字幕攻击|黑客利用恶意字幕文件劫持计算机-字幕文件

你以为你在屏幕前看字幕

其实字幕也在偷偷看着你

对于爱看英美日韩泰等外语剧的朋友们

原声+翻译,“生肉”变“熟肉”

边吃零食边煲剧,别提有多带感

字幕主要被用户使用观看非母语视频

在国内,也活跃着一群字幕翻译爱好者和制作社区

字幕攻击|黑客利用恶意字幕文件劫持计算机

想象一下,如果没字幕,得错过多少好剧!

但是,字幕却成为了一种新型的攻击方式,字幕攻击。

字幕攻击|黑客利用恶意字幕文件劫持计算机

安全公司 Check Point 的研究人员称,通过制作恶意的字幕文件,在被受害者的播放软件下载和加载后,可利用流行流媒体平台的漏洞远程执行代码去控制任何设备,包括计算机、电视和移动设备。

黑客能利用特别编制的字幕文件执行任意代码,从而完全控制系统。它们所能造成的危害是无穷的,包括窃取敏感信息、安装勒索软件、发动DDoS攻击等。

据悉,受影响的软件包括 VLC、Kodi (XBMC)、Popcorn-Time 和 strem.io,虽然Popcorn-Time已及时发现漏洞发布安全补丁消除了此问题,但是其余流媒体服务仍然未作出补救,目前使用这些有漏洞软件的用户接近 2 亿,未来可能会有更多的设备陷入危险之态。

这种情况下鼓励用户合法观看电影,不要观看通过非正常手段获得电影资源,或至少等到软件供应商更新产品来解决此问题,一旦他们访问您的电脑,就无法控制黑客。事实上,你可能不会怀疑你的设备被劫持,因为攻击者倾向于偷偷摸摸并掩盖他们的轨迹,最终窃取电脑中有价值的信息。

黑客已经为恶意软件分发创造了新的空间,并且看看其相对简单的执行情况,我们确信这种技术将来会增长并变得更加复杂。目前,黑客只需将一个混淆的字幕文件上传到一些字幕库中。从那里它将能够前往使用该特定存储库的所有服务来向用户呈现字幕电影。当然,黑客们必须付出一些努力来操纵字幕平台的流行度指标,以便视频流或播放器首先下载流氓文件。不幸的是,安全性实用程序将无法保护您免受恶意下载。这意味着如果您选择在线流式传输视频,则必须接受风险。

研究人员上传了一个概念验证原型视频,称受影响的播放软件已经释出了修正,建议用户尽快更新,这些更新可能还没有推送给用户,用户可以手动下载。

推荐阅读