• IT-Karriere:
  • Services:

HTML5 Video: Chrome-Bug hebelt Web-DRM aus

Ein Fehler im DRM-Modul des Chrome-Browsers ermöglicht das Herunterladen von Filmen beim Videostreaming, auch wenn diese eigentlich verschlüsselt sind. Das betroffene Modul lässt sich ebenso in Firefox oder Opera nutzen.

Artikel veröffentlicht am ,
Chrome hat einen schwerwiegenden Fehler in seinem DRM-Modul.
Chrome hat einen schwerwiegenden Fehler in seinem DRM-Modul. (Bild: Google)

In Zusammenarbeit mit den Telekom Innovation Laboratories Berlin haben Forscher des Cyber Security Research Centers der Ben-Gurion-Universität in Israel einen Fehler im DRM-Modul des Chrome-Browsers entdeckt, der es ermöglicht, die Verschlüsselung beim Videostreaming mit Hilfe des sogenannten Web-DRM auszuhebeln. Dadurch lassen sich eigentlich geschützte Filme direkt herunterladen.

Stellenmarkt
  1. Klinikum Hochrhein GmbH, Waldshut-Tiengen
  2. operational services GmbH & Co. KG, verschiedene Standorte

Das als Web-DRM bezeichnete Verfahren ist eine standardisierte Technik, die aus zwei Teilen besteht. Über die Encrypted Media Extensions (EME) kommuniziert das eigentliche DRM-Modul des Browsers mit einem Inhalteanbieter wie Netflix, um einen Schlüsselaustausch oder eine Lizenzüberprüfung durchzuführen. Das Content Decryption Module (CDM) entschlüsselt schließlich den Stream und bietet diesen so an, dass Nutzer keinen direkt Zugriff auf die Ursprungsdatei haben, etwa eine MP4-Datei.

Details noch nicht bekannt

Doch eben dieser Zugriff ist nun offenbar durch einen Fehler in der Implementierung von EME/CDM in Chrome doch möglich. Zum Beweis haben die Forscher ein Video online gestellt, in dem sie das Ausnutzen der Lücken demonstrieren. Dem US-Magazin Wired sagte einer der Beteiligten, dass der Fehler recht einfach sei. Darüber hinaus sei der Bug wohl schon seit der Integration des CDM-Moduls in Chrome vorhanden.

Details dazu sollen innerhalb einer üblichen 90-Tage-Frist vorerst allerdings nicht genannt werden. Darüber hinaus heißt es, der Fehler könne wohl leicht durch einen Chrome-Patch gelöst werden. Dazu müssten die von dem CDM entschlüsselten Inhalte wohl in einem speziell geschützten Speicherbereich abgelegt werden, so dass diese nicht von außen mitgeschnitten werden können.

Das in Chrome genutzte CDM-Modul mit dem Namen Widevine hat Google nicht selbst entwickelt, sondern im Jahr 2010 gekauft. Widevine lässt sich in den auf dem Chrome-Code aufbauenden Opera-Browser ebenso wie im Firefox-Browser als CDM nutzen. Alternative Techniken sind das von Adobe angebotene Primetime oder Microsofts Play Ready.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu den Golem-PCs bei Alternate
Zu den Kommentaren springen
Meistgelesen
  1. H.266 alias VVC
    Schön, langsam, Zukunft ungewiss
  2. Flight Simulator
    Komplett simulierter Dreamliner nur in teuerster Version
  3. Elektroauto
    Der VW ID.3 kann ab 20.7. bestellt werden
  4. Monitore
    4K und 144 Hertz sind kein schlechter Scherz
  5. Raumfahrt
    Deutschland soll einen Raketenstartplatz bekommen
Anzeige
Hardware-Angebote
Kommentarübersicht
Re: Die Content-Industrie sollte aufhorchen!
TheUnichi 28. Jun 2016

Warum sollte WebRTC dafür nicht hinhalten können? "Encryption is mandatory for all...

Finde ich nicht so schlimm
Stimmy 27. Jun 2016

Mal ehrlich: Wer einen Stream wirklich mitschneiden und auf irgendwelche Download-Portale...

Das Netflix-Offline kam aber ganz schön schnell.
4edebd0f81eeffc... 27. Jun 2016

Kaum kündigt golem.de Netflix-Offline für dieses Jahr an, ist es auch schon da.

Re: Altes Plugin-Version erst einmal sichern
TC 27. Jun 2016

Gut, dann brauch ich das nicht auch noch machen ;)

Folgen Sie uns
       
The Last of Us 2 - Fazit

Überleben in der Postapokalypse: Im Actionspiel The Last of Us 2 erkunden wir mit der jungen Frau Ellie unter anderem die Stadt Seattle - und sinnen auf Rache für einen Mord.

The Last of Us 2 - Fazit Video aufrufen
KI
KI-Startup: Regierung bestätigt Treffen mit Augustus Intelligence
KI-Startup
Regierung bestätigt Treffen mit Augustus Intelligence

Der CDU-Politiker Amthor fungierte als Lobbyist für das KI-Startup Augustus Intelligence. Warum sich die Regierung mit der Firma traf, ist weiter unklar.
Ein Bericht von Friedhelm Greis

  1. Texterkennung OpenAIs API beantwortet "Warum ist Brot so fluffig?"
  2. Cornonavirus Instagram macht Datensatz für Maskenerkennung ungültig
  3. KI Software erfindet Wörter und passende Definitionen dazu
Rollenspiel
Ultima 6 - The False Prophet: Als Britannia Farbe bekannte
Ultima 6 - The False Prophet
Als Britannia Farbe bekannte

Zum 30. Geburtstag von Ultima 6 habe ich den Rollenspielklassiker wieder gespielt - und war überrascht, wie anders ich das Spiel heutzutage wahrnehme.
Ein Erfahrungsbericht von Andreas Altenheimer

  1. Pathfinder 2 angespielt Abenteuer als wohlwollender Engel oder rasender Dämon
  2. 30 Jahre Champions of Krynn Rückkehr ins Reich der Drachen und Drakonier
  3. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale
Bluetooth-Hörstöpsel
Bluetooth-Hörstöpsel mit ANC im Test: Den Airpods Pro hat die Konkurrenz nichts entgegenzusetzen
Bluetooth-Hörstöpsel mit ANC im Test
Den Airpods Pro hat die Konkurrenz nichts entgegenzusetzen

Die Airpods Pro haben neue Maßstäbe bei Bluetooth-Hörstöpseln gesetzt. Sennheiser und Huawei ziehen mit True Wireless In-Ears mit ANC nach, ohne eine Antwort auf die besonderen Vorzüge des Apple-Produkts zu haben.
Ein Test von Ingo Pakalski

  1. Bluetooth-Hörstöpsel Google will Klangprobleme beseitigen, Microsoft nicht
  2. Bluetooth-Hörstöpsel Aldi bringt Airpods-Konkurrenz für 25 Euro
  3. Bluetooth-Hörstöpsel Oppos Airpods-Alternative kostet 80 Euro
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /