Managertoday 經理人

看電影也會被攻擊?小心「惡意字幕」控制你的電腦跟手機!

2019-11-23 09:22:23
Managertoday
https://bnextmedia.s3.hicloud.net.tw/image/album/2017-05/img-1495768121-87871@900.jpg
小心!看電影也會被駭客攻擊。看影片配字幕,這是一般台灣民眾再正常不過的生活場景,但現在「字幕」也可能讓你的手機、電腦、電視暴露在受到網路攻擊的威脅下,以色列的資安業者在本周,針對這項全新的攻擊手法提出警告

看影片配字幕,這是一般台灣民眾再正常不過的生活場景,但現在「字幕」也可能讓你的手機、電腦、電視暴露在受到網路攻擊的威脅下,以色列的資安業者在本周,針對這項全新的攻擊手法提出警告。

字幕中植入惡意代碼,估計影響 2 億用戶

以色列資安業者Check Point本周表示,網路犯罪組織在VLC、Kodi、Popcorn Time及Stremio等媒體播放器的字幕中植入惡意代碼,可以藉由這項漏洞取的使用者裝置的控制權,估計至少影響全球2億用戶。

Check Point指出,字幕檔案通常從網路資料庫自動被下載下來,目前市面上約有25種不同字幕格式,依據解析度不同,來確保使用者經驗,因此駭客可以輕易的強迫播放器下載他們的惡意字幕,因為格式眾多,媒體播放器業者通常無暇顧及字幕格式安全性。

一旦使用者載入惡意字幕檔,駭客就能從遠端控制使用者的iOS、Android手機、PC、智慧電視等,進一步竊取機密資料或安裝勒索程式;以下這支影片,用播放器Popcorn Time播放電影《冰雪奇緣》,來示範如何惡意代碼值入Windows PC上,分割畫面右方是攻擊者的電腦,執行駭客程式Kali Linux。

經常更新播放軟體,避免字幕漏洞

Check Point惡意軟件研究團隊負責人Yaniv Balmas解釋,媒體播放器都是使用像是「OpenSubtitles」的公共字幕檔案庫,播放器通常會根據選播的影片執行最受歡迎的字幕檔案。

也就是說,駭客可以操控OpenSubtitles系統,讓惡意檔案的排序在最前面搶先執行;Check Point團隊表示,只需要兩分鐘的時間,就能夠以被標記可信任黃金會員的身分,對字幕檔案上下其手,讓惡意檔案排在第一順位,由於這些資料庫的開放性,任何人只需要註冊一個用戶名都有可能可以動手腳,而用戶通常不會知道,自己使用的是哪一款字幕檔案。

Yaniv Balmas表示,每一款媒體播放器都有不同弱點,直到開發者發佈補丁修復後才有可能被公開,而任何使用這種字幕來源的平台都可能存在相同的漏洞。

媒體播放器Stremio發言人表示,Check Point揭露出漏洞後很快就進行修復,Kodi、Popcorn Time也都紛紛推出修復版本,外媒也提醒用戶需要時常更新自己所使用的軟體。

延伸閱讀 /

1. 別讓自己成為勒索病毒的受害者!6個步驟防止攻擊,保護你的重要資料
2. 新釣魚攻擊利用瀏覽器自動填表偷走你的隱私,這樣把它關掉吧!

(本文出自「數位時代」,原文請點此
資料來源 / ForbesLiliputingCheck Point