In mei werd bekend dat gebruikers van verschillende populaire mediaspelers zoals VLC, Kodi en PopcornTime via kwaadaardige ondertitels konden worden gehackt. Nu de kwetsbaarheden zijn gepatcht heeft securitybedrijf Check Point meer details over de beveiligingslekken vrijgegeven.

Mediaspelers bieden gebruikers de mogelijkheid om ondertitelbestanden te laden. Er zijn meer dan 25 verschillende ondertitelformaten in gebruik, elk met unieke eigenschappen en mogelijkheden. In het geval van VLC Media Player keken de onderzoekers naar JACO Sub Scripts, een zeer flexibel ondertitelformaat. Via dit ondertitelformaat was het mogelijk om de mediaspeler te laten crashen en uiteindelijk willekeurige code uit te voeren.

De kwaadaardige ondertitels moeten echter nog bij de gebruiker komen. Hiervoor keken de onderzoekers naar de website OpenSubtitles, waar gebruikers ondertitels kunnen downloaden. De website verwerkt dagelijks 5 miljoen downloads. OpenSubtitles blijkt ondertitels op verschillende zaken te beoordelen. Het gebruikte scoresysteem is eenvoudig te manipuleren, waardoor de onderzoekers hun ondertitel de hoogste score konden geven. Een aanvaller zou hiervan misbruik kunnen maken om zijn kwaadaardige ondertitels op de eerste plek te krijgen.

"De voornaamste les is dat aanvallers van genegeerde gebieden, hoe onschuldig ze ook lijken, misbruik kunnen maken om toegang tot een systeem te krijgen", aldus de onderzoekers. Alle problemen die ze met betrekking tot ondertitelbestanden vonden zijn inmiddels gepatcht in de meest recente versies.