Ваш компьютер могут взломать с помощью субтитров к сериалу. Что делать?
- Что случилось?
- Как это работает?
- Все плееры уязвимы?
- Мне теперь придется отказаться от субтитров?
- Что делать, если я параноик?
- А сколько компьютеров взломали таким способом?
Что случилось?
Исследователи безопасности из израильской компании Check Point Software Technologies выяснили, что злоумышленники могут получить полный контроль над вашим компьютером, если вы любите смотреть видео с подгружаемыми субтитрами (такими, которые хранятся в отдельном файле).
Как это работает?
Злоумышленник готовит файл с субтитрами, который содержит вредоносный код. Затем его размещают на специальном сервисе вроде OpenSubtitles.org, где пользователи делятся своими версиями подстрочников и переводов. Злоумышленник накручивает своему файлу рейтинг, чтобы именно его выбирали плееры, которые самостоятельно ищут в интернете субтитры. Как только жертва включает видео с субтитрами, злоумышленник получает контроль над устройством жертвы.
Это наиболее вероятный сценарий, но теоретически субтитры с вредоносным кодом вы можете получить и любым другим способом, например, скачав вместе с фильмом через торренты.
Все плееры уязвимы?
Это неизвестно. Исследователи уже нашли уязвимости в четырех популярных программах — медиаплеерах VLC и Kodi (ранее известном как XBMC) и стриминговых платформах Popcorn Time и Stremio — и считают, что этим список не исчерпывается.
Мне теперь придется отказаться от субтитров?
Нет. Во всех четырех упомянутых выше программах уязвимость была исправлена. Нужно только скачать новую версию плеера и обновиться. Если вы смотрите видео в другой программе и очень боитесь за свой компьютер, установите себе VLC.
Что делать, если я параноик?
Вы можете вручную проверить каждый файл с субтитрами перед просмотром. Для этого нужно:
- запретить плееру автоматически загружать субтитры;
- найти и скачать нужный файл самому;
- открыть его в специальной программе или простом текстовом редакторе;
- пролистать содержимое в поисках странных кусков текста или программного кода (можете не обращать внимание на отметки времени и простую разметку).
Внимание! Старайтесь не вчитываться в текст субтитров, если не хотите нарваться на спойлеры. Или попросите друга проделать эту работу за вас.
А сколько компьютеров взломали таким способом?
Неизвестно. Возможно, никто не использовал эти уязвимости в реальной жизни, а все взломы были осуществлены только в исследовательских целях. Но сейчас злоумышленники могут попытаться провести атаку, понадеявшись на нерасторопность пользователей. Так что лучше обновить плеер прямо сейчас.