Falha permite que players de vídeo sejam atacados com legendas

O sistema de download automático de legendas presente em programas como Stremio, VLC e Popcorn Time, que comumente é usado por quem consome filmes e séries piratas, pode ser uma porta para hackers invadirem computadores pessoais, de acordo com a firma de segurança Check Point.

Segundo o relatório, a empresa descobriu uma vulnerabilidade nesse tipo de serviço em que os hackers podem distribuir desde ransomwares até roubar informações do usuário sem serem pegos. Segundo a Check Point, praticamente todo player de vídeo que faz download de legendas está vulnerável. Apenas os softwares citados pela companhia já somam 200 milhões de pessoas expostas.

O problema está nas permissões que os usuários precisam dar para utilizar esse tipo de software e a segurança dos agregadores de arquivos de legenda.

Os players de mídia utilizam sites reconhecidos para fazer o download automático de legendas, porém, essas plataformas são alimentadas por usuários comuns. De acordo com a Check Point, alguns grupos de cibercriminosos conseguem até manipular os rankings de download para os programas de reprodução reconhecerem as legendas infectadas como autênticas.

Falha permite que players de vídeo sejam atacados com legendas

Além disso, os arquivos de legenda costumam passar despercebidos em softwares anti-vírus, já que estão ligados a um programa autentico e costumam ser inofensivos.

Correções da falha já estão sendo disponibilizadas

A Check Point já alertou as companhias responsáveis por players de mídia populares e alguns dos softwares já receberam updates para consertar a vulnerabilidade.

O VLC já corrigiu o problema e liberou uma atualização em seu site. O Stremio também já lançou uma nova versão sem a vulnerabilidade. O player de mídia Kodi, também citado no relatório, ainda não possui um patch pronto, mas já lançou o código da correção no github. O Popcorn Time disse que já possui um pacote de correção, que será disponibilizado em breve.

Adrenaline

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *