海盗与好莱坞之间的战争可能会再次打响!然而,电影公司发现了 DRM(数字版权管理)技术的强大武器,可以防止电影的非法复制和发行。谷歌的 Chrome 浏览器没有出现错误。两名安全研究人员发现,可以利用此缺陷拦截 Netflix 和 Amazon Prime 等网站在 Chrome 上提供的视频。在下面的视频中,以色列本古里安大学的 David Livshits 和柏林电信创新实验室的 Alexandra Mikityuk 证明了他们的观点。
该视频显示了运行 Windows 7 并使用 Chrome 浏览器版本 50 的计算机的屏幕。受 DRM 保护的视频(可在 demo.castlabs.com 网站上访问)在播放期间被捕获,然后以压缩 (H.264) 和未压缩版本保存在硬盘上。然后保存的视频由另一个媒体播放器播放。
该问题来自 Widevine 技术,该技术自 2010 年起归 Google 子公司所有,Chrome 浏览器使用该技术来分发受保护的视频。特别是,内容解密模块 (CDM) 没有得到适当的保护。密钥和许可证交换后,受保护的视频由 CDM 模块解密,然后传输到浏览器的视频播放器。对于 Chrome,这种传输并不安全,因此可能会被拦截以保存视频。
一个非常简单的缺陷需要纠正
两位研究人员于 5 月 24 日向谷歌发出了有关此错误的警报,他们称该错误“非常简单”,但没有透露细节。谷歌尚未宣布修复方案,但 Livshits 和 Mikityuk 相信该缺陷可以轻松修复。为此,必须修改CDM模块的使用,使其运行在受保护的内存区域(可信执行环境)中,从而使视频无法被截获。
请注意,火狐和 Opera 浏览器也使用了 Widevine 保护技术,但研究人员尚未验证该缺陷是否存在。苹果的Safari和微软的Internet Explorer/Edge不使用Widevine,而是使用他们自己的CDM模块。
据《连线》网站报道,谷歌发言人回应称,正在检查该问题,但也涉及所有由开源 Chromium 代码设计的浏览器,其中 Chrome 是其中的一个变体。显然,并不是因为 Google 纠正了 Chrome 中的问题,开发人员就无法设计利用该错误的浏览器。但不能排除,如果发生重大黑客攻击,受保护视频的提供商将向谷歌施压,要求其快速解决目前最常用浏览器 Chrome 上的问题。
