Web-DRM: Chrome bug maakt het downloaden van Netflix en Amazon films

Netflix

Netflix-interface in de webbrowser

Door een bug in het DRM-systeem Widevine blijkbaar is het mogelijk om gecodeerde video streams in de Chrome-browser te downloaden. Dit geldt ook voor de inhoud van Netflix en andere streaming services.

De twee security onderzoekers David Livshits en Alexandra Mikityuk hebben een gat in de Chrome-browser, die het downloaden van DRM-beschermde video streams mogelijk maakt gevolgd. Dankzij de bugs het was vrij eenvoudig, zoals films van Netflix of Amazon Prime om te besparen op uw eigen computer, meldt Wired.

De fout ligt bij de uitvoering van het DRM-systeem Widevine, dat eigendom is van Google, maar werd niet ontwikkeld door Google. Widevine gebruikt Gecodeerde Media Extensions (EME), zodat de inhoud Decryption Module (CDM) communiceert de browser met het garantiestelsel vanaf Netflix. EME serveert dat de uitwisseling van sleutels en licenties tussen streaming service en de CDM-component. Daarna kan het CDM de streaming content te decoderen.

Een foutloze DRM-systeem beschermt de gedecodeerde videodata en geeft deze alleen in de browser. Gebruikers hoeven geen directe toegang tot de video-bestand. Echter, de fout van Widevine toegestaan ​​waarschijnlijk het kopiëren van de gedecodeerde video-streams, zoals een korte bewijs video security onderzoekers geïllustreerd. Het is mogelijk, content "ontvoeren"Zodra de CDM de film heeft gedecodeerd.

Eenvoudiger Bug - moeilijk oplossing?

De onderzoekers beschrijven de bug als "heel simpel"Maar wees niet op details. Op 24 mei hebben ze Google geïnformeerd over hun ontdekking - een patch niet is verschenen tot nu toe. Onderzoekers verleent u Google 90 dagen voor het oplossen van problemen. Zoveel tijd keurt de concurrenten van Google als onderdeel van haar "project Zero"Als Google-experts vinden van een kwetsbaarheid. raden security onderzoekers dat de inhoud decryptie module in een vertrouwde uitvoering omgeving (TEE) is het runnen van een "ontvoering" om de videostream te voorkomen.

Tegenover Wired Google zei dat de ontwikkelaars het probleem zou onderzoeken. De bug is opgenomen in alle browsers met Chromium unit - dus waarschijnlijk ook in Opera en Vivaldi browser. De onderzoekers Dudu Mimran bekritiseerd Google om zijn mening, lakse omgang met de fout. Als u inhoud diefstal te voorkomen, moet Google gaan met de bug met een hogere prioriteit noemt Mimran. Hij werkt als CTO bij de Cyber ​​Security Research Center van de Ben-Gurion University, waar een van de ontdekkers van bugs opereert. Onderzoeker Alexandra Mikityuk werkt in de Telekom Innovation Laboratories in Berlijn. Google had Widevine gekocht in 2010 naar premium kanalen te beschermen op Youtube.(DBE)