La firma de seguridad Checkpoint ha descubierto una vulnerabilidad en numerosos reproductores multimedia que permite a un hacker tomar el control total de cualquier dispositivo cuando se usa un archivo de subtítulos malicioso. La firma estima que 200 millones de usuarios están potencialmente en riesgo.
Según han alertado desde Checkpoint:
Nuestra investigación revela la posibilidad de un nuevo tipo de ataque, una técnica que pasa a la acción cuando se cargan los subtítulos de las películas en el reproductor multimedia del usuario. En la práctica, estos repositorios de subtítulos son tratados como una fuente de confianza por el usuario o los reproductores; La investigación también revela que esos repositorios pueden manipularse y otorgar a estos subtítulos maliciosos una puntuación alta en las webs para que el usuario se sirva de ellos fácilmente. Este método requiere poca o ninguna acción deliberada por parte del usuario, lo que lo hace aún más peligroso.
A diferencia de los tradicionales tipos de ataque, aquellos que las empresas de seguridad y los usuarios conocen ampliamente y son conscientes de ello, los subtítulos de películas se perciben únicamente como los archivos de texto benignos.
Para dejarlo claro, si estás usando un reproductor multimedia en estos momentos para ver una copia legítima de una película que ya tiene subtítulos, probablemente estás a salvo. Pero si por alguna razón visitaste uno de los numerosos sitios web que te permiten descargar subtítulos para películas en varios idiomas, podrías estar en riesgo. La gente descarga estos archivos por muchas razones, no sólo con fines de piratería. Hay toda una comunidad próspera de usuarios que traducen los diálogos cinematográficos por el bien de todos, aunque por desgracia, podría haber algunas “manzanas podridas” en ello.
A continuación pasamos a describir los reproductores multimedia afectados y cómo actualizarlos:
PopcornTime: Han creado una versión que arregla el problema, sin embargo, todavía no está disponible para descargar desde la página web oficial. La versión buena se puede descargar manualmente desde aquí.
Kodi: También creó una versión de soluciona el problema, aunque actualmente sólo está disponible como versión de código fuente. Esta versión no está disponible para descargar en el sitio oficial. El enlace a la corrección del código fuente está disponible desde aquí.
VLC: Oficialmente solucionado y disponible para descargar en su sitio web.
Stremio: Oficialmente arreglado y disponible para descargar desde su sitio web.
Los investigadores también descubrieron que es extremadamente fácil manipular el algoritmo de una web como OpenSubtitles.org con el fin de garantizar que un archivo malicioso llegue a la parte más alta de los resultados de búsqueda.
Les dejamos con una demostración en vídeo de la vulnerabilidad en acción:
[Checkpoint via The Hacker News]