Un bug su Chrome per scaricare film da Netflix e Amazon Prime

Un bug su Chrome per scaricare film da Netflix e Amazon Prime

Due ricercatori di sicurezza hanno scoperto una grave e semplice vulnerabilità su Chrome con cui è possibile salvare video e film dai vari servizi di streaming

di pubblicata il , alle 15:01 nel canale Web
Google
 

Soprattutto nell'ultima decade le battaglie legali di Hollywood contro la pirateria online si è concentrata sui siti di streaming illeciti e i leak di screener. Tuttavia spesso è colpa di bug software se è possibile aggirare le varie protezioni a tutela del copyright, come nell'ultimo caso che vede coinvolto il celeberrimo Chrome. Una falla presente sul browser di Google consente di salvare copie illegali di film e contenuti video dai siti in streaming come Netflix o Amazon Prime.

Riportata originariamente da Wired, la vulnerabilità sfrutta la tecnologia Widevine EME/CDM utilizzata dal browser per eseguire lo stream di video protetti da crittografia via server remoti. A scoprirla sono stati i ricercatori David Livshifts e Alexandra Mikityuk, che hanno utilizzato una procedura per sbloccare il flusso video dal sistema di protezione crittografica di Chrome dopo che il video è stato distribuito dai fornitori, come i succitati Netflix e Amazon Prime.

A conferma della scoperta i due ricercatori hanno creato un proof-of-concept (video che riportiamo nella pagina), l'unica prova attualmente in circolazione dell'efficacia dell'exploit in cui si scopre la facilità con cui è possibile scaricare illegalmente il video scelto una volta che la tecnologia CDM lo ha de-crittografato. Livshits e Mikityuk hanno notificato la scoperta a Google lo scorso 24 maggio e dopo oltre un mese la società non è ancora corsa ai ripari con una patch di sicurezza apposita.

Il bug, stando ai due esperti, è relativamente semplice e aspetteranno pertanto circa 90 giorni per renderne disponibili i dettagli al pubblico, lo stesso periodo di tempo che Project Zero di Google dà ai vari esponenti di terze parti per correggere le vulnerabilità scoperte. Google sta perdendo tempo, secondo Wired, per via del fatto che Chromium, il codice open-source su cui si basa Chrome, continuerebbe a consentire ad eventuali hacker di sfruttare la specifica falla.

Anche se Google rilasciasse una patch, altri sviluppatori potrebbero comunque creare un nuovo browser usando Chromium per aggirare il fix ufficiale. Widevine è inoltre attualmente utilizzato in 2 miliardi di dispositivi in tutto il mondo ed è la stessa tecnologia per la gestione dei diritti digitali usata da browser come Firefox e Opera. Corretto il tutto su Chrome, sostiene la stessa Google, nulla toglierebbe agli hacker di scoprire come sfruttare la stessa vulnerabilità anche sugli altri browser.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Nui_Mg27 Giugno 2016, 23:52 #1
"While downloading the file isn't enough to infect a computer, those who are not aware at how these scammers work might just execute the file, which will then activate the malware inside it."
deepol28 Giugno 2016, 00:51 #2
Che strana coincidenza che Chrome è stato uno dei browser più usati come descritto in un precedente post.

Mi ricorda il comportamento del gamer nel gioco on-line, quando incontra un bug che lo favorisce lo sfrutta fino a che non viene scoperto magari giustificandosi che non se n’era accorto; invece quando il bug lo sfavorisce grida allo scandalo insultando gli amministratori.

Pensandoci, non credo che questi individui che prelevano in modo illegale il contenuto dei siti interessati lo facciano per puro divertimento, ma è possibile che il tutto sia orchestrato da altri soggetti più in alto.

Basti pensare che se non ci fossero quelli che creano i virus, le società che creano gli antivirus si girerebbero i pollici tutto il giorno.

Allora lavoriamo un po’ di fantasia: per colpa di questo bug che stranamente ancora non hanno risolto, le società coinvolte stanno sicuramente avendo una perdita e quindi in futuro nell’offrire ancora i loro servizi dovranno applicare un aumento degli stessi, quale strana coincidenza se Google offrisse un nuovo servizio di streaming (chiamandolo “youstream”) a pagamento di servizi come quelli delle società danneggiate? Coincidenze? Normalmente quest’ultima parte è tutta fantasia…
biometallo28 Giugno 2016, 01:37 #3
Originariamente inviato da: deepol
Coincidenze?

Link ad immagine (click per visualizzarla)
Adam sei tu? Quand'è che torni in tv che facevi molto più ridere di Zelig?

Ma scusa, secondo te per fregare i contenuti da netflix&co serviva questo bug?
Non che io sia un esperto, però mi pare che facendo solo una ricerca veloce con "netflix rip" saltino fuori mille e milla metodi diversi, e tralasciamo il fatto che poi magari i piratoni brutti&cativi ne usano altri che si tengono per se, senza metterli in bella mostra in rete.

Detto questo google offre da un pezzo la possibilità di comprare film in streming, credo che da noi sia arrivato ben prima di netflix, si chiama Google play,
rockroll28 Giugno 2016, 05:17 #4

Inutile correggere

Google ha ragione, inutile correggere.

Il concetto stesso di Open Source esclude la possibilità di mantenere un DRM al suo interno senza che venga neutralizzato all'istante.

A parte ciò, basta conservare la versione di Chrome che più ci conviene.
A meno che Google, stile M$, non abbia previsto all'origine la possibilità di aggiornamentto forzato (e magari silente) che l'utente non può evitare. Una specie di back-door, che però, per quanto detto sopra, verrebbe fatta fuori all'istante.

Sono gli innegabili vantaggi di un codice aperto, se qualcuno avesse ancora dei dubbi.
biometallo28 Giugno 2016, 12:50 #5
Originariamente inviato da: rockroll
Google ha ragione, inutile correggere.

Il concetto stesso di Open Source esclude la possibilità di mantenere un DRM al suo interno senza che venga neutralizzato all'istante.

Da ignorante non credo sia proprio così, non tutto il codice di Chrome è open, anzi ad essere pignoli quello open non è Chrome ma Chronium che è un browser diverso, e Chrome mi risulta abbia diverse API closed tra cui credo proprio anche la gestione dei contenuti DRM.


A meno che Google, stile M$, non abbia previsto all'origine la possibilità di aggiornamentto forzato (e magari silente)

In effetti Chrome su windows si aggiorna in modo del tutto automatico e trasparente per l'utente mentre navighi scarica la nuova versione che poi ti ritrovi ad usare al primo riavvio del browser.

Certo volendo si possono bloccare gli aggiornamenti, andando a modificare a mano il registro, cosa che se uno è capace di sfruttare questo bug sicuramente saprà fare, per quanto probabilmente farebbe sempre prima a cercarsi un'altra soluzione su Google.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^