image

Gebruikers PopcornTime, VLC en Kodi via ondertitels te hacken

dinsdag 23 mei 2017, 15:47 door Redactie, 14 reacties

Gebruikers van populaire mediaspelers zoals Kodi, PopcornTime en VLC kunnen door kwaadaardige ondertitels worden gehackt, zo waarschuwt beveiligingsbedrijf Check Point. Volgens het bedrijf zijn er zo'n 200 miljoen videospelers en streamers die de kwetsbare software draaien.

Ondertitelbestanden worden vaak als onschuldige tekstbestanden gezien, maar dat is volgens de onderzoekers onterecht. Er zijn meer dan 25 verschillende ondertitelformaten in gebruik, elk met unieke eigenschappen en mogelijkheden. "Mediaspelers moeten vaak meerdere ondertitelformaten kunnen verwerken, waarbij elke mediaspeler een andere manier gebruikt. Net als met andere gevallen van gefragmenteerde software zorgt dit voor tal van verschillende kwetsbaarheden", aldus de onderzoekers. Via een kwaadaardige ondertitel is het mogelijk om het platform waarop de mediaspeler of streamer draait volledig over te nemen, zo waarschuwen ze.

Voor hun onderzoek keken ze naar VLC, Kodi, Popcorn Time en Stremio, maar waarschijnlijk zijn ook andere mediaspelers kwetsbaar. Bij alle vier de geteste spelers is het mogelijk om via een kwaadaardige ondertitel willekeurige code op het systeem uit te voeren. Ondertitels zijn via verschillende websites te downloaden, waarbij gebruikers ook zelf ondertitels kunnen uploaden en beoordelen. Sommige spelers kunnen de ondertitels ook automatisch downloaden. Een aanvaller zou het rankingsysteem van de website kunnen manipuleren om zo zijn eigen kwaadaardige ondertitel bovenaan te krijgen.

Check Point waarschuwde de ontwikkelaars van de verschillende mediaspelers. Sommige problemen waren al verholpen, terwijl andere nog worden onderzocht. Om de ontwikkelaars meer tijd te geven om de kwetsbaarheden te verhelpen is besloten om op dit moment geen verdere technische informatie vrij te geven. Wel wijst het beveiligingsbedrijf naar nieuwe versies van de onderzochte mediaspelers waarin updates zijn doorgevoerd. In onderstaande video wordt de aanval gedemonstreerd.

Image

Reacties (14)
23-05-2017, 17:19 door Anoniem
We hebben het alleen over de mediaspelers maar belangrijker.....over welk OS platform hebben wij het hier??
Ik vermoed windows...
23-05-2017, 19:27 door [Account Verwijderd]
Door Anoniem: We hebben het alleen over de mediaspelers maar belangrijker.....over welk OS platform hebben wij het hier??
Ik vermoed windows...

...en ik vermoed dat het morgen bakstenen regent, want ik heb jeuk in mijn rechteroor ;-)
23-05-2017, 20:26 door Anoniem
Door Anoniem: We hebben het alleen over de mediaspelers maar belangrijker.....over welk OS platform hebben wij het hier??
Ik vermoed windows...

OS maakt niet uit zo te lezen in het bron artikel:
"By conducting attacks through subtitles, hackers can take complete control over any device running them. From this point on, the attacker can do whatever he wants with the victim’s machine, whether it is a PC, a smart TV, or a mobile device."
23-05-2017, 20:52 door Anoniem
Win 10 vs. Kali
23-05-2017, 22:02 door Anoniem
Door Anoniem: We hebben het alleen over de mediaspelers maar belangrijker.....over welk OS platform hebben wij het hier??
Ik vermoed windows...

Ik ken Stremio niet, maar die andere drie zijn allemaal Open Source projecten. Dan moet het wel fake news zijn.
24-05-2017, 04:12 door Anoniem
Door Anoniem: We hebben het alleen over de mediaspelers maar belangrijker.....over welk OS platform hebben wij het hier??
Ik vermoed windows...

