Noll
Bild: Widevine team
En Brittisk säkerhet forskare har knäckt L3 skydd av Googles Widevine digital rights management (DRM) och teknik. Hacka kan tillåta forskaren att dekryptera innehåll som överförs via DRM-skyddat multimedia strömmar.
Medan “cracking Googles DRM” låter väldigt cool, hacka är inte troligt att driva en massiv piratkopiering våg. Anledningen är att hacka fungerar bara mot Widevine L3 strömmar, och inte L2 och L1, som är de som bär hög kvalitet på ljud-och videodata.
Alla användare som sprickor i en Widevine L3 ström skulle endast få tillgång till en grynig låg kvalitet video och lo-fi-ljud.
Många av säkerhet och kryptografi experter var inte överraskad av Widevine L3 hack, som L3 skydd nivån är den lägsta.
Google har utformat ett Widevine DRM-teknik för att arbeta på tre skyddsnivån för personuppgifter –L1, L2, och L3– varje användbar i olika situationer. Enligt Google docs, skillnaderna mellan de tre skyddsnivåer är som följer:
L1 – allt innehåll bearbetning och kryptografi för verksamheten hanteras i en CPU som stöder en Trusted Execution Environment (TEE).L2 – bara kryptografi för verksamheten hanteras i en TEE.L3 – innehåll bearbetning och kryptografi verksamhet är (avsiktligt) hanteras utanför TEE eller enheten inte har stöd för en TEE.
Tjänsteleverantörer, som Hulu eller Netflix, oftast utför en kontroll av en anordning för att se vad som Widevine DRM nivå de stöd, innan du skickar några faktiska innehåll.
På grund av den varierande skyddsnivåer, som exponerar DRM-krypterat innehåll för attacker, tjänsteleverantörer att leverera ljud-och videoströmmar med varierande kvalitet, med L3 får de lägsta.
Även om det var känt för ett par år Widevine är L3 skydd nivå var den svagaste, ingen fram till i dag, har hittat ett sätt att dekryptera Widevine L3 krypterat innehåll.
Men i dag, Brittiske säkerhetsforskaren David Buchanan gjorde den första sådana anspråk.
“Sååå, efter ett par kvällar av arbete, jag har 100% bruten Widevine L3 DRM,” Buchanan sa på Twitter. “Deras Whitebox AES-128 genomförande är utsatta bra studeras DFA-attacken, som kan användas för att återställa den ursprungliga nyckeln. Då kan du avkoda MPEG-CENC strömmar med vanliga gamla ffmpeg.”
Om än Buchanan gjorde ännu inte släppa någon proof-of-concept-kod, det skulle inte hjälpa någon om han gjorde det.
För att få DRM-krypterade data blob som du vill dekryptera, och en angripare skulle fortfarande behöver “rätt/tillstånd” för att ta emot data klump i första hand.
Om ett Netflix-pirat skulle ha denna rätt (att en kontohavare), sedan hade han mest troligt (ab)använda den till pirate en högre kvalitet version av innehåll, istället för att besvära sig med att dekryptera lågupplöst video och lo-fi-ljud.
Den enda fördelen är när det gäller att automatisera piratkopiering process, men som vissa användare har påpekat, detta är inte särskilt tilltalande i dagens tech-scen där nästan alla enheter kan spela upp HD-mms [1, 2].
För alla syften och ändamål, Buchanan ‘ s hack är enbart ett intressant ämne för forskning som har lyckats med något som många andra experter har bara spekulerade tills nu.
Forskaren sade att han gjorde rapportera problemet till Google. Han sade också att frågan är unfixable, eftersom det är ett designfel och inte en bugg eller sårbarhet.
Googles Widevine är dagens mest populära DRM-tekniken, som används av innehållsleverantörer som Netflix, Hulu, Disney, HBO, Direkttv, Facebook, Showtime, Jio, Sony och mycket mer. Nästan alla plattformar och enheter beslutsfattare att stödja det, till exempel Apple, Samsung, Google, Intel, LG, Roku, Mozilla och andra. Om Google bestämmer sig för att uppdatera Widevine är L3 kryptografi genomförande, korrigerar det skulle vara en betydande och utdragen ansträngning.
pic.twitter.com/Z0K3SKt1kO
— David Buchanan (@David3141593) 3 Januari, 2019
Relaterade täckning:
Nya ReiKey app kan upptäcka macOS keyloggers
EU finansierar bug bounty program för 14 öppen källkod-projekt som startar i januari 2019Google Chrome fel lappat tre år efter den första reportHacker kapar tusentals Chromecasts och smarta Tv-apparater för att spela PewDiePie adHow för att aktivera och testa nya Google Chrome mörk-läge på Windows 10Google Chromes nya UI är fult, och folk är väldigt angryBrave är den förvalda webbläsaren på obskyra HTC crypto-telefon CNETHow att använda Opera Flöde för att synkronisera din stationära och mobila webbläsare TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0