看個視頻也被黑？載入字幕文件觸發播放器漏洞實現系統入侵

Checkpoint研究人員最近

發現了

一種新型攻擊手段–字幕攻擊，當受害者載入了攻擊者製作的惡意字幕文件後將會觸發播放器漏洞，從而實現對受害者系統「悄無聲息」地完全控制。據測試發現，該攻擊方法可以在多個知名視頻播放器存在漏洞的版本軟體上成功實現，目前，由於這些涉漏洞視頻軟體的全球下載量超過2億次，並被用戶在各種播放設備平台中使用，所以這種攻擊方法將可能成為近年來影響廣泛、傳播深遠的入侵手段之一。

先來看攻擊實現的PoC視頻：

攻擊簡介

當你想在電腦上觀看影片時，很自然地打開視頻播放器，載入字幕，當然遇到一些「生肉」影片時，我們還可能在網上千方百計尋找字幕，好吧來個葛優躺，….兩小時過去了，殊不知，當你在完全放鬆欣賞大片的時候，黑客早已經悄悄入侵了你的電腦，把該乾的事都幹了。這種字幕攻擊手段可能是最最容易被用戶忽視和防範的黑客攻擊技術，因為對於普通用戶和播放器來說，都會把字幕文件認為是可信文件。

對於攻擊者來說，他們可能會製作一些專門的惡意字幕庫，然後通過各種手段向受害者推送這些惡意字幕文件，誘導受害者載入使用。而對用戶來說，這種毫無防範意識的攻擊將會是最危險的攻擊。

當前，這種攻擊在根源和意識方面，殺毒軟體等各類安全廠商都還不具備檢測識別能力，從某種程度上來說，這更增加了用戶風險。

受影響用戶

範圍：據統計，因為目前每一種播放器的涉漏洞版本都存在數百萬計的用戶下載量，所以該攻擊方法影響用戶可能達數億人之多。僅VLC在去年6月推出的最新版本下載量就達1億7000萬；Kodi (XBMC)每天使用人次達1000萬，月用戶達4000萬；暫無統計信息的Popcorn Time使用量估計也是數百萬。

影響：攻擊者利用這種攻擊，可以輕鬆控制電視、平板、手機….等使用視頻播放器的各類系統設備。當然這種攻擊將可能造成一些嚴重的潛在影響，如信息竊取、勒索攻擊、DDoS等等。

受影響的視頻播放器軟體

截止目前，我們僅對當前流行的四種視頻播放器VLC、Kodi、Popcorn Time、Stremio進行了漏洞識別和攻擊方式成功測試，這種問題在其它視頻播放器中同樣存在。我們已把相關漏洞和問題向廠商方面進行了及時的溝通和上報，目前，有些漏洞和問題已被修復處理，有些則處於測試核查階段。為了給廠商方面更多的時間來解決這些漏洞，我們在此暫且不公布一些具體的測試方法和技術信息。

已經發布更新的視頻軟體

Popcorn Time：推出了一個修復版本軟體，可以從

手動下載安裝；

Kodi：可以通過其官方網站

修復版本；

VLC：可以通過其官方網站

修復版本；

Stremio：可以通過其官方網站

修復版本。

入侵檢測IPS簽名定義

Popcorn Time Subtitles Remote Code Execution

Kodi Open Subtitles Addon Remote Code Execution

VLC ParseJSS Null Skip Subtitle Remote Code Execution

Stremio Subtitles Remote Code Execution

攻擊的傳播實現方式

深入探究字幕服務鏈後將會發現其中一些有意思的結果，惡意字幕文件被攻擊者製作出來後，可能會被上傳到如OpenSubtitles.org等在線庫中進行共享。之後，攻擊者通過操作這些共享網站的庫文件排名演算法，可以把預先製作的惡意字幕文件列為視頻播放器的優先選擇，並被播放器自動載入使用。黑客無需藉助中間人攻擊（MITM）或其它交互手段，只需對惡意字幕文件的整個服務和推送鏈進行控制，就可實現對目標系統的隱蔽入侵控制。當然了，這種攻擊可能還會對那些依賴排名進行字幕文件下載選擇的用戶造成威脅影響。該攻擊的大致流程如下：

*參考來源：checkpoint，freebuf小編clouds編譯，轉載請註明來自FreeBuf.COM。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！