نقص بخش مدیریت حقوق دیجیتال مرورگر کروم، راهی برای سرقت فیلم‌ها

باوجود نقطه آسیب‌پذیری رفع‌نشده در مرورگر ‌اینترنت گوگل کروم، می‌توان به‌راحتی از این نقطه برای دریافت فیلم‌های موجود در وب‌گاه‌هایی نظیر Amazon Prime Video و Netflix‌ استفاده‌ کرد.
این نقطه آسیب‌پذیری که توسط محققان دانشگاه بن گوریون شهر نِگِب و همچنین آزمایشگاه نوآوری Telekom  در آلمان کشف شده‌ است، در حقیقت مربوط به استفاده گوگل از فناوری مدیریت حقوق دیجیتال  Widevine است. این فناوری به کاربران اجازه می‌دهد در مورد محتوای دریافتی از وب‌گاه‌ها تصمیم بگیرند و آن‌ها را پخش کرده و یا از آن‌ها حفاظت کنند. شایان‌ذکر است که Widevine یکی از شرکت‌های تحت نظر گوگل است.

نقطه آسیب‌پذیری کشف شده مربوط به افزونه‌های رسانه‌ی رمزگذاری‌شده و همچنین اجزای مؤلفه رمزگشایی محتوا است. قسمت رمزگشایی محتوا به محتوای دارای بخش مدیریت حقوق دیجیتال این امکان را می‌دهد که در مرورگر پخش و اجرا شوند، در حالی که افزونه‌های رسانه‌ی رمزگذاری‌شده با استفاده از یک رابط برنامه‌نویسی نرم‌افزار، مرورگر را قادر می‌سازد با بخش مدیریت حقوق دیجیتال ارتباط برقرار کند.

محققان در همین زمینه اشکالی را یافتند که می‌توان با استفاده از آن یک ویدئو را به‌گونه‌ای در حافظه داخلی ذخیره و کپی کرد که گویی مرورگر کروم خود اقدام به ذخیره آن کرده‌ است. برای نشان ‌دادن و اثبات وجود چنین اشکالی، یک اثبات‌ مفهوم  تنظیم شده ‌است، اما جزئیات آن تا زمانی که گوگل این اشکال را رفع نکند، منتشر نخواهد ‌شد.

محققان با انتشار یک ویدئو نشان دادند که یک نفوذگر چگونه می‌تواند با نسخه رمزگشایی شده، محتوای یک وب‌گاه را که توسط فناوری مدیریت حقوق دیجیتال Widevine محافظت‌شده ذخیره کند.

دیوید لیوشیت محقق تنظیم‌کننده اثبات ‌مفهوم در این باره نوشت: «سرقت محتوای محافظت‌شده به این روش، نشان‌دهنده یک خطر جدی برای هالیوود است،‌ زیرا این صنعت فیلم‌سازی از چنین ابزاری برای محافظت از فیلم‌ها و دارایی‌های خود استفاده می‌کند.»

نمایندگان گوگل در مصاحبه با مجله Wired اعلام کردند که در حال بررسی موضوع هستند. آن‌ها در عین حال اعلام کردند که به‌تازگی در این مورد آگاه شده‌اند. این شرکت معروف و بزرگ جستجوی اینترنتی خاطرنشان کرد که هر مرورگری که بر اساس پروژه متن‌باز Chromium تنظیم شده‌ باشد، ‌در معرض این خطر است. این مسئله به این معنی است که فقط صرف گفتن وجود این اشکال در کروم کافی نیست، زیرا طراحان دیگر مرورگرهای مبتنی بر این پروژه می‌توانستند رمز رفع‌کننده این نقطه آسیب‌پذیری را حذف کنند.

راه‌حلی که محققان برای این مشکل پیشنهاد می‌کنند،‌ استفاده از محیط اجرای مطمئن  است که یک محیط امن و مجزا برای اجرای کارهای حیاتی و مهم است.

    منبع: asis

    درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap