iPon Hírek

Új veszély: hatékony támadások feliratfájlokon keresztül

Dátum | 2017. 05. 25.
Szerző | J.o.k.e.r
Csoport | IT VILÁG

Manapság egyre kifinomultabb módszereket eszelnek ki annak érdekében, hogy a gyanútlan felhasználókat csőbe húzzák némi anyagi haszonszerzés reményében. A támadásoknak eléggé változatos formái léteznek, amelyek között egyre többször bukkannak fel speciális, szinte kivédhetetlen módszerek, hála a támadók kreativitásának, illetve a különböző szoftverekben tátongó biztonsági réseknek. A legújabb problémára a CheckPoint szakemberei világítottak rá, akik rájöttek, hogy akár feliratfájlokon keresztül is átvehető a teljes irányítás egy PC, egy mobileszköz vagy egy okostelevízió felett. A gondot az okozza, hogy a médialejátszó szoftverek feliratkezelő moduljaiban van néhány biztonsági rés, amelyeken keresztül speciálisan megszerkesztett feliratfájlokat használva könnyedén átvehető az irányítás az adott rendszer felett. Ez a biztonsági probléma sok ismert és népszerű médialejátszót érint, hiszen a KODI, a VLC, a strem.io és a Popcorn Time egyaránt sikeresen támadható, ehhez pedig nincs is szükség túl sok extra munkára, ha a támadó már ismeri a biztonsági rés kihasználásának fortélyait.
Az alapvető gond az, hogy manapság 25-nél is több feliratformátum van használatban, amelyek különböző funkcionalitással és sajátosságokkal rendelkeznek, így a médialejátszó szoftvereknek úgy kell működniük, hogy a legkülönfélébb feliratfájlokkal is tökéletesen kompatibilisek legyenek. Mivel rengetegféle formátum létezik, méghozzá más és más sajátosságokkal, így a többféle szempontnak való megfelelés eléggé „töredezett” szoftvert eredményez, amelyben biztonsági rések is szép számmal lehetnek. A támadóknak csak azt kell elérniük, hogy az általuk szerkesztett feliratfájlok felkerüljenek az adott kiszolgálókra, ahol némi trükkel megoldják, hogy ezek a fájlok magas értékelést kapjanak, így a felhasználók ezeket fogják választani videónézéshez, a háttérben pedig elindul a folyamat, amelynek során a támadó teljes kontrollt szerezhet az adott eszköz felett. Ez azért veszélyes, mert így érzékeny adatokhoz juthat, de kártékony kódot is telepíthet, valamint DDoS támadást is indíthat, vagy éppen egy zsarolóvírust is telepíthet, ami titkosítja a delikvens fájljait, de váltságdíjért cserébe újra elérhetővé teszi őket. A lehetőségek tárháza tehát elég gazdag, védekezni pedig elég nehéz. Mivel a feliratfájlokat eddig nem igazán tekintették fenyegetésnek a különböző piaci szereplők, illetve maguk a biztonságtechnikai vállalatok sem, hiszen úgy gondolták, csak egyszerű, veszélytelen szöveges fájlokról van szó, így a támadás felismerésére és megakadályozására nincs is igazán mód mindaddig, míg a problémás lejátszókhoz meg nem érkeznek a rést befoltozó frissítések. Éppen ezért semmilyen biztonságtechnikai szoftver, illetve vírusirtó alkalmazás nem nyújt védelmet – csak akkor mehetünk biztosra, ha a már frissített alkalmazásokat használjuk. A támadás ennyire egyszerűen és gyorsan történik:
Hogy ez a probléma mekkora felhasználói bázist érinthet? Mivel a VLC legfrissebb változatát már több, mint 170 millióan töltötték le, a KODI-t pedig napi szinten 10 millióan, heti szinten pedig 40 millióan használják, így rengeteg felhasználó van veszélyben. És akkor a stream.io és a Popcorn Time felhasználói bázisát még össze sem számoltuk. Jó hír, hogy a Popcorn Time javított változata már elérhető, valamint a VLC biztonsági rését is befoltozták és a Strem.io is védett már, tehát ha ezeket használjuk, mindenképpen frissítsünk a legújabb változatra. A KODI frissített kiadása egyelőre még csak forráskód formájában érhető el, a hivatalos weboldalon keresztül nem, de a helyzet remélhetőleg hamarosan változni fog. Nagyobb baj, hogy ezeken felül több egyéb szoftver is érintett lehet, ám ezekről egyelőre nem rántják le a leplet a CheckPoint szakemberei, hogy a fejlesztőknek legyen idejük elkészíteni a javításokat.
Új hozzászólás írásához előbb jelentkezz be!

