Cuidado: legendas de filmes podem ser vetor de malware

Quanto inquietante pode ser a ideia de que enquanto você assiste um filme no computador, no Raspberry Pi ou em um dispositivo preferido, alguém também possa ter acesso indevido a sua informação ou até mesmo te espionar?

Na última edição da Ekoparty 2017, evento realizado na Argentina, os pesquisadores Omri Herscovici e Omer Gull apresentaram uma palestra chamada “Pwned in Translation – from Subtitles to RCE”, na qual demonstram que, se você não estiver protegido da forma devida, isso realmente poderá acontecer… e de uma forma inimaginável.

Um curioso vetor de ataque

Se você acredita que as legendas são apenas linhas de texto simples incorporadas em filmes, será melhor que continue lendo este post, pois descreveremos como as mesmas podem ser usadas para tomar o controle de um sistema ou dispositivo, de acordo com a apresentação dos especialistas.

O grande impacto desta notícia está relacionado com o fato de que milhões de pessoas baixem e executem legendas sem pensar duas vezes, de forma cotidiana na Internet. Duvido que alguém se pergunte pela origem dessas legendas, pela forma como são processadas ou se são analisadas em busca de códigos maliciosos…

Bem, no início da palestra foram apresentadas as diversas extensões e formatos de legendas que são utilizadas na atualidade. Estes são alguns exemplos: “.SRT”, “.PJS”, “.USF” ,”.SUB”, “.PSB”, “.IDX”, “.ASS”, “.SMI” ,”.CVD”, “.AQT”, “.STL”, “.DKS”, “.JSS”, “.SSF” e “.TTXT”.

Dentro dos mais de 25 formatos de legendas, a maioria suporta características tais como etiquetas HTML, imagens em formato raw e até mesmo binários em linguagens free-form, o que naturalmente o fará pensar.

Somado a isso, comumente não existe uma metodologia padrão utilizada para a análise de legendas, o que torna a implementação desta tarefa um pouco mais independente e de acordo com cada um dos diversos players. E é claro que existem diversas vulnerabilidades que podem ser exploradas nestes casos.

O ataque

Através de diferentes métodos, que incluem técnicas de JavaScript, exploração de vulnerabilidades e corrupção de arquivos manipulados, os pesquisadores conseguiram executar códigos maliciosos (além das legendas) e tomar o controle do equipamento alvo.

A técnica de execução remota de código, apresentada ao vivo, não apenas funciona em players como o famoso VLC, mas também por meio de serviços de streaming como o Popcorn Time, com os quais é possível ver filmes online, e inclusive no famoso Kodi (XBMC), que é utilizado em players multimídia.

O ataque se baseia no fato de que determinados players baixem legendas de forma automática por meio de depósitos compartilhados de forma online (como OpenSubtitles), onde são indexados e rankeados. Ao manipular estas bases de dados do site, baseadas em algoritmos, podem garantir que as legendas maliciosas criadas sejam as únicas baixadas pelo player. Desta forma, conseguem tomar o controle total da cadeia de fornecimento de legendas.

Como se isso não bastasse, também apresentaram como é possível corromper a origem da fonte das legendas.

O prejuízo que um atacante pode provocar vai desde o roubo da informação confidencial até a instalação de ransomware, passando pelos ataques massivos de Negação de Serviço. Os detalhes técnicos das vulnerabilidades exploradas em cada player estão em uma pesquisa publicada (em inglês) pelos palestrantes.

Qual é o impacto deste ataque?

Se você gosta dos filmes de terror ou suspense e da sensação que geram, pense na quantidade de usuários que utilizam estes meios para ver os filmes. Este fato é assustador.

Para revelar o suspense, este número chega a mais de 220 milhões de usuários, segundo um cálculo realizado pelos pesquisadores. Portanto, sem dúvidas, o uso de legendas manipuladas é uma forma muito viável de lançar campanhas maliciosas de forma massiva.

Como os pesquisadores anteciparam, parece que não existe limite para o que se pode conseguir usando estes arquivos de texto que parecem não ser grande coisa.

Apesar de não querer te assustar, é fundamental manter os seus aplicativos e soluções de segurança atualizadas e que utilize apenas páginas de confiança para procurar conteúdo. Desta forma, você poderá evitar uma infecção com diferentes tipos de ameaças, como por exemplo um ransomware que pode criptografar a sua informação.

Agindo com precaução e contando com as ferramentas adequadas, será possível evitar que a sua experiência com filmes ou séries online termine sendo um filme de terror.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: ESET

Baixar legendas de séries pode ser um risco para a sua segurança

Você costuma ver séries baixadas da internet? Se a resposta for sim e você também baixar legendas para ver esses vídeos, seu computador pode estar em risco para ataques de hackers mal intencionados.

De acordo com a empresa de segurança digital Check Point, o reprodutor de vídeos VLC, bem como o Popcorn Time, o Kodi e o strem.io têm uma falha de segurança que permite que seu computador seja controlado remotamente. Isso pode culminar a instalação de malware ou mesmo um ransonware, que sequestra os dados do seu PC e pede pagamento em dinheiro para liberá-lo.

Essa técnica também pode servir para transformar o seu computador em um dos “soldados virtuais” usados por grupos de hackers que promovem ataques de negação de serviço (múltiplos acessos simultâneos que tiram sites do ar e podem causar prejuízos milionários a empresas).

A Check Point indica que a falha afeta cerca de 200 milhões de computadores de usuários que veem séries baixadas ou transmitidas da internet. Netflix não aparece na lista de serviços problemáticos indicados pela empresa de segurança (ufa).

Para entrar na lista de legendas mais indicadas para o download e promover o ataque, os hackers mal intencionados publicam uma versão falsa da legenda em repositórios online e manipulam o ranking para que elas apareçam no topo.

O programa VLC já teve mais de 170 milhões de downloads, enquanto o Kodi tem mais de 40 milhões de usuários por mês. A Check Point estima que o Popcorn Time também esteja na casa dos milhões de usuários.

O problema que dá margem a esse tipo de ataque hacker é que não há uma padronização no formato de legendas usado na internet. Programas que baixam legendas diretamente de sites podem ajudar a evitar o download de arquivos maliciosos.

VLC, PopcornTime, Kodi e strem.io já tem correções para essa vulnerabilidade de segurança em seus respectivos sites. O Kodi ainda está em fase de implementação dessa correção.

Veja como é a invasão de um hacker ao computador de uma vítima por meio do download e execução de legendas no vídeo abaixo, divulgado pela Checkpoint.

Fonte: Exame