Häkitud tõlge – alates subtiitritest ja lõpetades täieliku ülevõtmisega

Check Pointi uurijad avalikustasid uue ründevektori, mis ohustab miljoneid kasutajaid üle terve maailma: rünnak subtiitrite kaudu! Ründajad panevad kokku pahatahtliku subtiitrifaili, mille ohvri meediamängija laadib alla ja mis võimaldab ründajatel võtta täielikult üle iga tüüpi seadme, kasutades ära haavatavusi, mis leiduvad paljudes populaarsetes voogesitusplatvormides, nagu VLC, Kodi (XBMC), Popcorn-Time ja Stremio. Hinnangute kohaselt on haavatav tarkvara kasutusel ligikaudu 200 miljonis videomängijas ja voogesitajas, mis teeb sellest ühe kõige laiemalt levinud hõlpsasti juurdepääsetava ja nullvastupanuga nõrga koha, millest on viimastel aastatel teatatud.

Mis see on?

Häkkerid kasutavad küberrünnakute tegemiseks erinevaid meetodeid ehk ründevektoreid. Need ründevektorid saab jaotada kahte peamisse kategooriasse: ründaja kas veenab kasutajat külastama pahatahtlikku veebisaiti või meelitab teda käivitama oma arvutis pahatahtliku faili.

Check Pointi uuring avalikustas uue võimaliku ründevektori, mis kasutab kahe silma vahele jäetud võtet, mille korral toimub küberrünnak filmi subtiitrite laadimisel kasutaja meediamängijasse. Kasutaja või meediamängija peab subtiitrite hoidlaid usaldusväärseks allikaks, aga meie uuring näitas, et neid hoidlaid saab manipuleerida nii, et need määravad ründaja pahatahtlikele subtiitritele kõrge hinnangu, mistõttu valivad kasutajad just need subtiitrid. Selle meetodi korral ei pea kasutaja ise eriti midagi tegema, mis muudab selle eriti ohtlikuks.

Turbefirmad ja kasutajad on tavapärastest ründevektoritest üldiselt teadlikud, aga filmide subtiitreid peetakse tavalisteks tekstifailideks. See tähendab, et kasutajad, viirusetõrjetarkvara ja muud turbelahendused peavad neid turvalisteks ilma nende tõelist olemust kontrollimata, mis seab miljonid kasutajad ohtu.

Mis on selle algpõhjus?

Ründevektor tugineb suuresti turbe kehvale tasemele viisides, kuidas erinevad meediamängijad subtiitrifaile töötlevad, samuti lihtsustab rünnakut subtiitrite erinevate vormingute suur hulk. Kasutusel on üle 25 subtiitrite vormingu, millest igaühel on ainulaadsed funktsioonid ja võimalused. Meediamängijad peavad tihti kasutama andmeid erinevates vormingutes subtiitritest, et tagada subtiitrifaili terviklus ja pakkuda paremat kasutajaelamust. Selleks kasutab iga meediamängija erinevat viisi. Samamoodi nagu teistes olukordades, kus tuleb tegeleda fragmenditud tarkvaraga, on ka siin tulemuseks mitu erinevat nõrka kohta.

Mis on selle tulemus?

Ulatus: mõjutatud kasutajate koguarv ulatub sadadesse miljonitesse. Igal seni leitud haavataval meediamängijal on miljoneid kasutajaid ja me usume, et ka teised meediamängijad võivad langeda sarnaste rünnakute ohvriks. Ainuüksi VLC varasemat versiooni, mis anti välja 2016. aasta 5. juunil, laaditi alla üle 170 miljoni korra. Kodi (XBMC) kasutajate arv on jõudnud rohkem kui 10 miljoni kasutajani päevas ja peaaegu 40 miljoni kasutajani kuus. Popcorn Time’i kasutajate arvu kohta praegu ülevaated puuduvad, aga võib eeldada, et see ulatub samuti miljonitesse. Kahjustused: häkkerid saavad subtiitrite kaudu rünnates üle võtta iga seadme, milles subtiitreid kasutatakse. Seejärel saavad ründajad ohvri seadmes teha kõike, mida soovivad – seda nii arvutis, nutiteleris kui ka mobiilseadmes. Kahju võimalik ulatus on piiritu ja selleks võib olla tundliku sisuga teabe vargus, lunavara installimine, massilised teenuse tõkestamise rünnakud ja palju muud.

Milliseid meediamängijaid see puudutab?

Seni oleme katsetanud ja nõrkasid kohti leidnud neljas peamises meediamängijas: VLC, Kodi, Popcorn Time ja Stremio. Meil on põhjust arvata, et sarnased nõrgad kohad on olemas ka teistes meediamängijates. Järgisime vastutustundliku avalikustamise juhiseid ja andsime haavatavate meediamängijate arendajatele teada kõigist nõrkadest kohtadest. Mõni probleem oli juba kõrvaldatud, aga teised on alles uurimisel. Selleks et anda arendajatele rohkem aega nõrkade kohtade kõrvaldamiseks, otsustasime, et ei avalda praegu rohkem tehnilisi andmeid.

Platvormide uuendused

IPS-süsteemi signatuurid

  • Popcorn Time’i subtiitrite koodi kaugkäivitamine
  • Kodi lisandmooduli OpenSubtitles koodi kaugkäivitamine
  • VLC ParseJSS Null Skipi subtiitrite koodi kaugkäivitamine
  • Stremio subtiitrite koodi kaugkäivitamine

Kuidas see ründevektor levib?

Kaevumine veelgi sügavamale subtiitrite tarneahelasse avaldas huvitavaid tulemusi. Saadaval on mitu ühiskasutuses veebihoidlat, nagu OpenSubtitles.org, mis indekseerivad ja hindavad filmide subtiitreid. Mõni meediamängija laadib subtiitrid automaatselt alla – sellised hoidlad on ründajate jaoks kõige sobivamad. Meie uurijad suutsid ka näidata, et veebisaidi hindamisalgoritmi manipuleerides saab garanteerida, et meediamängija laadib automaatselt alla just pahatahtlikud subtiitrid, mis võimaldab häkkeril võtta täielikult üle terve subtiitrite tarneahela, ilma et vajalik oleks vahendajaründe kasutamine või kasutaja tegevus. See nõrk koht mõjutab ka kasutajaid, kes kasutavaid neid hinnanguid subtiitrite käsitsi allalaadimisel.

Allpool on toodud katsetuskeskkonna video, mis näitab, kuidas ründaja saab kasutada pahatahtlikke subtiitreid teie arvuti ülevõtmiseks.