Eddigi hozzászólások

24. katt777
2017.05.25. 10:00
Hát, amíg az összes szoftver- és hardvergyártó eleve kémkedésre használja a szoftvereit (már a telepítéskor húznának az internetre, a sunyi regisztrációs bejegyzésekről nem is szólva, hogy 10* annyi idő kiirtani ezeket, mint maga a telepítés), az op. rendszerek meg gyárilag jókora kapukat biztosítanak bizonyos szolgálatok számára, addig naná, hogy más is bemegy ezeken, ha hagyják. Nyomtatókból is jókora botrány volt, de még az nV meghajtóját is több helyen kell gyomlálni minden frissítés után. Aztán a "hozzáértők" Wint szidják, hogy lassú...
Egyébként meg lehet tanulni angolul, és akkor senki nem szivároghat be a feliratokon keresztül (no meg szövegszerkesztő is van), vagy lehet normális médialejátszókat használni, nem a neten lógni állandóan, tűzfalakról nem is beszélve (és minden frissen telepített program net hozzáférését rögtön letiltani). Szóval sok módszer van támadások ellen, lustaság és tanulatlanság ellen sokkal kevesebb. Talán, ha elfogadják az új EU direktívát, amely büntethetővé tenné a szoftvergyártókat a biztonsági résekért, változik a helyzet, de sztem sok kormány tiltakozni fog ellene.
 
Válasz írásához előbb jelentkezz be!
23. ianbrenner
2017.05.25. 10:08
De most tényleg! Már egy felirat kezelést sem lehet úgy megírni, hogy abból ne mászhasson át támadó kód a gépre? Nem lenne elég a feliratot beolvasni és kész? Mindenképpen kellenek a különleges extra funkciók, amik aztán még azt is lehetővé teszik, hogy program induljon a feliratból? Eszem megáll... Nem baj, bonyolítsátok csak a világot, hát ha végleg elszabadul egyszer a pokol.
 
Válasz írásához előbb jelentkezz be!
22. Meteoreso
2017.05.25. 10:13
Bs Player érintett ?
Bár nem teljesen értem hogy egy .srt-vel hogy lehet bármit feltörni, abban csak egy másodpercszám van és egy szöveg, vagyis hogy érné el valaki hogy abban vírus legyen amikor minden betűjét látom a filenek a képernyőn ???
 
Válasz írásához előbb jelentkezz be!
21. Terror Meteo...
2017.05.25. 10:23
Kivéve, hogy a lejátszó a szabványos timestampet keresi, hogy az utána jövő szöveget megjelenítse, és ha ilyet nem talál, akkor nem látsz semmit.
 
Válasz írásához előbb jelentkezz be!
20. katt777 ianbr...
2017.05.25. 10:49
Lehetne, de úgy nem tudnák jó pénzért eladni a lopott adatokat. Semmit nem adnak ingyen. A gáz inkább az, hogy a fizetős programok sem kivételek.
 
Válasz írásához előbb jelentkezz be!
19. Busterftw Meteo...
2017.05.25. 10:51
Ez a lényege, hogy nem csak timestamp és "sima" szöveg van benn. A sebezhetőség nem lépett meg, kb minden nap van ilyen más szoftvernél hír. A 25 féle felirat már annál inkább, bár már angol megy anyanyelvi szinten, előtte csak srt-vel találkoztam.
 
Válasz írásához előbb jelentkezz be!
18. Busterftw katt7...
2017.05.25. 10:57
Ez nem extra vagy felesleges szolgáltatások, ezek kényelmi funkciók. Ezek a lejátszók streamelik peer to peer es egyéb fájlmegosztókról a filmeket, illetve keresik a feliratot online adatbázisból. Nem tudom, hogy akarod ezeket "offline" csinálni, meg nem engedni őket netre, amikor ez a lényege. Kb Netflix, csak ingyen. Gondolom te még VHS-en és DVD-ken hozod a filmeket.
 
Válasz írásához előbb jelentkezz be!
17. dzsuz87 Meteo...
2017.05.25. 11:49
Nem az .srt fájlok fertőznek, mert azokból hiányzik minden efféle funkcionalitás. Aki animéket szokott nézni, az már biztosan találkozott az .ass feliratokkal, azok a 20-50 kB helyett 1-2 MB méretűek. Lehet betűtípust is tárolni benne, változtatható a betűk színe, mérete, pozíciója, és számos egyéb funkció jelen van. Na azok már fertőzhetnek.
 
Válasz írásához előbb jelentkezz be!
16. Kogeru dzsuz...
2017.05.25. 12:36
Szóval a biztonsági résen keresztül ilyen fájlokkal történő támadást nevezhetjük ass-hole támadásnak?
 
Válasz írásához előbb jelentkezz be!
15. sutyko_hop... katt7...
2017.05.25. 12:41
A hsz-ed első fele még mintha normális embertől származott volna...


..jöhet a letiltás
 
Válasz írásához előbb jelentkezz be!
14. katt777 Buste...
2017.05.25. 14:17
Semmit nem streamelek, ha nem derült volna ki a hsz-ból, max fizetem, letöltöm, ennyi. Minden "kényelmi" szolgáltatást kerülök, a cikkből is nyilvánvaló okokból (meg nem fizetek elő ezért sokszor drágább netcsomagra). Egy BD, de még DVD is gyakran jobb minőség, és nem okoz kárt a gépemben, ja, és nem fizetek, ahányszor csak megnézem, illetve akkor is megmarad, ha neten már nincs. Lehet, régimódi vagyok, de a mai kor "adatvédelmi" szokásait inkább kerülöm, de nem is kell sírnom mindenféle behatolási kísérlet ellen, ami már eleve valószínűsíthető bármilyen online szolgáltatásból.
 
