Блог 360 Total Security

Теперь даже СУБТИТРЫ могут захватить ваш компьютер, смарт-телевизор и телефон

В последние дни исследователи безопасности обнаружили уязвимости в нескольких популярных медиаплеерах. Эти уязвимости позволяют кибератакам захватить компьютеры пользователей, смарт-телевизоры и телефоны, если вредоносные субтитры загружаются во время просмотра фильмов.

Субтитры становятся оружием

Текстовые субтитры обычно продаются или распространяются переводчиками / писателями на платформе с открытым исходным кодом, например OpenSubtitles и SubDB. Люди, которым нужны субтитры, в том числе иностранные любители кино и люди с нарушениями слуха, могут выбрать для себя лучшую версию.

Из-за свободного разделения в сообществе среди участников и пользователей атакующие могут легко распространять вредоносную полезную нагрузку.

Используя уязвимости медиаплееров, злоумышленники создают вредоносные файлы субтитров, загруженные внутри приложения, которые автоматически выполняют вставленный код на устройстве пользователя, чтобы получить контроль над устройством пользователя. Вредоносные субтитры могут быть созданы и доставлены миллионам пользователей автоматически. Эти уязвимости в приложениях используются хакерами для захвата любого типа устройств, что означает, что ваш компьютер, смарт-телевизор или мобильные устройства находятся под угрозой.

Хакеры также манипулируют рейтингом веб-сайта, чтобы показать свои субтитры в результатах поиска над другими безвредными файлами субтитров и получить наибольшее количество загрузок. Некоторые проигрыватели потоковых медиа, такие как Popcorn Time, могут ускорить заражение, изначально разработанную как удобная для пользователя функция, автоматически загружая субтитры от имени своих пользователей.

Обновите прямо сейчас! Смотрите фильмы без проблем.

Четыре из самых популярных медиаплееров, в том числе VLC, Popcorn Time, Kodi и Stremio, были протестированы / проверены как уязвимые. По словам исследователей, около 200 миллионов пользователей используют уязвимые версии этих медиаплееров. Однако может быть больше медиа-плееров, которые (подвержены одному риску / несут такую же уязвимость), но не были протестированы.

Теперь три из четырех медиаплееров, VLC, Stremio и Popcorn Time, уже выпустили новые обновления для исправления уязвимости, но фиксированная версия Kodi 17.2 все еще на подходе. Чтобы избежать захвата ваших драгоценных устройств, обновите свой медиаплеер немедленно. Не загружайте файл субтитров, пока вы на 100% не уверены, что ваш медиа-плеер в безопасности.

Смотрите их заявление об исправлении и обновлении здесь:

Stremio: http://www.strem.io/four 

Popcorn Time: https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249/ 

VLC 2.2.5: https://www.videolan.org/vlc/releases/2.2.5.htm