Abo
  • Services:
Anzeige
Chrome hat einen schwerwiegenden Fehler in seinem DRM-Modul.
Chrome hat einen schwerwiegenden Fehler in seinem DRM-Modul. (Bild: Google)

HTML5 Video: Chrome-Bug hebelt Web-DRM aus

Chrome hat einen schwerwiegenden Fehler in seinem DRM-Modul.
Chrome hat einen schwerwiegenden Fehler in seinem DRM-Modul. (Bild: Google)

Ein Fehler im DRM-Modul des Chrome-Browsers ermöglicht das Herunterladen von Filmen beim Videostreaming, auch wenn diese eigentlich verschlüsselt sind. Das betroffene Modul lässt sich ebenso in Firefox oder Opera nutzen.

In Zusammenarbeit mit den Telekom Innovation Laboratories Berlin haben Forscher des Cyber Security Research Centers der Ben-Gurion-Universität in Israel einen Fehler im DRM-Modul des Chrome-Browsers entdeckt, der es ermöglicht, die Verschlüsselung beim Videostreaming mit Hilfe des sogenannten Web-DRM auszuhebeln. Dadurch lassen sich eigentlich geschützte Filme direkt herunterladen.

Anzeige

Das als Web-DRM bezeichnete Verfahren ist eine standardisierte Technik, die aus zwei Teilen besteht. Über die Encrypted Media Extensions (EME) kommuniziert das eigentliche DRM-Modul des Browsers mit einem Inhalteanbieter wie Netflix, um einen Schlüsselaustausch oder eine Lizenzüberprüfung durchzuführen. Das Content Decryption Module (CDM) entschlüsselt schließlich den Stream und bietet diesen so an, dass Nutzer keinen direkt Zugriff auf die Ursprungsdatei haben, etwa eine MP4-Datei.

Details noch nicht bekannt

Doch eben dieser Zugriff ist nun offenbar durch einen Fehler in der Implementierung von EME/CDM in Chrome doch möglich. Zum Beweis haben die Forscher ein Video online gestellt, in dem sie das Ausnutzen der Lücken demonstrieren. Dem US-Magazin Wired sagte einer der Beteiligten, dass der Fehler recht einfach sei. Darüber hinaus sei der Bug wohl schon seit der Integration des CDM-Moduls in Chrome vorhanden.

Details dazu sollen innerhalb einer üblichen 90-Tage-Frist vorerst allerdings nicht genannt werden. Darüber hinaus heißt es, der Fehler könne wohl leicht durch einen Chrome-Patch gelöst werden. Dazu müssten die von dem CDM entschlüsselten Inhalte wohl in einem speziell geschützten Speicherbereich abgelegt werden, so dass diese nicht von außen mitgeschnitten werden können.

Das in Chrome genutzte CDM-Modul mit dem Namen Widevine hat Google nicht selbst entwickelt, sondern im Jahr 2010 gekauft. Widevine lässt sich in den auf dem Chrome-Code aufbauenden Opera-Browser ebenso wie im Firefox-Browser als CDM nutzen. Alternative Techniken sind das von Adobe angebotene Primetime oder Microsofts Play Ready.


eye home zur Startseite
TheUnichi 28. Jun 2016

Warum sollte WebRTC dafür nicht hinhalten können? "Encryption is mandatory for all...

Stimmy 27. Jun 2016

Mal ehrlich: Wer einen Stream wirklich mitschneiden und auf irgendwelche Download-Portale...

4edebd0f81eeffc... 27. Jun 2016

Kaum kündigt golem.de Netflix-Offline für dieses Jahr an, ist es auch schon da.

TC 27. Jun 2016

Gut, dann brauch ich das nicht auch noch machen ;)



Anzeige

Stellenmarkt
  1. über JobLeads GmbH, Berlin
  2. Thalia Bücher GmbH, Hagen (Raum Dortmund)
  3. Stephanus Stiftung, Berlin
  4. MediaMarktSaturn IT Solutions, Ingolstadt


Anzeige
Hardware-Angebote
  1. ab 224,90€ bei Caseking gelistet
  2. 17,99€ statt 29,99€
  3. (täglich neue Deals)

Folgen Sie uns
       


  1. Spracheingabe

    Nuki-Smart-Lock lässt sich mit Alexa öffnen

  2. Mediendienste-Richtlinie

    Youtuber sollen keine Schleichwerbung mehr machen dürfen

  3. Hannover Messe und Cebit

    Die Deutsche Bahn ärgert Messebesucher

  4. LTE

    Australien setzt auf Fixed Wireless mit 1 GBit/s

  5. Ultrastar He12

    HGST liefert seine 12-Terabyte-Festplatte aus

  6. Windows 10 Mobile

    Creators Update für Smartphones wird verteilt

  7. Europa

    700-MHz-Band soll Mobilfunk verbessern

  8. Altes Protokoll

    Debian-Projekt stellt FTP-Server ein

  9. Webserver

    Nginx 1.13 erscheint mit TLS-1.3-Support

  10. Europäischer Gerichtshof

    Streaming aus illegalen Quellen ist rechtswidrig



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt

OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
OWASP Top 10
Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  1. Malware Schadsoftware bei 1.200 Holiday-Inn- und Crowne-Plaza-Hotels
  2. Zero Day Exploit Magento-Onlineshops sind wieder gefährdet
  3. Staatstrojaner Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

  1. Re: Machen die jetzt dasselbe?

    Stefan99 | 17:37

  2. Re: Völliger Bullshit

    neocron | 17:37

  3. Re: Welcher Messebesucher nutzt denn...

    as (Golem.de) | 17:35

  4. Re: Selber machen?!

    honna1612 | 17:35

  5. Re: Thermomix für Kaffee?

    Dwalinn | 17:34


  1. 17:46

  2. 17:20

  3. 17:01

  4. 16:37

  5. 16:14

  6. 14:56

  7. 14:38

  8. 14:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel