北京時間5月26日消息,如果你用Popcorn Time播放器或者其它相似的服務觀看電影,上面可能會有字幕,這些字幕可能會給你的計算機、多媒體設備帶來麻煩。
Check Point軟件技術公司在報告中表示,最近發現一個新漏洞,黑客可以將惡意代碼植入字幕文件,控制用戶設備。Check Point還說已經在幾個流媒體平臺上發現了漏洞,2億多臺視頻播放器和流媒體設備面臨威脅。
威脅駐留在網站上,電影愛好者喜歡從這些網站下載各種語言的字幕。用戶或者設備對這些網站內容高度信任,它成為容易被人忽視的黑客攻擊路徑。
Check Point在博客中表示:“如果是傳統攻擊路線,安全公司與用戶能廣泛感知到,不同之處在于,人們認為電影字幕只不過是良性的文本文件。也就是說用戶、殺毒軟件及其它安全解決方案審查文件時不會真正了解它的屬性,導致無數用戶面臨威脅。”
Popcorn Time、VLC、Kodi、Stremio等服務都受到漏洞的影響,Check Point相信其它平臺也有類似的問題。VLC、Kodi和Stremio已經修正,用戶已經可以下載升級版軟件。Popcorn Time也已經修改問題,不過官網還沒有提供升級版軟件供用戶下載。Kodi卻認為威脅并不大。
XMBC代表基斯·赫林頓(Keith Herrington)說:“Checkpoint夸大了威脅。下載字幕時很少有文件是.zip格式的,如果從正規網站下載字幕,它們看到這種奇怪的文件會檢查的,即使你真的進入了文件系統,也沒法執行代碼,而惡意軟件需要用戶執行。”赫林頓還說:“如果不能真正執行代碼,要造成任何實際損害是相當相當困難的事。”
京公網安備 11010502049343號