Nul
Billede: Widevine team
En Britisk sikkerheds-forsker har knækket L3 beskyttelse niveau af Google ‘ s Widevine DRM (digital rights management) teknologi. Hack kan gøre det muligt for forskeren at dekryptere indhold, der overføres via DRM-beskyttet mms-streams.
Mens “cracking Google ‘ s DRM” lyder meget cool, hack er ikke sandsynligt, at brændstof en massiv piratkopiering bølge. Årsagen er, at hack virker kun mod Widevine L3 vandløb, og ikke L2 og L1, som er dem, der foretager høj kvalitet lyd og video data.
Enhver bruger, der revner en Widevine L3 strøm vil kun få adgang til grynede video af lav kvalitet og lo-fi-lyd.
Mange-sikkerhed og kryptografi eksperter var ikke overraskede over Widevine L3 hack, som L3 beskyttelse niveau er det laveste.
Google udviklet sin Widevine DRM-teknologi til at arbejde med tre databeskyttelse niveauer-L1, L2, og L3-hver anvendelige i forskellige scenarier. Ifølge Google docs, der forskelle mellem de tre beskyttelse niveauer er som følger:
L1 – alt indhold, behandling og kryptografiske operationer håndteres i en CPU, der understøtter en Trusted Execution Environment (TEE).L2 – kun kryptografiske operationer håndteres i en TEE.L3 – indhold forarbejdning og kryptografiske operationer er (med vilje) håndteres uden for en TEE, eller hvis enheden ikke understøtter en TEE.
Udbydere, såsom Hulu eller Netflix, normalt udføre et check af en enhed for at se, hvad Widevine DRM-niveau, de støtter, før du sender nogen faktiske indhold.
På grund af de forskellige sikringsniveauer, som udsætter DRM-krypteret indhold til angreb, udbydere kan levere lyd og video-streams med varierende kvalitet niveauer, med L3, der modtager de laveste.
Mens det var kendt i et par år, at Widevine s L3 beskyttelse niveau, der var den svageste, ingen indtil denne dag har fundet en måde at dekryptere Widevine L3 krypteret indhold.
Men i dag, Britisk sikkerheds-forsker David Buchanan gjorde det første, at et sådant krav.
“Sååå, efter et par aftener på arbejde, jeg har 100% brudt Widevine L3 DRM,” Buchanan sagde på Twitter. “Deres Whitebox AES-128 gennemførelse er sårbare over for den vel-studeret DFA-angreb, som kan bruges til at gendanne den oprindelige nøgle. Så du kan dekryptere MPEG-CENC vandløb med almindelig gammel ffmpeg.”
Omend Buchanan endnu ikke frigive nogen proof-of-concept kode, det ville ikke hjælpe nogen, hvis han gjorde.
For at få den DRM-krypterede data blob, at du vil dekryptere, og en angriber ville stadig brug for “højre/tilladelse” til at modtage data blob i første omgang.
Hvis en Netflix pirate ville have ret til det (at blive en kontoindehaver), så ville han højst sandsynligt (ab)brug den til at pirate en højere kvalitet version af indhold, i stedet for at bekymre sig om at dekryptere low-res video og lo-fi-lyd.
Den eneste fordel er, i forhold til at automatisere piratkopiering proces, men som nogle brugere har påpeget, at dette ikke er meget tiltalende i dagens tech scene, hvor næsten alle enheder, der er i stand til at afspille HD-mms [1, 2].
For alle hensigter og formål, Buchanan ‘ s hack er udelukkende et interessant emne for forskning, der har opnået noget, som mange andre eksperter, der er kun spekulationer, indtil nu.
Forskeren sagde, at han gjorde rapportere problemet til Google. Han sagde også, spørgsmålet er unfixable, som det er en designfejl og ikke en fejl eller sårbarhed.
Google ‘ s Widevine er i dag mest populære DRM-teknologi, der benyttes af indholdsudbydere såsom Netflix, Hulu, Disney, HBO, DirectTV, Facebook, Showtime, Jio, Sony og meget mere. Næsten alle hardware-platforme og enheden beslutningstagere støtte det, som Apple, Samsung, Google, Intel, LG, Roku, Mozilla og andre. Hvis Google beslutter sig for at opdatere Widevine s L3 kryptografi gennemførelse, lappe det ville være en stor og langtrukken indsats.
pic.twitter.com/Z0K3SKt1kO
— David Buchanan (@David3141593) 3 Januar 2019
Relaterede dækning:
Nye ReiKey app kan registrere macOS keyloggers
EU til at finansiere bug bounty-programmer for 14 open source-projekter, der starter januar 2019Google Chrome fejl lappet tre år efter første reportHacker kaprer tusindvis af Chromecasts og smart Tv til at spille PewDiePie adHow for at aktivere og for at teste den nye Google Chrome mørke tilstand på Windows 10Google Chrome nye UI er grimme, og folk er meget angryBrave er standard browser på obskure HTC crypto-telefon CNETHow at bruge Opera er Flow til at synkronisere din desktop og mobile browsere, TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0