黑客进行的攻击方式千变万化,如今就连字幕都可能存在风险。据资安机构Check Point 研究团队近日发表的报告显示,黑客可以透过在字幕档案内植入恶意代码,然后再透过影片播放器的漏洞入侵并控制用户的装置,安全专家估计全球大约有2 亿部装置或会受到影响。
根据资料显示,目前被广泛采用的字幕格式有超过25 种,虽然每种各具独特功能及特点,但研究发现不少都存在各种漏洞。Check Point 指出这种透过在字幕中插入恶意软体来执行网路攻击,目前至少已影响到VLC、Kodi、Popcorn Time 及Stremio 4 款播放软体,黑客可因此而入侵包括电脑、手机、平板及智慧电视等。而从Check Point 公开的示范影片中可以看到,当Popcorn Time 及Kodi 执行了植入恶意软体的字幕后,黑客即可遥距完全控制并监视电脑上的一举一动。
此外,研究人员也发现黑客为求让更多人接触到这些有问题字幕,他们更会从演算法方面着手,推高字幕搜寻时的排名,如此一来便可让更多用户中招。庆幸的是上述4 款播放软体已透过更新去堵塞相关漏洞,但由于不知其他播放软体的情况,因此Check Point 决定暂时不进一步公开这种攻击的其他技术细节。
