hodnotiť:

Pridať komentár