Update: Angriff auf Media Player Software möglich

VLC, Kodi & Co über Untertitel verwundbar

| Redakteur: Peter Schmitz

Check Points Forscherteam fand Schwachstellen in vier der beliebtesten Media Player: VLC, Kodi, Popcorn Time und Stremio, die durch manipulierte Untertiteldateien angreifbar sind.
Check Points Forscherteam fand Schwachstellen in vier der beliebtesten Media Player: VLC, Kodi, Popcorn Time und Stremio, die durch manipulierte Untertiteldateien angreifbar sind. (Bild: Pixabay / CC0)

Sicherheitsforscher haben einen neuen Angriff entdeckt, der hunderte Millionen von Nutzern beliebter Media Player, darunter VLC, Kodi, Popcorn Time und Stremio, gefährdet. Die Sicherheitsexperten von Check Point konnten zeigen, wie Hacker manipulierte Untertitel nutzen können, um Millionen von Geräten zu übernehmen, auf denen die beliebten Media Player laufen.

Check Point-Forscher entdeckten einen neuen Angriffsvektor, der Millionen Nutzer weltweit bedroht - der Angriff durch Untertitel. Durch Erstellen bösartiger Untertiteldateien, die dann vom Media-Player eines Opfers heruntergeladen werden, können Angreifer über Schwachstellen, die in vielen beliebten Media Playern wie VLC, Kodi (ehemals XBMC), Popcorn-Time und Stremio gefunden wurden, die vollständige Kontrolle über alle Gerätetypen erlangen. Den Schätzungen der Experten zufolge gibt es derzeit ca. 200 Millionen Videoplayer und Streamer, auf denen die gefährdete Software läuft, was sie zu einer der weitverbreitetsten und leicht zugänglichen Schwachstelle macht, die in den letzten Jahren gemeldet wurden.

Die Täter nutzen verschiedene Methoden, die auch als „Angriffsvektoren” bezeichnet werden, um Cyberangriffe zu starten. Diese Angriffsvektoren können normalerweise in zwei Hauptgruppen unterteilt werden: Entweder der Angreifer ‚überredet‘ den Nutzer, eine bösartige Webseite zu besuchen, oder er verleitet ihn dazu, eine bösartige Datei auf seinem Computer auszuführen. Die von Check Point durchgeführte Untersuchung deckt einen neuen möglichen Angriffsvektor auf, der eine völlig unbeachtete Technik nutzt, bei der der Cyberangriff erfolgt, wenn Filmuntertitel vom Media Player des Nutzers geladen werden. In der Praxis werden diese Untertitel-Verzeichnisse vom Nutzer oder dem Media Player als vertrauenswürdige Quelle behandelt; unsere Studie zeigt auch, dass diese Verzeichnisse manipuliert und dazu gebracht werden können, den bösartigen Untertiteln der Angreifer eine hohe Bewertung zu geben, was dazu führt, dass dem Nutzer diese speziellen Untertitel vorgeschlagen werden. Diese Methode erfordert wenig oder kein aktives Handeln seitens des Nutzers - was sie umso gefährlicher macht.

Anders als herkömmliche Angriffsvektoren, die Sicherheitsfirmen und Nutzer zur Genüge kennen, werden Filmuntertitel lediglich als gutartige Textdateien wahrgenommen. Dies bedeutet, dass Nutzer, Anti-Virus-Software und andere Sicherheitslösungen sie prüfen, ohne zu versuchen, ihren wahren Charakter zu bewerten, was Millionen Nutzer in Gefahr bringt.

Ursache und Wirkung

Der Angriffsvektor hängt stark vom schlechten Sicherheitsstandard ab, mit dem viele Media Player Untertiteldateien und die große Anzahl an Untertitelformaten verarbeiten. Zunächst gibt es über 25 gängige Untertitel-Formate, jedes mit einzigartigen Eigenschaften und Funktionen. Media Player müssen oft verschiedene Untertitelformate zusammenparsen, um alle abdecken und eine bessere Nutzererfahrung bieten zu können, wobei jeder Media Player eine andere Methode anwendet. Und genau wie andere, ähnliche Situationen im Zusammenhang mit fragmentierter Software führt dies zu zahlreichen ausgeprägten Schwachstellen.

