Una vulnerabilidad en el uso de subtítulos permite atacar a usuarios de Kodi y otros reproductores

La firma de seguridad CheckPoint ha descubierto un novedoso vector de ataque que permitiría infectar con malware a millones de usuarios de algunos de los reproductores multimedia más populares aprovechando una serie de vulnerabilidades hasta ahora inéditas. De forma más concreta, los usuarios de plataformas como VLC, Kodi, Popcorn Time y Stremio están expuestos a que terceras personas tomen el control de sus ordenadores y dispositivos de reproducción utilizando archivos de subtítulos maliciosos.

De forma más concreta, los programas de reproducción multimedia analizados por CheckPoint hacen posible descargar de forma automática archivos de subtítulos aparentemente inocuos pero que en realidad contienen código diseñado para infectar el sistema. A partir de aquí las puertas quedan abiertas para los crackers, pudiendo aprovechar este vector de ataque para inyectar ransomware y secuestrar el equipo, acceder a información personal o lanzar ataques de denegación de servicio.

Estimamos que hay aproximadamente 200 millones de reproductores de vídeo y streamers que actualmente ejecutan el software vulnerable, lo que hace de esta una de las vulnerabilidades de resistencia nula más extendidas y más fáciles de acceder de las reportadas en los últimos años.

...

Estos repositorios de subtítulos son, en la práctica, tratados como una fuente de confianza por el usuario o el reproductor multimedia; nuestra investigación también revela que estos dispositivos pueden ser manipulados para proporcionar a los subtítulos del atacante una mayor puntuación, lo que resulta en que estos subtítulos específicos son enviados al usuario. Este método requiere de poca a escasa intervención deliberada por parte del usuario, lo que hace que sea especialmente peligroso.

A diferencia de otros vectores tradicionales de ataque de los que son plenamente conscientes las firmas de seguridad y usuarios, los subtítulos de las películas solo son percibidos como archivos de texto benignos. Esto significa que los usuarios, el software antivirus y otras soluciones de seguridad los pasan por alto sin intentar juzgar su naturaleza real, dejando a millones de usuarios expuestos a este riesgo.



Este tipo de ataque no sería posible de no ser por la falta de seguridad de los repositorios desde donde se descargan los subtítulos, que en la mayor parte de los casos son confeccionados sin ánimo de lucro por la comunidad de usuarios y son subidos y descargados sin control alguno más allá de un sistema de reputación basado en votos.

CheckPoint no ha facilitado públicamente los detalles más técnicos que hacen posible explotar estas vulnerabilidades en el manejo de los subtítulos, optando por dar más tiempo a los desarrolladores para que puedan parchear sus aplicaciones. Los reproductores ya mencionados fueron avisados con antelación y ya han lanzado versiones actualizadas para prevenir este tipo de ataques, así que es recomendable comprobar si las instalaciones ya están puestas al día.

Fuente: CheckPoint
Pues a parchear y a por otro exploit xD
@Alejo I afecta este problema a todos los sistemas? o es algo exclusivo de windows?
NaNdO escribió:@Alejo I afecta este problema a todos los sistemas? o es algo exclusivo de windows?

Oficialmente Kodi también ha actualizado la aplicación para Android por este fallo, así que como mínimo es una vulnerabilidad multisistema. No he visto el changelog del resto de las plataformas soportadas.
gracias por la aclaración :)
Yo acabo de actualizar Kodi para Kubuntu.

En el vídeo utilizan VNC, yo actualizaría en todos los sistemas.
Pero ya esta solucionado? Yo descargo los subs de opensubtitle.
roly82 escribió:Pero ya esta solucionado? Yo descargo los subs de opensubtitle.


Está solucionado en la versión 17.3.
Una pregunta tonta... ¿cómo se actualiza desde Windows? Porque en el programa no encuentro ninguna opción, y al descargar el instalador tampoco hay ninguna opción para actualizar (solamente para instalar). No me haría gracia tener que configurar de nuevo todo.
Brutal noticia y brutal imagen XD
banderas20 escribió:Brutal noticia y brutal imagen XD


Venía a decir lo mismo xD que ganas de nueva temporada de Mr. Robot :cool: :cool: :cool: :cool:
¿los que no usamos subtítulos estamos expuestos a esta vulnerabilidad?
¿Afecta al Windows media player que está en todos los Windows?
Yo los incrusto en el vídeo y lo veo en el salón, pero actualizaré for if the flies.
alguien sabe cual es el commit que soluciona el problema?