Hier gaan we weer...
24-05-2017, 08:43 door spatieman
Door Anoniem: We hebben het alleen over de mediaspelers maar belangrijker.....over welk OS platform hebben wij het hier??
Ik vermoed windows...
kuch, VLC is echtt niet alleen windows hoor.
denk hier ook "hardware" afspelers, zoals media8or ,
24-05-2017, 08:47 door Anoniem
Ik vind toch wel pruts programmeer werk hoor. Waar komen tegenwoordig die programmeurs vandaan. Lijkt wel of het stikt van de hobbyisten.
24-05-2017, 09:13 door Whacko
Door Anoniem: Ik vind toch wel pruts programmeer werk hoor. Waar komen tegenwoordig die programmeurs vandaan. Lijkt wel of het stikt van de hobbyisten.
Wat een onzin comment. "pruts programmeer werk", "Hobbyisten". Ja de meeste mensen doen het voor de hobby, maar ga er maar van uit dat zij ook een 15urige kantoorbaan hebben waar ze programmeren. Ik ben zelf programmeur, maar deze open-source projecten zijn van een zeer hoog niveau. Dat kan de hobbyist van 12 niet hoor. En een buffer overflow bug sluipt er zo in hoor.
24-05-2017, 09:21 door Anoniem
Door Anoniem: Ik vind toch wel pruts programmeer werk hoor. Waar komen tegenwoordig die programmeurs vandaan. Lijkt wel of het stikt van de hobbyisten.

Gelukkig zijn alle grote bedrijven (MS, Google, FB) in een keer opgezet door professionele programmeurs zonder programmeerfouten en absoluut niet door hobbyisten.

Ik weet niet in welke wereld jij leeft, maar hier op planeet aarde is het verschil tussen een hobbyist en een professioneel in vele gevallen alleen het salaris.
24-05-2017, 10:10 door Anoniem
Ik vind dat er vaak veel te gemakkelijk gesmeten wordt met "Attacker now has full control over victim's computer".
Als het mogelijk is om via een ondertitel bestand code uit te voeren dan draait die code in de context van de VLC
speler en dat zal normaal gesproken een gewone user zijn. Programma's runnen als een gewone user dat noem
ik geen full control over een computer.
24-05-2017, 11:10 door Whacko
Door Anoniem: Ik vind dat er vaak veel te gemakkelijk gesmeten wordt met "Attacker now has full control over victim's computer".
Als het mogelijk is om via een ondertitel bestand code uit te voeren dan draait die code in de context van de VLC
speler en dat zal normaal gesproken een gewone user zijn. Programma's runnen als een gewone user dat noem
ik geen full control over een computer.
Als je het filmpje bekijkt, wordt er een VNC payload geinjecteerd, en kan de attacker dus de desktop van de gebruiker overnemen. En heeft dus in feite volledige controle. Als de gebruiker admin rechten heeft kan de attacker dus ALLES. en als de attacker geen vnc payload injecteert, maar een shell ofzo, dan zie je niet eens iets gebeuren. dus JA, volledige controle laten ze gewoon zien in het filmpje
24-05-2017, 14:06 door Anoniem
Is MPV hievoor vatbaar?
24-05-2017, 23:19 door Anoniem
Door Anoniem: Ik vind toch wel pruts programmeer werk hoor. Waar komen tegenwoordig die programmeurs vandaan. Lijkt wel of het stikt van de hobbyisten.

Beter kunnen is zelf maken en uploaden.
Ik doe een voorspelling: "Je komt er dan achter dat programmeren van zulke software NIET bug-vrij kan"
Wat ik helaas niet weet te voorspellen is of je dan reageert met "Oh, inderdaad, goed punt!" of "Dat kan wel, want ik doe net of ik wel cross-platform software met tientallen tot honderden functies kan programmeren voor miljoenen gebruikers"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.