นักวิจัยด้านความปลอดภัยสองคนได้แสดงให้เห็นว่าสามารถบันทึกวิดีโอที่ได้รับการปกป้องด้วยเทคโนโลยี Widevine DRM ขณะสตรีมมิ่งใน Chrome ได้
สงครามระหว่างโจรสลัดและฮอลลีวูดอาจเริ่มต้นขึ้นอีกครั้ง! อย่างไรก็ตาม สตูดิโอทั้งสองได้พบอาวุธที่น่าเกรงขามซึ่งมี DRM (Digital Rights Management) ซึ่งเป็นเทคโนโลยีเพื่อป้องกันการคัดลอกและจำหน่ายภาพยนตร์อย่างผิดกฎหมาย สิ่งนี้ไม่มีข้อบกพร่องในเบราว์เซอร์ Chrome ของ Google นักวิจัยด้านความปลอดภัยสองคนค้นพบว่ามีความเป็นไปได้ที่จะใช้ประโยชน์จากข้อบกพร่องนี้เพื่อสกัดกั้นวิดีโอที่แสดงบน Chrome โดยไซต์ต่างๆ เช่น Netflix และ Amazon Prime ในวิดีโอด้านล่าง David Livshits จาก Ben-Gurion University ในอิสราเอล และ Alexandra Mikityuk จาก Telekom Innovation Labs ในเบอร์ลินให้หลักฐานยืนยันประเด็นของพวกเขา
วิดีโอนี้แสดงหน้าจอคอมพิวเตอร์ที่ใช้ Windows 7 โดยใช้เบราว์เซอร์ Chrome เวอร์ชัน 50 วิดีโอที่ป้องกันโดย DRM (เข้าถึงได้บนเว็บไซต์ demo.castlabs.com) จะถูกบันทึกระหว่างการเล่น จากนั้นจึงบันทึกลงในฮาร์ดไดรฟ์ในเวอร์ชันบีบอัด (H.264) และเวอร์ชันที่ไม่มีการบีบอัด จากนั้นวิดีโอที่บันทึกไว้จะถูกเล่นโดยเครื่องเล่นสื่ออื่น
ปัญหามาจากเทคโนโลยี Widevine ซึ่งเป็นเจ้าของโดยบริษัทในเครือของ Google ตั้งแต่ปี 2010 และ Chrome ใช้เพื่อเผยแพร่วิดีโอที่ได้รับการคุ้มครอง โดยเฉพาะอย่างยิ่ง Content Decryption Module (CDM) ไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม หลังจากการแลกเปลี่ยนคีย์และใบอนุญาต วิดีโอที่ได้รับการป้องกันจะถูกถอดรหัสโดยโมดูล CDM จากนั้นจึงถ่ายโอนไปยังเครื่องเล่นวิดีโอของเบราว์เซอร์ เมื่อใช้ Chrome การส่งข้อมูลนี้จะไม่ปลอดภัย ดังนั้นจึงอาจถูกดักจับเพื่อบันทึกวิดีโอได้
ข้อบกพร่องที่ง่ายมากในการแก้ไข
นักวิจัยทั้งสองได้แจ้งเตือน Google เมื่อวันที่ 24 พฤษภาคมเกี่ยวกับข้อผิดพลาดนี้ ซึ่งพวกเขาอธิบายว่า "ง่ายมาก" โดยไม่เปิดเผยรายละเอียด Google ยังไม่ได้ประกาศการแก้ไข แต่ Livshits และ Mikityuk เชื่อว่าข้อบกพร่องสามารถเสียบปลั๊กได้อย่างง่ายดาย ในการดำเนินการนี้ คุณต้องแก้ไขการใช้โมดูล CDM เพื่อให้โมดูลทำงานในพื้นที่หน่วยความจำที่ได้รับการป้องกัน (Trusted Execution Environment) เพื่อไม่ให้วิดีโอถูกดักจับได้
โปรดทราบว่าเบราว์เซอร์ Firefox และ Operaใช้เทคโนโลยีการป้องกัน Widevine ด้วย แต่นักวิจัยยังไม่ได้ตรวจสอบว่ามีข้อบกพร่องหรือไม่ Safari ของ Apple และ Internet Explorer/Edge ของ Microsoft ไม่ได้ใช้ Widevine แต่เป็นโมดูล CDM ของตัวเอง
ตามเว็บไซต์ Wired โฆษกของ Google ตอบว่าปัญหากำลังได้รับการตรวจสอบ แต่ยังเกี่ยวข้องกับเบราว์เซอร์ทั้งหมดที่ออกแบบจากโค้ด Chromium แบบโอเพ่นซอร์ส ซึ่งมี Chrome เป็นรูปแบบหนึ่ง เห็นได้ชัดว่าไม่ใช่เพราะ Google ได้แก้ไขปัญหาใน Chrome แล้วนักพัฒนาจึงไม่สามารถออกแบบเบราว์เซอร์ที่ใช้ประโยชน์จากข้อบกพร่องได้ แต่ก็ไม่อาจปฏิเสธได้ว่าผู้ให้บริการวิดีโอที่ได้รับการป้องกันจะกดดันให้ Google แก้ไขปัญหาอย่างรวดเร็วบน Chrome ซึ่งเป็นเบราว์เซอร์ที่ใช้มากที่สุดในปัจจุบัน หากเกิดการแฮ็กครั้งใหญ่
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