https://github.com/xbmc/xbmc/commits/Krypton
vivimos en una epoca tan triste que hasta un puto subtitulo puede ser una amenaza por culpa de las "puertas abiertas"...
el mpc homecinema es vulnerable? se acerca juego de tronos y ya sabeis chavales...
kai_dranzer20 está baneado por "Game Over"
donde está tu kodi ahora eh ? @asuka-s
kai_dranzer20 escribió:donde está tu kodi ahora eh ? @asuka-s

cawento yo le soy fiel hasta el fin.
No sé, la vulnerabilidad no está muy explicada pero me extraña que el parser sea un vector de ataque.

En principio el parser lo único que hace es leer los tiempos y asignar el texto de ese tiempo al overlay.

Vale, se dice en la noticia que es que hay que parsear 25 tipos diferentes de subtitulos (56 diferentes puede manejar una versión vieja que tengo de Subtitle Workshop), pero me extraña que esos reproductores vayan haciendo prueba-error, y que no usen un parser concreto basado en la extensión y que, si no, empiece a probar como un loco.

Y es que, aun así, no veo lógico que caiga en una trampa para acceder a un sitio web. De verdad, parece más un problema de esos reproductores, que un problema general con los subtítulos.

Vamos, a mí que me expliquen más en detalle cómo un subtitulo puede provocar una llamada a un sitio web. O que me expliquen cómo funciona el sistema de subtitulado de esos reproductores.

Sólo faltaría el tener que abrir un subtitulo para comprobar que todo sea texto antes de cargarlo en un reproductor [facepalm]
Por eso es tan importante comprar dispositivos que permitan actualizaciones y no quedarse estancado en una versión del pleistoceno.

Voy a actualizar mi Mediacenter OpenElec :)
JohnH escribió:No sé, la vulnerabilidad no está muy explicada pero me extraña que el parser sea un vector de ataque.

En principio el parser lo único que hace es leer los tiempos y asignar el texto de ese tiempo al overlay.

Vale, se dice en la noticia que es que hay que parsear 25 tipos diferentes de subtitulos (56 diferentes puede manejar una versión vieja que tengo de Subtitle Workshop), pero me extraña que esos reproductores vayan haciendo prueba-error, y que no usen un parser concreto basado en la extensión y que, si no, empiece a probar como un loco.

Y es que, aun así, no veo lógico que caiga en una trampa para acceder a un sitio web. De verdad, parece más un problema de esos reproductores, que un problema general con los subtítulos.

Vamos, a mí que me expliquen más en detalle cómo un subtitulo puede provocar una llamada a un sitio web. O que me expliquen cómo funciona el sistema de subtitulado de esos reproductores.

Sólo faltaría el tener que abrir un subtitulo para comprobar que todo sea texto antes de cargarlo en un reproductor [facepalm]

A mí me parece bastante raro a falta de más información. Es decir, entiendo que el reproductor descarga automáticamente un archivo de subtítulos si el usuario utiliza esa opción y que ese archivo puede contener malware. Pero a partir de ahí no se explica cómo se ejecuta ese malware sin la intervención del usuario, ya que el reproductor simplemente intentará leer el subtítulo dependiendo de su extensión y en ningún caso lo ejecutará.
@darkrocket

Al parecer por lo que estoy leyendo por aquí, es que algunos reproductores como POPcorn, que usan una librería en Javascript para parsearlo, lo leen como ¡¡¡¡HTML!!!!

Y, bueno, aun sigo leyendo, pero por ahí vendría parte del problema.

https://news.ycombinator.com/item?id=14408859

Luego también se lee que si buffer overlows en VLC... y ejecución de código arbitrario.

Como suponía arriba, parece más un problema de los parsers de esos reproductores, que deben ser algo especiales.
pacopolo escribió:Una pregunta tonta... ¿cómo se actualiza desde Windows? Porque en el programa no encuentro ninguna opción, y al descargar el instalador tampoco hay ninguna opción para actualizar (solamente para instalar). No me haría gracia tener que configurar de nuevo todo.

