Abo
  • IT-Karriere:

VLC, Kodi, Popcorn Time: Mediaplayer können über Untertitel gehackt werden

Untertitel sind praktisch, um Filme in einer fremden Sprache zu sehen oder eine andere Sprache zu lernen. Doch die Art und Weise, wie Mediaplayer damit umgehen, ist offenbar alles andere als sicher - bis jetzt.

Artikel veröffentlicht am ,
Untertitel können als Angriffsvektor genutzt werden.
Untertitel können als Angriffsvektor genutzt werden. (Bild: Checkpoint)

Zahlreiche Mediaplayer gehen offenbar unvorsichtig mit Untertiteldateien um und können daher unerwünschten Code auf dem Rechner der Nutzer ausführen. Das geht aus einer Untersuchung der Sicherheitsfirma Checkpoint hervor. Betroffen sind beliebte Apps wie VLC, Kodi (ehemals XBMC) und Popcorn Time, insgesamt sollen rund 200 Millionen Nutzer bereits eines der verwundbaren Programme genutzt haben.

Stellenmarkt
  1. EDAG Engineering GmbH, Dortmund
  2. Allianz Partners Deutschland GmbH, München

Angreifer können demnach laut Checkpoint manipulierte Untertiteldateien verwenden, um Rechner anzugreifen. Hauptproblem ist nach Angaben des Unternehmens die generelle Sicherheit entsprechender Programme. Zudem gebe es über 25 verschiedene Formate für Untertitel, alle mit verschiedenen Features und Funktionsweisen.

Checkpoint macht keine detaillierten Angaben zu technischen Details, um böswillige Angriffe zu verhindern. Zu vermuten ist allerdings, dass die Mediaplayer-Apps die Untertiteldateien nicht immer um eventuell eingeschleuste Befehle bereinigen und so Code zur Ausführung bringen, wie es bei zahlreichen Sicherheitslücken im Web-Bereich immer wieder geschieht. Dadurch kann es nach Angaben von Checkpoint möglich sein, den gesamten Rechner zu übernehmen.

Kaum Nutzerinteraktion erforderlich

Perfide ist, dass der Angriff kaum Interaktion der Nutzer benötigt. Viele Mediaplayer können so konfiguriert werden, dass sie Untertiteldateien aus vertrauten Verzeichnissen automatisch beziehen. Angreifer könnten die von ihnen präparierten Quellen zudem gezielt mit guten Bewertungen versehen, damit ihre Dateien bevorzugt ausgewählt werden.

Die Hersteller haben aktuelle Versionen bereitgestellt, die die Sicherheitslücke beheben sollen. Entsprechende Downloads bieten Popcorn-Time, Kodi, VLC und Streamio an.

Zu den Kommentaren springen
Meistgelesen
  1. Urheberrecht
    Razzia bei Filesharing-Plattform
  2. Offene Prozessor-ISA
    Wieso RISC-V sich durchsetzen wird
  3. Star Wars Jedi Fallen Order angespielt
    Die Rückkehr der Sternenkriegersolospiele
  4. Eoan Ermine
    Ubuntu 19.10 erscheint mit ZFS und i386-Paketen
  5. Indiegogo
    Minidrucker trägt Motive auf Papier, Holz und Haut auf
Anzeige
Hardware-Angebote
  2. 279,90€
  3. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...
  4. (reduzierte Überstände, Restposten & Co.)
Kommentarübersicht
Re: Warum überhaupt VLC nutzen
recluce 07. Jul 2017

Selten so einen Unfug gelesen. Zum einen ist mir unklar, warum Du mehrere Videos auf...

Re: Schon bezeichnend das illegale Addons in Kodi...
recluce 07. Jul 2017

Kodi war für mich schon ca. 8 Jahre interessant, bevor ich Streaming überhaupt genutzt...

Re: Wieder einmal unsinnige Meldung
Dwalinn 29. Mai 2017

Oder einfach eine Erinnerung mal wieder ein VLC Update zu machen

Re: Mediaplayer classic HC auch betroffen? kwt
nille02 25. Mai 2017

Durch aus möglich. Ich habe die commits der letzten Woche mal überflogen und mir ist in...

Re: Ich benutze nur SubRip-Untertitel (.srt) ...
JouMxyzptlk 25. Mai 2017

Damit kann ich aber die Position und Farbe und größe des Textes nicht festlegen, oder...

Folgen Sie uns
       
Sega Dreamcast (1999) - Golem retro

Am 9.9.1999 startete Segas letzte Konsole in ein kurzes, aber erfülltes Spieleleben.

Sega Dreamcast (1999) - Golem retro Video aufrufen
Smarter Lautsprecher
Telekom Smart Speaker im Test: Der smarte Lautsprecher, der mit zwei Zungen spricht
Telekom Smart Speaker im Test
Der smarte Lautsprecher, der mit zwei Zungen spricht

Die Deutsche Telekom bietet derzeit den einzigen smarten Lautsprecher an, mit dem sich parallel zwei digitale Assistenten nutzen lassen. Der Magenta-Assistent lässt einiges zu wünschen übrig, aber die Parallelnutzung von Alexa funktioniert schon fast zu gut.
Ein Test von Ingo Pakalski

  1. Smarte Lautsprecher Amazon liegt nicht nur in Deutschland vor Google
  2. Pure Discovr Schrumpfender Alexa-Lautsprecher mit Akku wird teurer
  3. Bose Portable Home Speaker Lautsprecher mit Akku, Airplay 2, Alexa und Google Assistant
Provider
Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate
Amazon Alexa
Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /