恐怖片里有一条定律,从防盗门的猫眼看过去,对面总有只眼球死死地盯着你。可你不知道的是,这种令人吓得半死的电影桥段正在我们每个人周围上演,只不过现实中,防盗门换成了电脑屏幕,而恐怖的猫眼则变成了我们再熟悉不过的字幕。
当无数追剧党、电影控毫不犹豫地盯着字幕时,或许从来没有考虑过它们来自何处,在哪里解析或如何被渲染。但通过屏幕下方那些看似毫无杀伤力的字幕,黑客却能对你实施远程监控,完全控制你的电脑,甚至是整个播放平台系统。
为什么会这样?要知道,如今字幕文件格式已经超过了25种,绝大多数允许支持大量的特效和功能,而各个播放器在实现字幕渲染时又没有统一的标准,代码的安全性完全交由播放器的开发者保证。字幕文件的开放和复杂特性暴露了诸多攻击面,嗜血的黑客只要稍稍嗅到漏洞的血腥味,就会蜂拥而至。
除了黑客,白帽子们也察觉了字幕存在的安全隐患。5月30—31日即将在美国西雅图举办的国际前瞻信息安全会议SyScan360上,来自美国安全公司Check Point的两名白帽子就将向全球顶尖安全研究者首次公开关于字幕攻击面的最新研究成果。
通过一个恶意的字幕文件,就能够在VLC、Kodi、Popcorn Time等国外主流视频播放器上实现远程代码执行操作,甚至能控制整个字幕文件的供应链。更让人惊讶的是,全过程完全不需要用户的任何交互操作。
有句话说:当你在凝视深渊的时候,深渊也在凝视你,想必此后影迷们观看影视剧字幕时,难免有种观看恐怖片的错觉。不过,大家也不用如此战战兢兢,既然字幕安全已经被顶级信息安全会议所关注,那么自然就会有安全大牛来化解危机。
据了解,SyScan360是国内安全公司首次在海外举办的全球顶级安全技术峰会,来自微软、谷歌、MacAfee、Intel、360、盘古等国内外顶尖安全公司的20位演讲嘉宾,将对系统、移动、网络、硬件、IoT、云计算、机器学习等安全圈全领域的15个热点话题进行探讨,参会观众多来自美国一线高科技公司和知名高校。