Legendas de filmes e séries normalmente são vistas como simples e inofensivos ficheiros de texto, mas os mesmos podem ter códigos maliciosos escondidos. Algumas aplicações muito conhecidas e usadas globalmente, como o VLC, Kodi e Popcorn Time, estão sujeitos a uma falha de segurança que permite a um utilizador mal intencionado obter o controlo total do seu dispositivo.
A vulnerabilidade foi descoberta pela empresa de segurança CheckPoint, que estima que aproximadamente 200 milhões de utilizadores já foram afetados — a versão 2.2.4 do VLC para Windows, por exemplo, tem 171 milhões de downloads. Ao executar uma legenda maliciosa, o a aplicação permite o controlo remoto do PC, o que pode resultar em roubo de informações, instalação de ransomwares e ataques de negação de serviço.
Se utiliza os players apenas para assistir a filmes que já possuem legendas embutidas, então não corre este risco, mas pode ser afetado se fizer download de legendas em sites de terceiros. Além disso, alguns softwares fazem downloads automáticos em repositórios como o OpenSubtitles.org. Ao manipular o ranking desses sites, é possível fazer com que uma legião de utilizadores faça download de código malicioso, sem terem conhecimento.
Foi publicado um vídeo onde mostra o conceito do ataque:
O problema é causado, segundo a CheckPoint, devido à baixa segurança em vários players e ao alto número de formatos de legendas no mercado: há mais de 25 tipos em utilização. Sem um padrão estabelecido, os softwares necessitam de interpretar todos os formatos, cada um com um método diferente, o que acaba por abrir espaço para vulnerabilidades como esta.
Para sua segurança, atualize as suas aplicações. O VLC já disponibilizou a versão 2.2.5.1, que corrige essa falha, bem como o Popcorn Time. O Kodi, antigo XBMC, ainda não foi atualizado.
Todos os dias vos trazemos dezenas de notícias sobre o mundo Android em Português. Sigam-nos no Google Notícias. Cliquem aqui e depois em Seguir. Obrigado! |
O AndroidGeek é um portal de partilha e divulgação ANDROID que surgiu como a evolução natural de vários projectos de sucesso. Aqui é TUDO ANDROID, SEMPRE ANDROID!
Quer colaborar connosco? Envie a sua candidatura para o e-mail: geral[arroba]androidgeek.pt Não se preocupe, não precisa ser um expert,basta ser apaixonado por Android
Post anterior