• IT-Karriere:
  • Services:

HTML5 Video: Chrome-Bug hebelt Web-DRM aus

Ein Fehler im DRM-Modul des Chrome-Browsers ermöglicht das Herunterladen von Filmen beim Videostreaming, auch wenn diese eigentlich verschlüsselt sind. Das betroffene Modul lässt sich ebenso in Firefox oder Opera nutzen.

Artikel veröffentlicht am ,
Chrome hat einen schwerwiegenden Fehler in seinem DRM-Modul.
Chrome hat einen schwerwiegenden Fehler in seinem DRM-Modul. (Bild: Google)

In Zusammenarbeit mit den Telekom Innovation Laboratories Berlin haben Forscher des Cyber Security Research Centers der Ben-Gurion-Universität in Israel einen Fehler im DRM-Modul des Chrome-Browsers entdeckt, der es ermöglicht, die Verschlüsselung beim Videostreaming mit Hilfe des sogenannten Web-DRM auszuhebeln. Dadurch lassen sich eigentlich geschützte Filme direkt herunterladen.

Stellenmarkt
  1. Deloitte, Leipzig
  2. Melitta Business Service Center GmbH & Co. KG, Minden

Das als Web-DRM bezeichnete Verfahren ist eine standardisierte Technik, die aus zwei Teilen besteht. Über die Encrypted Media Extensions (EME) kommuniziert das eigentliche DRM-Modul des Browsers mit einem Inhalteanbieter wie Netflix, um einen Schlüsselaustausch oder eine Lizenzüberprüfung durchzuführen. Das Content Decryption Module (CDM) entschlüsselt schließlich den Stream und bietet diesen so an, dass Nutzer keinen direkt Zugriff auf die Ursprungsdatei haben, etwa eine MP4-Datei.

Details noch nicht bekannt

Doch eben dieser Zugriff ist nun offenbar durch einen Fehler in der Implementierung von EME/CDM in Chrome doch möglich. Zum Beweis haben die Forscher ein Video online gestellt, in dem sie das Ausnutzen der Lücken demonstrieren. Dem US-Magazin Wired sagte einer der Beteiligten, dass der Fehler recht einfach sei. Darüber hinaus sei der Bug wohl schon seit der Integration des CDM-Moduls in Chrome vorhanden.

Details dazu sollen innerhalb einer üblichen 90-Tage-Frist vorerst allerdings nicht genannt werden. Darüber hinaus heißt es, der Fehler könne wohl leicht durch einen Chrome-Patch gelöst werden. Dazu müssten die von dem CDM entschlüsselten Inhalte wohl in einem speziell geschützten Speicherbereich abgelegt werden, so dass diese nicht von außen mitgeschnitten werden können.

Das in Chrome genutzte CDM-Modul mit dem Namen Widevine hat Google nicht selbst entwickelt, sondern im Jahr 2010 gekauft. Widevine lässt sich in den auf dem Chrome-Code aufbauenden Opera-Browser ebenso wie im Firefox-Browser als CDM nutzen. Alternative Techniken sind das von Adobe angebotene Primetime oder Microsofts Play Ready.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

TheUnichi 28. Jun 2016

Warum sollte WebRTC dafür nicht hinhalten können? "Encryption is mandatory for all...

Stimmy 27. Jun 2016

Mal ehrlich: Wer einen Stream wirklich mitschneiden und auf irgendwelche Download-Portale...

4edebd0f81eeffc... 27. Jun 2016

Kaum kündigt golem.de Netflix-Offline für dieses Jahr an, ist es auch schon da.

TC 27. Jun 2016

Gut, dann brauch ich das nicht auch noch machen ;)


Folgen Sie uns
       


Honda E Probe gefahren

Der Honda E ist ein Elektro-Kleinwagen, dessen Design an alte Honda-Modelle aus den 1970er Jahren erinnert.

Honda E Probe gefahren Video aufrufen
Raumfahrt: Die Nasa sucht Zukunftsvisionen
Raumfahrt
Die Nasa sucht Zukunftsvisionen

Mit NIAC fördert die Nasa jedes Jahr Projekte zwischen neuer Technik und schlechter Science Fiction. Ein Überblick.
Von Frank Wunderlich-Pfeiffer

  1. MISSION ARTEMIS 1 Triebwerkstest von SLS Mondrakete gescheitert
  2. Raumfahrt Raumsonde verlor Asteroidenmaterial
  3. Astronomie Nasa will Teleskop an einem Ballon aufsteigen lassen

Börse: Was zur Hölle ist ein SPAC?
Börse
Was zur Hölle ist ein SPAC?

SPACs sind die neue Modewelle an der Börse: Firmen, die es eigentlich nicht könnten, gehen unter dem Mantel einer anderen Firma an die Börse. Golem.de hat unter den Mantel geschaut.
Eine Analyse von Achim Sawall

  1. Wallstreetbets Trade Republic entschuldigt sich für Probleme mit Gamestop
  2. Tokyo Stock Exchange Hardware-Ausfall legte Tokioter Börse lahm

Mobilfunk: Das Sicherheitsproblem heißt nicht 5G
Mobilfunk
Das Sicherheitsproblem heißt nicht 5G

Mit dem 5G-Standard ist der Sicherheitsforscher Karsten Nohl zufrieden. Die Sicherheitsprobleme im Mobilfunk haben eine andere Ursache.
Ein Interview von Moritz Tremmel

  1. Bundesnetzagentur Immer mehr nicht öffentliche Campusnetze in Deutschland
  2. 5G SA Telekom errichtet ersten 5G-Standalone-Standort
  3. Deutsche Messe Riesiges 5G-Campus-Netz für Hannover von Huawei entsteht

    •  /