翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
专家指出,攻击者只要能让目标用户在其中一个易受攻击的媒体播放器中打开一份恶意字幕文件就能完全控制设备。对于自动从互联网获取字幕的应用程序来说,无需任何用户交互就能实施攻击。
虽然专家集中分析了四款流行的媒体播放器,但研究人员认为其它应用程序也有可能遭受影响。确认易受攻击的播放器是VLC、开源家庭影院软件Kodi(即此前的XBMC)、视频流应用程序Stremio和Popcorn Time。
专家指出,鉴于最新版本的VLC下载量已达到1.7亿次,而Kodi每个月的独立用户量近4000万名,因此潜在受害者的数量很高。这些媒体播放器的开发人员已发布补丁,不过其中一些问题仍在调查过程中,Check Point公司决定不公开任何技术详情。演示视频如下:
Check Point公司指出,黑客能利用特别编制的字幕文件执行任意代码,从而完全控制系统。它们所能造成的危害是无穷的,包括窃取敏感信息、安装勒索软件、发动DDoS攻击等。
虽然在某些情况下需要说服用户通过受影响的播放器打开恶意文件,但研究人员告警称攻击者能够控制字幕网站的排名算法从而确保自动加载字幕的应用程序能够选择他们的文件。通过确保自己的字幕拥有高排名,攻击者还会增加让用户手动加载恶意文件的几率。