Chrome nettleserfeil gjør piratkopiering av filmer enda enklere
Foto: David Livshits/Alexandra Mikityuk
En bekymringsfull feil avdekket i Google Chrome gjør det enda enklere for pirater å laste ned filmer og TV -programmer fra nettet. Google ble gjort oppmerksom på problemet for en måned siden, men selskapet har ennå ikke gitt ut en oppdatering som løser det.
Ettersom studioer finner nye måter å beskytte innholdet mot pirater med DRM, finner piratene nye måter å komme seg rundt. Det blir vanskeligere etter hvert som DRM blir bedre, men det er ofte en feil et sted som gjør dem brytbare.
To sikkerhetsforskere, David Livshits fra Cyber Security Research Center ved Ben-Gurion University i Israel og Alexandra Mikityuk med Telekom Innovation Laboratories i Berlin, Tyskland, har funnet en i Google Chrome.
Problemet stammer fra måten Chrome bruker Widevine EME/CDM -teknologien, som Google eier, men ikke opprettet, for å få tilgang til og spille av kryptert video fra online streamingtjenester.
"Den bruker krypterte medieutvidelser for å la innholdsdekrypteringsmodulen i nettleseren din kommunisere med innholdsbeskyttelsessystemer for Netflix og andre strømmetjenester for å levere sine krypterte filmer til deg, ” forklarer Kablet.
“EME håndterer nøkkel- eller lisensutvekslingen mellom beskyttelsessystemene til innholdsleverandører og en CDM -komponent i nettleseren din... CDM sender en lisensforespørsel til leverandøren via EME -grensesnittet og mottar en lisens i komme tilbake."
Når den har den lisensen, kan CDM dekryptere videoen og sende den til Chrome slik at du kan glede deg over den. DRM er designet for å beskytte disse dekrypterte dataene og sikre at de forblir i nettleseren din - men Chromes feil bryter den.
Livshits og Mikityuk klarte å finne en måte å ta videoen rett etter at CDM dekrypterer den og begynner å sende den til Chrome. Videoen nedenfor demonstrerer dette ved å bruke et proof-of-concept de laget.
Forskerne varslet Google om denne feilen 24. mai, men selskapet har ennå ikke fikset det. De sier at utnyttelsen er enkel - og det samme er løsningen - men de vil ikke avsløre hvordan de brukte det før Google har hatt minst 90 dager på å slippe en oppdatering.
Google fortalte Kablet at den undersøker problemet, men tilsynelatende spilte "ned" det. Selskapet sa også at problemet ikke er eksklusivt for Chrome, og vil gjelde for alle nettlesere som er hentet fra Chromium.
Det er uklart om feilen er tilstede i tredjeparts nettlesere. Firefox og Opera bruker også Widevine, men forskerne har ikke undersøkt dem ennå. Apples og Microsofts nettlesere, som bruker forsvarlighetsteknologier, er heller ikke testet.