רד מעל מסך הטלוויזיה שלי

נחשפה שיטת תקיפה חדשה, שעלולה לאפשר להאקרים להשתלט על מכשיריהם של מאות מיליוני המשתמשים בפלטפורמות מדיה פופולריות – כך על פי חוקרי צ'ק פוינט (Check Point).

מדובר, על פי החוקרים, בפלטפורמות מדיה פופולריות כמו Kodi, פופקורן (Popcorn Time), Stremio ו-VLC.

המתקפה מתאפשרת באמצעות קובץ כתוביות המכיל נוזקה. כאשר הצופים מורידים ומפעילים את קובץ הכתוביות בנגן המדיה, יכולים התוקפים להשתלט על המכשיר – תוך ניצול חולשות אבטחה בפלטפורמות המדיה עצמן.

לדברי עמרי הרשקוביץ, מנהל צוות מחקר חולשות בצ'ק פוינט, "שרשרת האספקה של הכתוביות מורכבת מאוד, עם 25 פורמטים שונים של כתוביות. לכל אחד מהם מאפיינים ויכולות שונים. בתוך האקו-סיסטם הזה מופעלים כיום אמצעי אבטחה מוגבלים. לכן, חולשות האבטחה האלו אטרקטיביות מאוד עבור ההאקרים".

הרשקוביץ הוסיף כי "גילינו דרך שבה תוקפים יכולים ליצור כתוביות זדוניות שיגיעו למיליוני משתמשים, ולעקוף את מנגנוני האבטחה כדי להשתלט באופן מוחלט על המכשירים".

צוות החוקרים של צ'ק פוינט בדק ומצא חולשות אבטחה בארבע פלטפורמות המדיה הפופולריות ביותר, ודיווח על החולשות לצוותי האבטחה של החברות. חולשות האבטחה בפלטפורמות הללו הן שמאפשרות לתוקפים להשתמש בכתוביות הזדוניות – כדי להשתלט על המכשיר המנגן את קובץ המדיה.

כתוביות לסרטים ותוכניות טלוויזיה מיוצרות על ידי מגוון רחב של כותבים, שמעלים אותם למאגרי כתוביות כדוגמת OpenSubtitles.org.

במאגרים הללו, הכתוביות מקוטלגות ומדורגות. חוקרי צ'ק פוינט גילו כי בנוסף, ניתן גם לתמרן את אלגוריתם הדירוג של הכתוביות, באופן שיעלה את הדירוג של הכתוביות הזדוניות על פני קבצים אחרים.

כיוון שחלק מפלטפורמות המדיה מורידות באופן אוטומטי את הקבצים בעלי הדירוג הגבוה ביותר – במקרים רבים אפילו לא נדרשת מעורבות של הצופה בבחירת קובץ הכתוביות".

בעקבות הדיווח של צ'ק פוינט, תיקנו ארבע החברות את החולשות. שתיים מהן, Stremio ו-VLC, אף פרסמו עדכוני גרסה המכילים את התיקון.

"כדי להפחית את הסיכוי להיפגע ממתקפות פוטנציאליות, אנחנו ממליצים למשתמשים לעדכן את גרסאות הנגנים והסטרימרים שבהם הם משתמשים," סיכם הרשקוביץ.

לגרסה הקודמת של נגן VLC, ששוחררה ביוני 2016, ישנן יותר מ-170 מיליון הורדות. ל-Kodi ישנם יותר מ-10 מיליון משתמשים ייחודיים (unique) ביום, וכ-40 מיליון משתמשים ייחודיים בחודש.