Hackers kunnen mediaspelers overnemen via corrupte ondertiteling
Een nieuwe aanvalsmethode maakt gebruik van corrupte ondertiteling. Zo kunnen hackers via mediaspelers de controle verkrijgen over computers, smartphones of smart TV’s. Dat meldt het beveiligingsbedrijf Check Point.
Onderzoekers van Check Point hebben een nieuwe aanvalsmethode ontdekt waar honderden miljoenen gebruikers van populaire mediaspelers zoals VLC, Kodi (XBMC), Popcorn Time en Stremio slachtoffer van kunnen worden. Door ondertiteling met kwaadaardige code te creëren en aan te bieden aan kijkers, kunnen aanvallers de controle overnemen van elk apparaat waarop deze kwetsbare platformen gebruikt worden.
“Op dit moment zijn er ruim 25 verschillende formaten voor ondertiteling in gebruik. Dit gefragmenteerde ecosysteem, samen met de beperkte beveiliging, maakt het ontzettend aantrekkelijk voor hackers”, vertelt Omri Herscovici, onderzoeker van het beveiligingsbedrijf Check Point. “We hebben nu ontdekt dat er corrupte ondertiteling gemaakt wordt die automatisch geleverd kan worden aan miljoenen apparaten. Daarbij wordt security-software omzeild en krijgt de aanvaller volledige controle over het geïnfecteerde apparaat.”
Automatisch gedownload
De ondertiteling voor films en series worden meestal op openbare repositories geplaatst, zoals OpenSubtitles.org, waar ze worden geïndexeerd. Het onderzoeksteam van Check Point laat zien dat, door het manipuleren van het ranking-algoritme van dergelijke repository, kwaadaardige ondertitels automatisch gedownload kunnen worden door de mediaspeler. Op die manier kunnen hackers zelfs de controle krijgen zonder dat ze rechtstreeks contact met de gebruiker moeten hebben.
Vanaf het moment dat de kwetsbaarheden bekend zijn gemaakt, hebben alle vier de bedrijven de gerapporteerde issues hersteld. Stremio en VLC hebben inmiddels nieuwe software-versies uitgebracht. “Om zichzelf te beschermen en het risico op mogelijke aanvallen te minimaliseren, moeten gebruikers hun streaming-platformen updaten naar de nieuwste versies“, aldus Herscovici.
Fout opgemerkt of meer nieuws? Meld het hier