Hola.
Que yo recuerde.el propio instalador te reconoce la instalación anterior y te dirá que no tocará la carpeta userdata, aunque te sugiere que hagas copia, por si las moscas [carcajad]
Te cometo esto de memoria porque hace ya un tiempo que no uso el Kodi habitualmente en PC y lo uso casi siempre en la RaspberryPi
Saludos.
Vaya tela con estas cosas
@Yakomo_fuji XD yo no he sío, y Elliot tampoco creo que hiciera algo así.

yo tengo el vlc 2.1.2 Rincewind ese está a salvo?
Uff que asco de hacker
¿Se es vulnerable solo mientras los subtítulos están siendo reproducidos, o una vez que has visto algo activando los subtítulos con el código malicioso, el equipo queda infectado indefinidamente? ¿Alguien sabe decirme?

Gracias.
xxxtarkusxxx escribió:Uff que asco de hacker

Ya estámos con los hackers.
JohnH escribió:No sé, la vulnerabilidad no está muy explicada pero me extraña que el parser sea un vector de ataque.

En principio el parser lo único que hace es leer los tiempos y asignar el texto de ese tiempo al overlay.

Vale, se dice en la noticia que es que hay que parsear 25 tipos diferentes de subtitulos (56 diferentes puede manejar una versión vieja que tengo de Subtitle Workshop), pero me extraña que esos reproductores vayan haciendo prueba-error, y que no usen un parser concreto basado en la extensión y que, si no, empiece a probar como un loco.

Y es que, aun así, no veo lógico que caiga en una trampa para acceder a un sitio web. De verdad, parece más un problema de esos reproductores, que un problema general con los subtítulos.

Vamos, a mí que me expliquen más en detalle cómo un subtitulo puede provocar una llamada a un sitio web. O que me expliquen cómo funciona el sistema de subtitulado de esos reproductores.

Sólo faltaría el tener que abrir un subtitulo para comprobar que todo sea texto antes de cargarlo en un reproductor [facepalm]

Vaya, tenemos muy olvidado lo que son las vulnerabilidades.

Hace tiempo hubo una vulnerabilidad que permitia ejecutar codigo arbitrario con solo renderizar una imagen PNG con cierta libreria. Internet Explorer usaba esa libreria. Con solo escribir una URL y pulsar enter, te podian borrar todos tus ficheros.
http://www.securityfocus.com/bid/13941/discuss

Esto no ocurre porque Microsoft sea el mal, o porque la gente de Kodi/VLC/etc sean unos inutiles. Ocurre por un fallo de programacion. Donde algo tan simple como olvidarte de escribir una letra 'n' (en snprintf, por poner un ejemplo obvio) puede costarte una vulnerabilidad de estos calibres.
Pero es una vulnerabilidad en algo concreto que todos comparten? es que me parece surrealista que todos hayan cometido el mismo fallo a la hora de desarrollar su software :S
Elkri escribió:Pero es una vulnerabilidad en algo concreto que todos comparten? es que me parece surrealista que todos hayan cometido el mismo fallo a la hora de desarrollar su software :S


No, como hablan en el link que puse, cada uno tiene su propio parser y cada uno comete sus propios errores.

https://news.ycombinator.com/item?id=14408859


@STeNYaK

No es tanto como olvidar qué es una vulnerabilidad como que es sorprendente que algo como un subtitulo se convierta en un vector de ataque.

Errores de programación, sí, vale, siempre los hay, pero déjame que me lleve las manos a la cabeza por cómo deben haber implementado el parser en este caso.

Yo no soy el más adecuado para hablar de programación, pero, "ozú".
JohnH escribió:No es tanto como olvidar qué es una vulnerabilidad como que es sorprendente que algo como un subtitulo se convierta en un vector de ataque.

Errores de programación, sí, vale, siempre los hay, pero déjame que me lleve las manos a la cabeza por cómo deben haber implementado el parser en este caso.

Supongo que algunos ya nos hemos acostumbrado. En informatica, cambiar un solo bit puede ser la diferencia entre un ordenador funcional y un pantallazo azul. O a veces, una vulnerabilidad. Efecto mariposa, basicamente. Y como todo el mundo comete errores alguna vez en su vida, todo software puede (y probablemente tiene) agujeros asi de grandes. La verdad es que me sorprende no ver mas noticias de este estilo a diario.
Une pregunta, no me termina de quedar claro si Kodi es legal, si es así, como se sustenta? :D
Pues no me ha quedado claro si VLC es vulnerable o no. He leído algo de buffer overlows, pero eso de por si no tiene por qué implicar el tema de la noticia, vaya.
36 respuestas