VLC, Popcorn Time e Kodi: porte di accesso per Hacker tramite l’utilizzo dei sottotitoli

VLC, Popcorn Time e Kodi: porte di accesso per Hacker tramite l’utilizzo dei sottotitoli

Alla base di questo bug ci sarebbe l’assenza di qualunque tipo di controllo preliminare durante la procedura di importazione nel video dei sottotitoli contenuti nel file, una mancanza che gli sviluppatori di questi lettori multimediali prima d’ora non avevano mai preso in considerazione

di pubblicata il , alle 15:21 nel canale Programmi
KodiVLCWindows
 

Check Point, nota azienda del settore della sicurezza informatica, comunica che è stato scoperto un nuovo canale che consente agli hacker di prendere facilmente controllo dei vostri PC, Smart TV ed anche dei dispositivi mobili: stiamo parlando dei comuni file contenenti sottotitoli.

Principali software che potrebbero essere utilizzati per questa tipologia di attacco sembrerebbero essere VLC, Kodi e Popcorn Time; Importando in un video, aperto con uno di questi programmi, un file contenente sottotitoli opportunamente modificati, potrebbe consegnare il vostro dispositivo nelle mani di malintenzionati.

Nel video qui sotto, si può vedere come l'attacco viene effettuato su un computer dotato di Windows 10:

Fortunatamente gli sviluppatori di Popcorn Time, Kodi, VLC ed anche Stremio hanno tutti prontamente aggiornato i propri software; se utilizzate spesso questi programmi, soprattutto in abbinamento a sottotitoli, vi consigliamo di installarne l’ultima versione disponibile. Alla base di questo bug ci sarebbe l’assenza di qualunque tipo di controllo preliminare durante la procedura di importazione nel video dei sottotitoli contenuti nel file, una mancanza che gli sviluppatori di questi lettori multimediali prima d’ora non avevano mai preso in considerazione.

I file contenenti sottotitoli rappresentano un ottimo mezzo di diffusione, vista l’ampia diffusione e la continua creazione di nuovi file; inoltre posseggono caratteristiche particolarmente adatte a facilitare il lavoro agli Hacker: sono disponibili in molti formati, hanno dimensioni ridotte ed un contenuto di solo testo.

“Il danno potenziale che può essere inflitto è molto vasto, da rubare informazioni sensibili, all'installazione di ransomware, e molto altro ancora”, spiega Check Point.

Ci sono oltre 200 milioni di utenti che sono sensibili a questo tipo di attacchi, 170 milioni sono utenti VLC ed altri 40 milioni utenti di Kodi. Comunque in questo caso il fenomeno è stato largamente anticipato prima di sfociare in una diffusione più fitta, ribadiamo comunque il compito che spetta all’utente finale di provvedere all’aggiornamento dei software interessati ed installati sui propri dispositivi.

18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
s0nnyd3marco25 Maggio 2017, 15:39 #1
Originariamente inviato da: Redazione di Hardware Upgrade
Link alla notizia: http://www.hwupgrade.it/news/progra...toli_68879.html

Alla base di questo bug ci sarebbe l’assenza di qualunque tipo di controllo preliminare durante la procedura di importazione nel video dei sottotitoli contenuti nel file, una mancanza che gli sviluppatori di questi lettori multimediali prima d’ora non avevano mai preso in considerazione


Click sul link per visualizzare la notizia.



Facepalm...
Perseverance25 Maggio 2017, 18:03 #2
O non era sicuro il software opensource? (rivolto a chi ne capisce zero e crede di essere programmatore)

A riprova del fatto che sia open o closed, se è fatto male....è fatto male! E la cosa più inquietante è la sensazione di falsa sicurezza che dà il software open.

Quanti di noi, anche programmatori (mi ci metto pure io) che hanno usato questi programmi si sono mai letti una riga di codice sorgente? Eppure è una cosa stupida, un controllo di coerenza, un si-va-bene\no-scartare; e in tutti questi anni nessuno, sviluppatori compresi, l'hanno implementato. Eppure il sorgente è lì, aperto a tutti.