Válasz írásához előbb jelentkezz be!
13. katt777 sutyk...
2017.05.25. 14:18
Sajnálom, ha nem értetted.
 
Válasz írásához előbb jelentkezz be!
12. eriol dzsuz...
2017.05.25. 15:02
Az SSA (*.ass) feliratok is szimpla text alapú file -ok. Azért lehet nagy, mert lehet mellette font.
Az exploit nem a felirat file -ban van és nem is a lejátszó maga a sebezhető. A sebezhetőség az online feliratletöltő modulokban van, amik egy zip -et töltenek le, és kitömörítik. A kitömörítés során az elég suta file kezelés miatt felülíródhatnak olyan rendszerfile -ok, amiknek nem kellene, és már meg is vagy "fertőzve".
 
Válasz írásához előbb jelentkezz be!
11. Busterftw katt7...
2017.05.25. 15:25
Szoval ideiglenes letoltes helyett te permanensen toltesz le.
Veszely ugyanugy megvan.
Csak mas szoftver megy netre.
 
Válasz írásához előbb jelentkezz be!
10. Cyberbird eriol
2017.05.25. 15:45
Ahh, szoval ismet tipikus kattintasvadasz cikk, forras linkeles nelkul...
Koszi a tisztazast. (bar a forras cikk eleje se sokkal jobb)
 
Válasz írásához előbb jelentkezz be!
2017.05.25. 16:35
Inkább csak pontatlan a cikk (mondjuk a CheckPoint hivatalos közleménye is elég ködös), de azokra azért elégé veszélyes a dolog, akik a lejátszójuk beépített feliratletöltő modulját használják a feliratok beszerzéséhez, de itt se mind, pl az mpc-hc feliratletöltője alapból normálisan lett implementálva. Arra nem térnek ki, hogy root/admin joggal kell e futtatni a lejátszót, hogy működjön az exploit, de gyanítom, hogy igen, ami azért sok média lejátszó boxnál/tv -nél gond lehet, mert ott gyakori, hogy minden root joggal fut.
 
Válasz írásához előbb jelentkezz be!
8. Szefmester eriol
2017.05.25. 18:11
Ezek szerint akkor a BSplayer felirat letöltője (opensubtitles.org-ról) is résnek minősül?
 
Válasz írásához előbb jelentkezz be!
7. kazsakke eriol
2017.05.25. 18:22
akkor a VLC nem lehetne sebezheto, mert nem tud root jogosultsaggal futni
 
Válasz írásához előbb jelentkezz be!
2017.05.25. 19:19
Windowson hogyne tudna.

@Szefmester: jó kérdés, BSplayer -éknél kell érdeklődni. Valszeg elég hamar kirakják a fórumukra, hogy hogy állnak.
 
Válasz írásához előbb jelentkezz be!
5. kazsakke eriol
2017.05.25. 20:51
direkt azert irtam csak root jogot admint nem, windows es a biztonsag, viccnek jo lesz
(irom ezt a windowsos gepemrol)
 
Válasz írásához előbb jelentkezz be!
4. eriol
2017.05.26. 00:11
Közben olvasgattam még, és kiderült, hogy ez 3 különböző exploit.

PopcornTime: az felirat szövegét html -ként rendereli be, ezért egy java script explitot lehet indítani a feliratból.
VLC: felirat felolvasásakor heap buffer overflow -t kap.
Kodi: a már lentebb írt zip tömörítési trükk.
 
Válasz írásához előbb jelentkezz be!
2017.05.26. 08:30
)))))))))))
 
Válasz írásához előbb jelentkezz be!
2. fofoka katt7...
2017.05.26. 10:15
"Egyébként meg lehet tanulni angolul..."
Meg lehet, de filmet nem csak angolul gyártanak. Jó tudni, mi?
 
Válasz írásához előbb jelentkezz be!
1. Smooth44 katt7...
2017.05.27. 11:27
"Egyébként meg lehet tanulni angolul, és akkor senki nem szivároghat be a feliratokon keresztül"

Mi elég sok skandináv, kóreai, japán, francia, holland, de még iráni filmet is néztünk csak az elmúlt negyedévben. Szinte mindet angol felirattal.
De köszönöm az okos tanácsot, akkor ideje lesz filmezés előtt azok nyelvét is gyorsan megtanulni. Vagy erre van egy újabb jótanács? "Csak hálivúdi filmeket szabad nézni!"?

ON:
Amúgy, bár kodi támogatja az online feliratkeresést, én mindig külön vadászom le a filmek mellé, és eddig csak .srt jött le. De azért aggasztó, főleg, hogy kodin még mindig csak reszelgetnek - ráadásul most terveztem downgradelni az előző verzióra
 
Válasz írásához előbb jelentkezz be!