Investigadores de Check Point revelaron un nuevo vector de ataque que amenaza a millones de usuarios de los reproductores multimedia más populares, incluyendo VLC, Kodi (XBMC), Popcorn Time y Stremio: mediante la creación de archivos de subtítulos maliciosos para películas y programas de televisión, que luego son descargados por los espectadores. Los atacantes pueden potencialmente tomar el control completo de cualquier dispositivo que ejecute las plataformas vulnerables.
“La cadena de suministro de subtítulos es compleja, con más de 25 formatos diferentes de subtítulos en uso, todos con características y capacidades únicas.En este contexto fragmentado, junto con una seguridad limitada, significa que hay múltiples vulnerabilidades que podrían ser explotadas, convirtiéndolo en un objetivo muy atractivo para atacantes “, dijo Omri Herscovici, líder del equipo de investigación de vulnerabilidades de Check Point.
Los subtítulos para películas o programas de TV son creados por una amplia gama de escritores y subidos a repositorios en línea, como OpenSubtitles.org, donde están indexados y clasificados. Los investigadores también demostraron que, manipulando el algoritmo de clasificación de los repositorios, los subtítulos maliciosos pueden ser descargados automáticamente por el reproductor de medios, lo que permite a un hacker tomar el control completo de toda la cadena de suministro de subtítulos sin la interacción del usuario.
¿Cuántos usuarios se ven afectados?
VLC tiene más de 170 millones de descargas de su última versión, lanzada el 5 de junio de 2016. Kodi (XBMC) ha alcanzado más de 10 millones de usuarios únicos por día, y casi 40 millones de usuarios únicos por mes. No existen estimaciones actuales para el uso de Popcorn Time, pero se estima que son decenas de millones.
Check Point tiene razones para creer que existen vulnerabilidades similares en otros reproductores multimedia.
¿Qué puedes hacer?
Desde que se revelaron las vulnerabilidades, las cuatro compañías han solucionado los problemas reportados. Stremio y VLC también han lanzado nuevas versiones de software que incorporan esta corrección.
“Para protegerse a sí mismos y minimizar el riesgo de posibles ataques, los usuarios deben asegurarse de actualizar sus reproductores de streaming a las últimas versiones”, concluyó Herscovici.