Kodi, VLC e Popcorn Time podem ser vulneráveis por causa das Legendas

Legendas de filmes e séries normalmente são vistas como simples e inofensivos ficheiros de texto, mas os mesmos podem ter códigos maliciosos escondidos. Algumas aplicações muito conhecidas e usadas globalmente, como o VLC, Kodi e Popcorn Time, estão sujeitos a uma falha de segurança que permite a um utilizador mal intencionado obter o controlo total do seu dispositivo.

Kodi, VLC e Popcorn Time podem ser vulneráveis por causa das Legendas image

A vulnerabilidade foi descoberta pela empresa de segurança CheckPoint, que estima que aproximadamente 200 milhões de utilizadores já foram afetados — a versão 2.2.4 do VLC para Windows, por exemplo, tem 171 milhões de downloads. Ao executar uma legenda maliciosa, o a aplicação permite o controlo remoto do PC, o que pode resultar em roubo de informações, instalação de ransomwares e ataques de negação de serviço.

Kodi, VLC e Popcorn Time podem ser vulneráveis por causa das Legendas image

Se utiliza os players apenas para assistir a filmes que já possuem legendas embutidas, então não corre este risco, mas pode ser afetado se fizer download de legendas em sites de terceiros. Além disso, alguns softwares fazem downloads automáticos em repositórios como o OpenSubtitles.org. Ao manipular o ranking desses sites, é possível fazer com que uma legião de utilizadores faça download de código malicioso, sem terem conhecimento.

Foi publicado um vídeo onde mostra o conceito do ataque:

O problema é causado, segundo a CheckPoint, devido à baixa segurança em vários players e ao alto número de formatos de legendas no mercado: há mais de 25 tipos em utilização. Sem um padrão estabelecido, os softwares necessitam de interpretar todos os formatos, cada um com um método diferente, o que acaba por abrir espaço para vulnerabilidades como esta.

Para sua segurança, atualize as suas aplicações. O VLC já disponibilizou a versão 2.2.5.1, que corrige essa falha, bem como o Popcorn Time. O Kodi, antigo XBMC, ainda não foi atualizado.



Fique atento à nossa página do Facebook e Twitter para obter as notícias em primeira mão.

Comentários estão fechados.