惡意電影字幕來襲！3秒可控制你電腦

對於電影愛好者來說，下載電影字幕是在平常不過的事了，然而現在有研究人員發現，網上已經出現大量惡意電影字幕可以通過媒體播放器進行載入，進而控制受害者的電腦，而攻擊過程僅僅只要3秒鐘。

惡意電影字幕攻擊演示視頻

安全研究人員指出，攻擊者會利用一些主流媒體播放器上漏洞，藉助惡意字幕文件對使用者的電腦展開攻擊。截止目前，已發現市面上4款主流媒體播放器，包括VLC、Kodi、Popcorn-Time和strem.io等媒體播放器或流媒體平台存在相關漏洞，估計全球約2億用戶將受到影響。

由於現在流行的字幕格式有25種以上，這就讓上述媒體播放器需要解析不同的字幕格式來保證使用者的流暢體驗，自然令其無法顧及所有字幕格式的安全性。

惡意電影字幕攻擊流程圖

從惡意電影字幕攻擊流程圖中可以發現，攻擊者製作出惡意電影字幕文件，然後上傳到主流的字幕庫里，通過調高其排名，讓更多的用戶從媒體播放器載入惡意字幕，進而被感染。

在上面視頻中，研究人員展示了Popcorn-Time和Kodi兩款媒體播放器遭受攻擊的情形。當使用者通過這兩款播放器播放電影，並載入惡意的字幕文件時，攻擊者就能遠程控制使用者的設備，而這些設備不僅可以是PC電腦，還可以是網路電視或移動終端（手機、平板），而後還能竊取使用者的敏感數據，甚至安裝勒索軟體。

然而這或許只是冰山一角，更多的媒體播放器可能存在上述漏洞威脅。據統計，目前VLC最新版已有超過1.7億的下載量，Kodi每月也有4000萬不同的用戶使用，因此影響頗為廣泛。所幸現在VLC與Stremio已經緊急推出最新版軟體，而PopcornTime和Kodi兩款雖已修補漏洞，但還沒釋出最新版，使用者只能多加小心了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！