Hoe hackers populaire mediaspelers overnemen
Onderzoekers van Check Point hebben een nieuwe aanvalsmethode ontdekt waar honderden miljoenen gebruikers van populaire mediaspelers, waaronder VLC, Kodi (XBMC), Popcorn Time en Stremio slachtoffer van kunnen worden. Door ondertiteling met kwaadaardige code te creëren en aan te bieden aan kijkers, kunnen aanvallers in potentie de controle overnemen van elk apparaat waarop deze kwetsbare platformen gebruikt worden.
“Met ruim 25 verschillende formaten voor ondertiteling die op dit moment in gebruik zijn, met elk eigen unieke features en mogelijkheden, is de supply chain van ondertiteling complex te noemen. Dit gefragmenteerde ecosysteem, samen met de beperkte beveiliging, betekent dat er meerdere kwetsbaarheden zijn die uitgebuit kunnen worden. Dit maakt het ontzettend aantrekkelijk voor aanvallers”, aldus Omri Herscovici, vulnerability research team leader bij Check Point. “We hebben nu ontdekt dat er kwaadaardige ondertiteling gemaakt wordt die automatisch geleverd kan worden aan miljoenen apparaten. Daarbij wordt security-software omzeild en krijgt de aanvaller volledige controle over het geïnfecteerde apparaat en de data die daarop staat.”
Het onderzoeksteam van Check Point testte vier van de meest populaire mediaspelers en vond kwetsbaarheden in VLC, Kodi, Popcorn Time en Stremio. Deze kwetsbaarheden zijn gerapporteerd volgens de geldende richtlijnen. Door de kwetsbaarheden in deze platformen uit te buiten, zijn hackers in staat kwaadaardige bestanden te gebruiken om het apparaat dat de media afspeelt, over te nemen.
De ondertiteling voor films en tv-shows wordt gemaakt door een breed scala aan ondertitelschrijvers die ze vervolgens uploaden naar openbare online repositories, zoals OpenSubtitles.org, waar ze vervolgens worden geïndexeerd en geclassificeerd. Het onderzoeksteam van Check Point laat zien dat, door het manipuleren van het ranking-algoritme van de repository, kwaadaardige ondertitels automatisch gedownload kunnen worden door de mediaspeler, wat hackers in staat stelt complete controle te verkrijgen over de gehele supply chain van ondertiteling. Hierbij is direct contact met de gebruiker niet nodig.
Vanaf het moment dat de kwetsbaarheden bekend zijn gemaakt, hebben alle vier de bedrijven de gerapporteerde issues gerepareerd. Stremio en VLC hebben inmiddels nieuwe software-versies uitgebracht. “Om zichzelf te beschermen en het risico op mogelijke aanvallen te minimaliseren, moeten gebruikers hun streaming-platformen updaten naar de nieuwste versies”, aldus Herscovici.
De nieuwste versie van VLC is sinds 5 juni 2016 meer dan 170 miljoen keer gedownload. Kodi (XBMC) bereikt 10 miljoen unieke gebruikers per dag. Voor Popcorn Time bestaan er geen recente cijfers over het gebruik, maar naar schatting gaat het hier ook om tientallen miljoenen gebruikers. Check Point heeft reden om aan te nemen dat gelijkwaardige kwetsbaarheden bestaan in andere streaming-mediaspelers.
Lees meer in het blog van Check Point en bekijk de video over hoe de aanval werkt.
