Legendas de filmes e séries normalmente são vistas como arquivos de texto inofensivos, mas podem ter códigos maliciosos escondidos. Players de vídeo conhecidos, como VLC, Kodi e Popcorn Time, estão sujeitos a uma falha de segurançaque permite a uma pessoa mal intencionada obter controle total do seu computador.
A vulnerabilidade foi descoberta pela empresa de segurança CheckPoint, que estima que aproximadamente 200 milhões de usuários são afetados — a versão 2.2.4 do VLC para Windows, por exemplo, tem 171 milhões de downloads. Ao executar uma legenda maliciosa, o player de vídeo permite o controle remoto do PC, o que pode resultar em roubo de informações, instalação de ransomwares e ataques de negação de serviço.
Você não deve ter problemas se utiliza os players apenas para assistir a filmes em mídias físicas, que já possuem legendas embutidas, mas pode ser afetado se baixa legendas em sites de terceiros. Além disso, alguns softwares fazem downloads automáticos em repositórios como o OpenSubtitles.org. Ao manipular o ranking desses sites, é possível fazer uma legião de usuários baixar código malicioso sem saber.
Este vídeo mostra uma prova de conceito do ataque:
O problema é causado, segundo a CheckPoint, devido à baixa segurança em vários players de mídia e ao alto número de formatos de legendas no mercado: há mais de 25 tipos em utilização. Sem um padrão estabelecido, os softwares precisam interpretar todos os formatos, cada um com um método diferente, o que acaba abrindo espaço para vulnerabilidades como essa.
Para se precaver, atualize seu player de vídeo assim que possível. O VLC já liberou a versão 2.2.5.1, que corrige a falha, bem como o Popcorn Time. O Kodi, antigo XBMC, ainda não foi atualizado.