骇客进行的攻击方式千变万化,如今就连字幕都可能存在风险。据资安机构 Check Point 研究团队近日发表的报告显示,骇客可以透过在字幕档案内植入恶意代码,然后再透过影片播放器的漏洞入侵并控制用户的装置,安全专家估计全球大约有 2 亿部装置或会受到影响。
根据资料显示,目前被广泛采用的字幕格式有超过 25 种,虽然每种各具独特功能及特点,但研究发现不少都存在各种漏洞。Check Point 指出这种透过在字幕中插入恶意软件来执行网络攻击,目前至少已影响到 VLC、Kodi、Popcorn Time 及 Stremio 4 款播放软件,骇客可因此而入侵包括电脑、手机、平板及智慧电视等。而从 Check Point 公开的示范影片中可以看到,当 Popcorn Time 及 Kodi 执行了植入恶意软件的字幕后,骇客即可遥距完全控制并监视电脑上的一举一动。
此外,研究人员也发现骇客为求让更多人接触到这些有问题字幕,他们更会从算法方面着手,推高字幕搜寻时的排名,如此一来便可让更多用户中招。庆幸的是上述 4 款播放软件已透过更新去堵塞相关漏洞,但由于不知其他播放软件的情况,因此 Check Point 决定暂时不进一步公开这种攻击的其他技术细节。
- Hacked in Translation – from Subtitles to Complete Takeover
(本文由 Unwire HK 授权转载;首图来源:shutterstock)
