Quanto inquietante pode ser a ideia de que enquanto você assiste um filme no computador, no Raspberry Pi ou em um dispositivo preferido, alguém também possa ter acesso indevido a sua informação ou até mesmo te espionar?
Na última edição da Ekoparty 2017, evento realizado na Argentina, os pesquisadores Omri Herscovici e Omer Gull apresentaram uma palestra chamada “Pwned in Translation – from Subtitles to RCE”, na qual demonstram que, se você não estiver protegido da forma devida, isso realmente poderá acontecer… e de uma forma inimaginável.
Um curioso vetor de ataque
Se você acredita que as legendas são apenas linhas de texto simples incorporadas em filmes, será melhor que continue lendo este post, pois descreveremos como as mesmas podem ser usadas para tomar o controle de um sistema ou dispositivo, de acordo com a apresentação dos especialistas.
O grande impacto desta notícia está relacionado com o fato de que milhões de pessoas baixem e executem legendas sem pensar duas vezes, de forma cotidiana na Internet. Duvido que alguém se pergunte pela origem dessas legendas, pela forma como são processadas ou se são analisadas em busca de códigos maliciosos…
Bem, no início da palestra foram apresentadas as diversas extensões e formatos de legendas que são utilizadas na atualidade. Estes são alguns exemplos: “.SRT”, “.PJS”, “.USF” ,”.SUB”, “.PSB”, “.IDX”, “.ASS”, “.SMI” ,”.CVD”, “.AQT”, “.STL”, “.DKS”, “.JSS”, “.SSF” e “.TTXT”.
Dentro dos mais de 25 formatos de legendas, a maioria suporta características tais como etiquetas HTML, imagens em formato raw e até mesmo binários em linguagens free-form, o que naturalmente o fará pensar.
Somado a isso, comumente não existe uma metodologia padrão utilizada para a análise de legendas, o que torna a implementação desta tarefa um pouco mais independente e de acordo com cada um dos diversos players. E é claro que existem diversas vulnerabilidades que podem ser exploradas nestes casos.
O ataque
Através de diferentes métodos, que incluem técnicas de JavaScript, exploração de vulnerabilidades e corrupção de arquivos manipulados, os pesquisadores conseguiram executar códigos maliciosos (além das legendas) e tomar o controle do equipamento alvo.
A técnica de execução remota de código, apresentada ao vivo, não apenas funciona em players como o famoso VLC, mas também por meio de serviços de streaming como o Popcorn Time, com os quais é possível ver filmes online, e inclusive no famoso Kodi (XBMC), que é utilizado em players multimídia.
O ataque se baseia no fato de que determinados players baixem legendas de forma automática por meio de depósitos compartilhados de forma online (como OpenSubtitles), onde são indexados e rankeados. Ao manipular estas bases de dados do site, baseadas em algoritmos, podem garantir que as legendas maliciosas criadas sejam as únicas baixadas pelo player. Desta forma, conseguem tomar o controle total da cadeia de fornecimento de legendas.
Como se isso não bastasse, também apresentaram como é possível corromper a origem da fonte das legendas.
O prejuízo que um atacante pode provocar vai desde o roubo da informação confidencial até a instalação de ransomware, passando pelos ataques massivos de Negação de Serviço. Os detalhes técnicos das vulnerabilidades exploradas em cada player estão em uma pesquisa publicada (em inglês) pelos palestrantes.
Qual é o impacto deste ataque?
Se você gosta dos filmes de terror ou suspense e da sensação que geram, pense na quantidade de usuários que utilizam estes meios para ver os filmes. Este fato é assustador.
Para revelar o suspense, este número chega a mais de 220 milhões de usuários, segundo um cálculo realizado pelos pesquisadores. Portanto, sem dúvidas, o uso de legendas manipuladas é uma forma muito viável de lançar campanhas maliciosas de forma massiva.
Como os pesquisadores anteciparam, parece que não existe limite para o que se pode conseguir usando estes arquivos de texto que parecem não ser grande coisa.
Apesar de não querer te assustar, é fundamental manter os seus aplicativos e soluções de segurança atualizadas e que utilize apenas páginas de confiança para procurar conteúdo. Desta forma, você poderá evitar uma infecção com diferentes tipos de ameaças, como por exemplo um ransomware que pode criptografar a sua informação.
Agindo com precaução e contando com as ferramentas adequadas, será possível evitar que a sua experiência com filmes ou séries online termine sendo um filme de terror.
Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.