Imagen: VLC

La firma de seguridad Checkpoint ha descubierto una vulnerabilidad en numerosos reproductores multimedia que permite a un hacker tomar el control total de cualquier dispositivo cuando se usa un archivo de subtítulos malicioso. La firma estima que 200 millones de usuarios están potencialmente en riesgo.

Advertisement

Seg√ļn han alertado desde Checkpoint:

Nuestra investigaci√≥n revela la posibilidad de un nuevo tipo de ataque, una t√©cnica que pasa a la acci√≥n cuando se cargan los subt√≠tulos de las pel√≠culas en el reproductor multimedia del usuario. En la pr√°ctica, estos repositorios de subt√≠tulos son tratados como una fuente de confianza por el usuario o los reproductores; La investigaci√≥n tambi√©n revela que esos repositorios pueden manipularse y otorgar a estos subt√≠tulos maliciosos una puntuaci√≥n alta en las webs para que el usuario se sirva de ellos f√°cilmente. Este m√©todo requiere poca o ninguna acci√≥n deliberada por parte del usuario, lo que lo hace a√ļn m√°s peligroso.

A diferencia de los tradicionales tipos de ataque, aquellos que las empresas de seguridad y los usuarios conocen ampliamente y son conscientes de ello, los subt√≠tulos de pel√≠culas se perciben √ļnicamente como los archivos de texto benignos.

Advertisement

Para dejarlo claro, si est√°s usando un reproductor multimedia en estos momentos para ver una copia leg√≠tima de una pel√≠cula que ya tiene subt√≠tulos, probablemente est√°s a salvo. Pero si por alguna raz√≥n visitaste uno de los numerosos sitios web que te permiten descargar subt√≠tulos para pel√≠culas en varios idiomas, podr√≠as estar en riesgo. La gente descarga estos archivos por muchas razones, no s√≥lo con fines de pirater√≠a. Hay toda una comunidad pr√≥spera de usuarios que traducen los di√°logos cinematogr√°ficos por el bien de todos, aunque por desgracia, podr√≠a haber algunas ‚Äúmanzanas podridas‚ÄĚ en ello.

A continuación pasamos a describir los reproductores multimedia afectados y cómo actualizarlos:

PopcornTime: Han creado una versión que arregla el problema, sin embargo, todavía no está disponible para descargar desde la página web oficial. La versión buena se puede descargar manualmente desde aquí.

Kodi: También creó una versión de soluciona el problema, aunque actualmente sólo está disponible como versión de código fuente. Esta versión no está disponible para descargar en el sitio oficial. El enlace a la corrección del código fuente está disponible desde aquí.

VLC: Oficialmente solucionado y disponible para descargar en su sitio web.

Stremio: Oficialmente arreglado y disponible para descargar desde su sitio web.

Los investigadores tambi√©n descubrieron que es extremadamente f√°cil manipular el algoritmo de una web como OpenSubtitles.org con el fin de garantizar que un archivo malicioso llegue a la parte m√°s alta de los resultados de b√ļsqueda.

Advertisement

Les dejamos con una demostración en vídeo de la vulnerabilidad en acción:

[Checkpoint via The Hacker News]