Check Point Software Technologies Ltd. har bekjentgjort at selskapets sikkerhetsforskere har avdekket en ny angrepsvektor som truer hundrevis av millioner brukere av populære mediespillere, inkludert VLC, Kodi (XBMC), Popcorn Time og Stremio. Gjennom falske undertekster som blir lastet ned av brukerne kan angriperne potensielt ta full kontroll over enhver enhet som benytter de sårbare plattformene.

– Leveransekjeden for undertekster er kompleks, med over 25 undertekstformater i bruk, alle med unike særtrekk og muligheter. Dette fragmenterte økosystemet, sammen med begrenset sikkerhet, betyr at det er mange utnyttbare sårbarheter som gjør det til et veldig attraktivt mål for angripere. Vi har oppdaget at skadelige undertekster kan skapes og leveres automatisk til millioner av enheter, og unngå sikkerhetsprogramvare og dermed gi angriperne full kontroll over den infiserte enheten med alle dataene den inneholder, sier teamleder og sikkerhetsingeniør Arnfinn Strand hos Check Point.

Check Points forskerteam har testet og funnet sårbarheter i fire av de mest populære mediespillerne: VLC, Kodi, Popcorn Time og Stremio, og har på en ansvarlig måte fulgt gjeldende retningslinjer for å rapportert om sårbarhetene. Ved å utnytte sårbarheter i disse plattformene er hackere i stand til å benytte skadelige programmer for å ta over enhetene som benytter disse mediene.

Undertekster for filer og TV programmer produseres av en rekke undertekstforfattere, og er lastet opp til delte online lagringsområder, som OpenSubtitles.org, hvor de indekseres og rangeres. Check Point forskere har også vist at gjennom å manipulere lagringsområdets rangeringsalgoritme, kan skadelige undertekster automatisk lastes ned av mediespilleren, slik at hackeren får full kontroll over hele leveransekjeden uten at brukeren er involvert.

Etter at sårbarhetene ble avdekket, har alle de fire selskapene fikset de rapporterte tilfellene. Stremio og VLC har også lansert nye programvareversjoner som inkluderer denne fixen.

– For å beskytte seg og redusere risikoen for mulige angrep, må brukerne forsikre seg om at strømmespillerne benytter den siste programvareversjonen, konkluderer Strand.

VLC har over 170 million nedlastinger av sin siste versjon, med release dato 5.juni 2016. Kodi (XBMC) har nådd over 10 millioner unike brukere per dag, og nær 40 millioner unike brukere per måned. I øyeblikket foreligger det ikke eksakte estimater for bruken av Popcorn Time, men antas å være ti-tall millioner. Check Point har grunn til å tro at lignende sårbarheter også finnes i andre strømmebaserte mediespillere.