Chrome-browserbug maakt filmpiraterij nog eenvoudiger
Foto: David Livshits/Alexandra Mikityuk
Een zorgwekkende fout die in Google Chrome is ontdekt, maakt het voor piraten nog gemakkelijker om films en tv-programma's van internet te downloaden. Google werd een maand geleden op de hoogte gebracht van het probleem, maar het bedrijf heeft nog geen update uitgebracht die het probleem verhelpt.
Terwijl studio's nieuwe manieren vinden om hun inhoud te beschermen tegen piraten met DRM, vinden de piraten nieuwe manieren om er omheen te komen. Het wordt moeilijker naarmate de DRM beter wordt, maar er is vaak ergens een fout waardoor ze breekbaar zijn.
Twee beveiligingsonderzoekers, David Livshits van het Cyber Security Research Center van de Ben-Gurion University in Israël en Alexandra Mikityuk met Telekom Innovation Laboratories in Berlijn, Duitsland, hebben er een gevonden in Google Chroom.
Het probleem komt voort uit de manier waarop Chrome de Widevine EME/CDM-technologie gebruikt, die Google bezit maar niet heeft gemaakt, om gecodeerde video van online streamingdiensten te openen en af te spelen.
“Het maakt gebruik van gecodeerde media-extensies om de inhouddecoderingsmodule in uw browser te laten communiceren met de contentbeveiligingssystemen van Netflix en andere streamingdiensten om hun versleutelde films aan u af te leveren,” verklaart Bedrade.
“EME verzorgt de sleutel- of licentie-uitwisseling tussen de beveiligingssystemen van content providers en een CDM-component in uw browser... de CDM stuurt een licentieverzoek naar de provider via de EME-interface en ontvangt een licentie in opbrengst."
Zodra het die licentie heeft, kan de CDM de video decoderen en naar Chrome sturen zodat u ervan kunt genieten. De DRM is ontworpen om deze gedecodeerde gegevens te beschermen en ervoor te zorgen dat deze in uw browser blijven, maar de fout van Chrome verbreekt deze.
Livshits en Mikityuk hebben een manier gevonden om de video te pakken te krijgen direct nadat de CDM deze heeft gedecodeerd en deze naar Chrome begint te sturen. De onderstaande video demonstreert dit met behulp van een proof-of-concept dat ze hebben gemaakt.
De onderzoekers hebben Google op 24 mei op de hoogte gesteld van deze fout, maar het bedrijf moet het nog repareren. Ze zeggen dat de exploit eenvoudig is - en de oplossing ook - maar ze zullen niet onthullen hoe ze het hebben gebruikt totdat Google ten minste 90 dagen de tijd heeft gehad om een patch uit te brengen.
Google vertelde Bedrade dat het het probleem onderzoekt, maar het blijkbaar "gebagatelliseerd" heeft gespeeld. Het bedrijf zei ook dat het probleem niet exclusief is voor Chrome en van toepassing is op elke webbrowser die is afgeleid van Chromium.
Het is onduidelijk of de fout aanwezig is in browsers van derden. Firefox en Opera gebruiken ook Widevine, maar de onderzoekers hebben die nog niet onderzocht. De browsers van Apple en Microsoft, die gebruikmaken van eigen technologieën, zijn ook niet getest.
