Zero
Immagine: Widevine team
Un Britannico ricercatore di sicurezza ha rotto il L3 livello di protezione di Google Widevine di gestione dei diritti digitali (DRM), la tecnologia. L’hack è possibile consentire al ricercatore di decifrare il contenuto trasferito tramite DRM di flussi multimediali.
Mentre la “rottura di Google DRM” suona molto fresco, l’hack non è in grado di alimentare una massiccia pirateria onda. Il motivo è che l’hack funziona solo contro Widevine L3 flussi, e non di L2 e L1, che sono quelli che portano alta qualità audio e video.
Qualsiasi utente che rompe una Widevine L3 stream sarebbe solo ottenere l’accesso a granulosa video di bassa qualità e lo-fi audio.
Molte di sicurezza e crittografia esperti non erano sorpresi dal Widevine L3 hack, come L3 livello di protezione è il più basso.
Google ha progettato il suo Widevine la tecnologia DRM per lavoro su tre livelli di protezione dati –L1, L2 e L3– ogni utilizzabile in varie situazioni. Secondo Google docs, le differenze tra i tre livelli di protezione è come segue:
L1 – tutti i contenuti di elaborazione di crittografia e le operazioni sono gestite all’interno di una CPU che supporta un Trusted Execution Environment (TEE).L2 – solo la crittografia operazioni sono gestite all’interno di un TEE.L3 – elaborazione dei contenuti di crittografia e le operazioni sono (volutamente) gestiti al di fuori di un TEE, o il dispositivo non supporta un TEE.
Fornitori, come Hulu o Netflix, di solito eseguire un controllo di un dispositivo per vedere cosa Widevine DRM livello di supporto, prima di inviare qualsiasi contenuto effettivo.
A causa dei diversi livelli di sicurezza, che espone il DRM-il contenuto crittografato per gli attacchi ai service provider di offrire i flussi audio e video, con diversi livelli di qualità, con L3 ricevere più basso.
Mentre era noto per un paio di anni che Widevine s L3 livello di protezione è stata la più debole, nessuno fino ad oggi ha trovato un modo per decriptare Widevine L3 contenuto crittografato.
Tuttavia, oggi, di sicurezza Britannica ricercatore David Buchanan ha fatto il primo di tali pretese.
“Soooo, dopo un paio di serate di lavoro, ho il 100% rotto Widevine L3 DRM,” Buchanan ha detto su Twitter. “Loro Whitebox AES-128 attuazione è vulnerabile a ben studiato DFA attacco, che può essere utilizzato per recuperare la chiave originale. Quindi è possibile decrittografare i file MPEG-CENC con i flussi pianura vecchio ffmpeg.”
Anche se Buchanan non ha ancora comunicato alcuna prova-del-concetto di codice, non sarebbe di aiuto a nessuno ha fatto.
Al fine di ottenere il DRM crittografato di dati blob che si desidera decrittografare, un utente malintenzionato avrebbe ancora bisogno di “destra/autorizzazione” per ricevere il blob di dati, in primo luogo.
Se Netflix pirata avrebbe questo diritto (di essere titolare di un conto), quindi aveva più probabile (ab)uso pirata di una versione di alta qualità dei contenuti, invece di preoccuparsi per decifrare low-res e lo-fi audio.
L’unico vantaggio è per quanto riguarda l’automazione la pirateria processo, ma come alcuni utenti hanno fatto notare, questo non è molto attraente oggi tech scena in cui quasi tutti i dispositivi sono in grado di riprodurre HD multimediale [1, 2].
Per tutti gli effetti, Buchanan trucco è puramente un interessante tema di ricerca, che ha raggiunto un obiettivo che molti altri esperti hanno solo ipotizzato fino ad ora.
Il ricercatore ha detto che ha fatto segnalare il problema a Google. Egli ha anche detto che il problema è insanabili, come se fosse un difetto di progettazione e non di un bug o vulnerabilità.
Google Widevine è più popolare di oggi la tecnologia DRM, utilizzato dai fornitori di contenuti come Netflix, Hulu, Disney, HBO, DirectTV, Facebook, Showtime, Jio, Sony e di più. Quasi tutte le piattaforme hardware e produttori di dispositivi di supporto, come Apple, Samsung, Google, Intel, LG, Roku, Mozilla e altri. Se Google decide di aggiornare Widevine s L3 crittografia di attuazione, l’applicazione di patch, sarebbe un notevole e prolungato sforzo.
pic.twitter.com/Z0K3SKt1kO
— David Buchanan (@David3141593) 3 Gennaio 2019
Relativi copertura:
Nuovo ReiKey app in grado di rilevare macOS keylogger
UE a fondo bug bounty programmi per 14 progetti open source a partire da gennaio 2019Google Chrome difetto patchato tre anni dopo l’iniziale reportHacker dirotta migliaia di Chromecasts e smart Tv per giocare PewDiePie adHow per attivare e provare il nuovo Google Chrome dark mode su Windows 10Google Chrome nuova interfaccia utente è brutto, e le persone sono molto angryBrave è il browser predefinito sul oscuro HTC crypto-telefono CNETHow ad Opera del Flusso di sincronizzazione del desktop e del browser mobile di TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0