字幕ファイル経由でPCをハッキングすることが可能なことが明らかに

By Simon Doggett

「洋画は字幕で見る」という字幕派は60％以上というアンケート結果もあるほど字幕で映画を見る人は多くいます。しかし、PCなどで字幕映画を見ている場合、字幕を読み込むファイル経由でPCをハッキングされる可能性がセキュリティ研究者により指摘されています。

Hacked in Translation - from Subtitles to Complete Takeover | Check Point Blog
http://blog.checkpoint.com/2017/05/23/hacked-in-translation/

Beware! Subtitle Files Can Hack Your Computer While You're Enjoying Movies
http://thehackernews.com/2017/05/movie-subtitles-malware.html

ソフトウェア開発企業のCheck Pointで働くセキュリティ研究者が、人気の高い4つのメディアプレイヤー系ソフトで共通する脆弱性を発見しました。この脆弱性はPC・スマートテレビ・モバイル端末のいずれであっても、字幕ファイルに悪質なコードが挿入されている場合、端末を危険にさらしてしまう可能性があります。

「人気の高い4つのメディアプレイヤーアプリケーション」というのは、VLC・Kodi(XBMC)・Popcorn Time・Stremioの4つ。これら4つのアプリケーションは合計で2億2000万回以上ダウンロードされています。

By Panagiotis Giannakopoulos

発見された脆弱性は、メディアプレイヤーの字幕ファイルの処理方法を応用したものであり、これを悪用すれば世界中の何億人ものユーザーがハッキングされる可能性があるそうです。メディアプレイヤーが悪意のある字幕ファイルを解析して画面に字幕を表示する時に、そのコンピューターまたはスマートテレビの操作を完全に乗っ取ることが可能です。

実際に字幕ファイルを用いてPCをハッキングする様子を収めたムービーも公開されています。

Hacked in Translation Demo - YouTube


まず最初にPopcorn Timeの字幕ファイル経由でPCをハッキングする様子から。

画面に映し出されている画面は、Popcorn Timeを使って映画を視聴しようとしている被害者側の画面です。

Popcorn Timeを起動して好みの映画を再生。

映画がスタートしたら字幕を選択。

すると画面上に「Malicious Subtitles Loaded(悪意のある字幕がロードされました)」と表示され……

左の画面が被害者のPCのブラウザ上画面で、右はアタッカー側の画面。字幕を選択するとアタッカーと被害者のPC間での接続が行われ……

ディズニー映画の本編前に再生されるシンデレラ城とロゴが消える前にPCの乗っ取りが完了してしまいました。

続いて「Kodi」を使ってPCをハッキング。

同じように被害者側がKodiを使って映画を再生します。

再生するのは映画「スノーデン」です。

ムービーがスタートして……

まずは字幕を選択します。

Kodiの場合は複数の選択肢が表示されるのですが、一番上の3つが用意した「悪意のある字幕ファイル」とのこと。

このどれかを選ぶと、Popcorn Timeの時と同様にアタッカーと被害者のPC間で接続が開始してしまい……

あっという間にPCのコントロールを奪われてしまいます。

映画やTV番組の字幕ファイルは作家などにより作成され、世界最大の無料字幕データベースである「OpenSubtitles」や無料の字幕データベース「SubDB」などにアップロードされるので、普通の字幕ファイルの中に悪意のあるコードを含んだファイルが紛れている可能性は十分にあります。また、こういった字幕ファイル共有サイトのランキングアルゴリズムを操作することで、悪意のある字幕ファイルがユーザーの目につきやすい場所に表示されるよう仕向けることも可能とのことです。

Check Pointは今回挙げられた4つのアプリケーション以外にも同様の脆弱性を持つメディアプレイヤーが存在すると推測しています。また、Check Pointは各アプリケーションの開発者に対して脆弱性に関する情報を報告しており、開発者が脆弱性に対処するための時間を確保するために現時点では技術的な詳細は明かしていないとのこと。

なお、Stremioは修正版のStremio 4.0 betaを公開しており、VLCは2週間以内に最新版となるVLC 2.2.5のリリースをアナウンスしています。また、Kodiは修正版のバージョン17.2を今週末にはリリースするとしており、これはここから入手可能とのこと。さらに、Popcorn Timeもパッチを公開しているので、いずれかのアプリケーションを使用しているユーザーは早めにアップデートしておくとよさそうです。