Spero che gli utenti prima o poi capiscano che la sicurezza non è avere un software open o closed, ma è l'abilità con cui viene scritto il software: il programmatore non deve solo scrivere un software che funziona, ma deve scriverlo in modo che funzioni solo in quel modo, altrimenti altri lo faranno funzionare per lui a proprio piacere. Poi se è open, tanto meglio.
massimilianonball25 Maggio 2017, 19:16 #3
La forza del software open non sta nel fatto che sia migliore, come fai notare giustamente se un software è scritto male, è scritto male a fine.
Il vantaggio del mondo open è che ha un numero potenzialmente infinito di persone che possono risolvere il problema ..e non è un vantaggio da poco..
Nessuna multinazionale può contattare su un numero tanto elevato di programmatori ..senza contare le politiche aziendali, la burocrazia e/o tutti quei fattori che rendono il lavoro della multinazionale certamente meno "reattivo".

Tutto questo secondo me ovviamente..
acerbo25 Maggio 2017, 19:28 #4
Originariamente inviato da: Perseverance
O non era sicuro il software opensource? (rivolto a chi ne capisce zero e crede di essere programmatore)

A riprova del fatto che sia open o closed, se è fatto male....è fatto male! E la cosa più inquietante è la sensazione di falsa sicurezza che dà il software open.

Quanti di noi, anche programmatori (mi ci metto pure io) che hanno usato questi programmi si sono mai letti una riga di codice sorgente? Eppure è una cosa stupida, un controllo di coerenza, un si-va-bene\no-scartare; e in tutti questi anni nessuno, sviluppatori compresi, l'hanno implementato. Eppure il sorgente è lì, aperto a tutti.

Spero che gli utenti prima o poi capiscano che la sicurezza non è avere un software open o closed, ma è l'abilità con cui viene scritto il software: il programmatore non deve solo scrivere un software che funziona, ma deve scriverlo in modo che funzioni solo in quel modo, altrimenti altri lo faranno funzionare per lui a proprio piacere. Poi se è open, tanto meglio.


e che c'entrano i programmi? La sicurezza deve assicurarla l'os su cui girano e fino a prova contraria qua come al solito si parla di windows
Varg8725 Maggio 2017, 19:42 #5
Originariamente inviato da: acerbo
e che c'entrano i programmi? La sicurezza deve assicurarla l'os su cui girano e fino a prova contraria qua come al solito si parla di windows


Eh già, perchè le smart tv ed i vari mediaplayer montano solitamente Windows.

"According to a blog post published by Check Point security, a subtitle file could be modified to create a new attack vector and compromise the devices such as PCs, mobile devices, TVs, etc running vulnerable media players. Once compromised, the attacker can perform remote code execution, steal data, use the device as a pawn in a DDoS attack, and more."



Piuttosto, come mai solo questi programmi sono vulnerabili? Stremio per funzionare deve girare come amministratore. Fate voi...
MPC-HC è sicuro?
LucaLindholm25 Maggio 2017, 19:45 #6

Ahah

Neanche a farlo apposta, VLC e Kodi (ex XBMC) sono entrambe disponibili nel Win Store, la prima come app UWP, la seconda come porting del relativo software Desktop, quindi anch'essa ben sandboxata, in modo da non poter far danni.

acerbo25 Maggio 2017, 20:24 #7
Originariamente inviato da: Varg87
Eh già, perchè le smart tv ed i vari mediaplayer montano solitamente Windows.

"According to a blog post published by Check Point security, a subtitle file could be modified to create a new attack vector and compromise the devices such as PCs, mobile devices, TVs, etc running vulnerable media players. Once compromised, the attacker can perform remote code execution, steal data, use the device as a pawn in a DDoS attack, and more."



Piuttosto, come mai solo questi programmi sono vulnerabili? Stremio per funzionare deve girare come amministratore. Fate voi...
MPC-HC è sicuro?


quindi quale sarebbe il problema, rischi un DDoS? a casa tua?
Se esponi un qualunque dispositivo su internet, ivi compresa la tua smart TV rischierai sempre e comunque se non ti doti quanto meno di un firewall, io ricevo in media dai 10 ai 15 tentativi di accesso da ip sconosciuti sul nas.
io kodi lo uso solo per vederci i file che ho in locale, non attivo nessun servizio http e non abilito servizi accessibili da internet, cosa che tra l'altro é disabilitata di default
Varg8725 Maggio 2017, 21:15 #8
Originariamente inviato da: acerbo
quindi quale sarebbe il problema, rischi un DDoS? a casa tua?
Se esponi un qualunque dispositivo su internet, ivi compresa la tua smart TV rischierai sempre e comunque se non ti doti quanto meno di un firewall, io ricevo in media dai 10 ai 15 tentativi di accesso da ip sconosciuti sul nas.
io kodi lo uso solo per vederci i file che ho in locale, non attivo nessun servizio http e non abilito servizi accessibili da internet, cosa che tra l'altro é disabilitata di default


Bravo, che ti devo dire. Senza offesa ma di come lo usi te Kodi non è che mi interessi molto.
Kodi è utilizzato anche per fruire di contenuti online, io lo uso specialmente per quello. Per quanto riguarda Popcorn Time e Stremio invece non penso serva commentare.
Girala come vuoi ma resta il fatto che è indipendente dall'OS utilizzato e considerato che specialmente i firmware delle smart tv non ricevono praticamente mai aggiornamenti non mi pare ci sia da riderci tanto sopra.
acerbo25 Maggio 2017, 21:18 #9
Originariamente inviato da: Varg87
Bravo, che ti devo dire. Senza offesa ma di come lo usi te Kodi non è che mi interessi molto.
Kodi è utilizzato anche per fruire di contenuti online, io lo uso specialmente per quello. Per quanto riguarda Popcorn Time e Stremio invece non penso serva commentare.
Girala come vuoi ma resta il fatto che è indipendente dall'OS utilizzato e considerato che specialmente i firmware delle smart tv non ricevono praticamente mai aggiornamenti non mi pare ci sia da riderci tanto sopra.


gli hacker si approprieranno della tua smart tivvi e ti costringeranno a vedere il costanzo show e amici
kodi comunque a meno di non disabilitare l'opzione si aggiorna da solo, sulla shield TV ieri sono passato alla 17.3, di sta falla sulla sicurezza ne sentiremo parlare ben poco all'atto pratico
Therinai26 Maggio 2017, 02:35 #10
Non sono certo un esperto di sicurezza (non ne so nulla in realtà, ma ho semplicemente letto le note di checkpoint:

How can this attack vector spread?

Delving even further into the subtitle supply chain produced some interesting results. There are a number of shared online repositories, such as OpenSubtitles.org, that index and rank movie subtitles. Some media players download subtitles automatically; these repositories hold extensive potential for attackers. Our researchers were also able to show that by manipulating the website’s ranking algorithm, we could guarantee crafted malicious subtitles would be those automatically downloaded by the media player, allowing a hacker to take complete control over the entire subtitle supply chain, without resorting to a Man in the Middle attack or requiring user interaction. This vulnerability also affects users who use these rankings to decide which subtitles to download manually.

Insomma, in riferimento ai precedenti commenti:
- che cavolo c'entra il paragone tra software open or not???
- che c'entra la sicurezza dell'SO?
- c'entra in parte chi sviluppa i players, perché nessuno si è mai posto il problema di verificare la sicurezza dei file caricati dai server, ma dal momento che si parla di sottotitoli per contenuti video spannometricamente ci sta che nessuno si aspettava questo genere di hack
- alla fine della fiera la sorgente di tutto sono le repository, sulla quale puoi caricare quello che ti pare e manipolarne (a quanto pare facilmente) i ranking.

Tempo di analisi del caso: 10 minuti.
Conoscenze in tema sicurezza: prossime allo zero.

Dai raga, meno pippe fantapolitiche sulla programmazione e più logica. Pure al bar sport si sentono commenti di maggior spessore su questi temi.

ps: e i numeri sparati (centinaia di milioni di possibili utenti vulnerabili) sono ovviamente da interpretare. E' vulnerabile chi scarica dei sottotitoli contenenti codice malevolo da una repository. Non è che se fai partire un dvd con i suoi sototitoli in inglese da VLC sei fottuto -_-

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^