Manipulierte Untertitel gefährden VLC, Kodi und Co.

Forscher der IT-Sicherheitsfirma Check Point haben eine neue Angriffsmethode entdeckt. Diesmal zielen die Hacker auf den Entertainment-Bereich ab. Als Einfallvektor dienen dabei die Untertitel von Videos.

Für die Attacke laden die Angreifer zunächst den manipulierten Untertitel in eine Online-Repository hoch. Lädt nun ein Anwender diesen Untertitel über seinen Videoplayer herunter und führt die Datei aus, können die Angreifer die Kontrolle über das System übernehmen. Dabei wird nicht zwischen Smart TV, Desktop-PC oder mobilem Device wie Smartphones und Tablets unterschieden. Während der Nutzer nichts ahnend seinen Film genießt, führen die Kriminellen im Hintergrund beliebige Befehle aus.

Als möglichen Grund sehen die Experten die unzureichenden Sicherheitsvorkehrungen vieler Videoplayer. Konkret werden vier Player genannt: VLC, Kobi (XBMC), Popcorn Time und Stremio. Das Problem ist, dass Untertitel-Dateien in der Regel als vertrauenswürdige Quelle eingestuft werden. Virenscanner etwa erkennen die Files als nicht gefährliche Textdatei und vernachlässigen so jeglichen weiteren Test auf Schadcode.

Ein weiteres Manko ist, dass über 25 verschiedene Untertitel-Formate mit teilweise verschiedenen Funktionen und Fähigkeiten verwendet werden. Die Mediaplayer müssen all diese unterstützen, um die optimale Lösung für den Nutzer zu erreichen. So entsteht eine fragmentierte Software, die entsprechend viele Schwachstellen aufweist.

Check Point hat die Anbieter der Player über ihren Fund informiert. Während VLC und Stremio bereits offizielle Patches zum Download auf ihren Webseiten zur Verfügung stellen, untersuchen Kodi und Popcorn Time den Fall noch. Zwar existieren inzwischen entsprechende Security-Updates, diese sind jedoch nicht auf den offiziellen Seiten zu finden.

In diesem Proof-of-Concept-Video demonstrieren die Sicherheitsspezialisten den Angriff.