看電影小心駭客利用惡意字幕接管你的電腦 - 影音

http://www.ithome.com.tw/news/114436


文/陳曉莉 | 2017-05-24發表

以色列資安業者Check Point周二（5/23）揭露了全新的攻擊手法，指出駭客可藉由惡意字
幕檔案及媒體播放器/串流平台的漏洞取得使用者裝置的控制權，包括VLC、Kodi、
Popcorn-Time與strem.io等媒體播放器或串流服務皆含有相關漏洞，估計影響全球2億名用
戶。

Check Point指出，有鑑於坊間有超過25種的字幕格式，使得媒體播放器經常需要能夠解析
不同的字幕格式以確保使用者經驗，這也讓這些媒體播放器無暇顧及所有字幕格式的安全性
。

Check Point以影片展示了攻擊Popcorn-Time及Kodi的情景（下），當使用者以這兩個播放
器播放電影，並載入惡意的字幕檔時，駭客就可自遠端掌控使用者的裝置，這些裝置可能是
PC、智慧電視或行動裝置，進而竊取機密資訊或安裝勒索程式等。

目前Check Point只檢驗了這4款市場上最有名的媒體播放器，發現它們皆含有相關漏洞，因
此相信其他媒體播放器也無法倖免於難。迄今光是VLC最新版就有超過1.7億的下載次數，
Kodi每月也有4000萬名不重覆用戶，Check Point估計全球至少有2億使用者處於此一安全風
險中。

在接到Check Point的通知後，VLC與Stremio皆已更新官網上的軟體，PopcornTime及Kodi雖
已修補完畢，但尚未放上官網。
----------------------------------
來源：Hacked in Translation – from Subtitles to Complete Takeover
http://blog.checkpoint.com/2017/05/23/hacked-in-translation/

想要追劇還是看電影，尤其是遇到有外掛字幕都有可能會被駭客攻擊！
建議大家如果用這些軟體看影片時，注意有沒有被惡意外掛字幕檔案受害。

--