Umfang: Die Gesamtzahl der betroffenen Nutzer beläuft sich auf Hunderte von Millionen. Jeder der bisher als gefährdet geltenden Media Player hat Millionen von Nutzer, und die Experten von Check Point glauben, dass auch andere Media Player für ähnliche Angriffe anfällig sein könnten. VLC verzeichnete alleine bei seiner neuesten Version, die am 5. Juni 2016 auf den Markt kam, über 170 Millionen Downloads. Kodi (XBMC) erreichte über 10 Millionen Unique Users pro Tag und fast 40 Millionen Unique Users pro Monat. Für die Nutzung von Popcorn Time existieren keine aktuellen Schätzungen, aber man kann mit Sicherheit annehmen, dass die Anzahl ebenfalls in die Millionen geht.

Schaden: Führen Hacker Angriffe über Untertitel aus, können sie die vollständige Kontrolle über jedes Gerät erlangen, auf denen diese laufen. Von da an kann der Hacker mit dem Gerät des Opfers machen, was er will, egal, ob es sich um einen PC, ein Smart-TV oder ein Mobilgerät handelt. Der potentielle Schaden, den der Angreifer verursachen kann, kennt keine Grenzen und bewegt sich irgendwo zwischen dem Diebstahl sensibler Daten, der Installation von Ransomware, massenhaften Denial-of-Service-Angriffen und vielem mehr.

Welche Media Player sind betroffen?

Bisher haben die Sicherheitsforscher bei vier der bekanntesten Media Player Schwachstellen entdeckt: VLC, Kodi, Popcorn Time und Stremio. Es besteht allerdings Grund zur Annahme, dass auch in anderen Media Playern ähnliche Schwachstellen vorhanden sind. Die Entwickler der gefährdeten Media Player bekamen alle Schwachstellen und Exploits gemeldet. Einige der Probleme wurden bereits behoben, andere werden noch untersucht. Um den Entwicklern mehr Zeit zu geben, an den Schwachstellen zu arbeiten, haben die Forscher beschlossen, zunächst keine weiteren technischen Details zu veröffentlichen.

Wie kann sich dieser Angriffsvektor verbreiten?

Die genauere Untersuchung der Supply Chain der Untertitel durch Check Point brachte einige interessante Ergebnisse. Es gibt eine Reihe von geteilten Online-Verzeichnissen, wie OpenSubtitles.org, die Film-Untertitel indizieren und klassifizieren. Einige Media Player laden Untertitel automatisch herunter; diese Verzeichnisse beinhalten ein umfangreiches Potential für Angreifer. Die Check Point-Forscher waren auch in der Lage nachzuweisen, dass man durch die Manipulation des Ranking-Algorithmus‘ der Webseite garantieren kann, dass es exakt diese erstellten bösartigen Untertitel sein würden, die der Media Player automatisch herunterladen würde. Dadurch erlangt ein Hacker die vollständige Kontrolle über die gesamte Supply Chain der Untertitel, ohne auf einen Man-in-the-Middle-Angriff zurückgreifen zu müssen und ohne, dass eine Nutzerinteraktion erforderlich wäre. Diese Schwachstelle betrifft auch Nutzer, die anhand dieser Rankings ihre Entscheidung treffen, welche Untertitel sie manuell herunterladen.

Update 19.05.2017: Stremio patcht Sicherheitslücke

Nach Aussage von Vanina Ivanova, Marketing Managerin bei Stremio ist das Unternehmen sich des Problems bereits bewusst und hat Schritte unternommen, um das Stremio-Ökosystem abzusichern. In den neuesten Versionen (3.6.7 und 4.0) des Dienstes ist die von Check Point entdeckte Sicherheitslücke inzwischen gepatched. Stremio-Benutzer erhalten die aktuellsten Versionen automatisch als Update.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44692592 / Sicherheitslücken)