小心你的字幕，它们可能是电脑病毒

简评：曝光一种新病毒，通过视频播放器挂载字幕而感染用户设备，从而实现全面控制。

Check Point（世界知名的安全解决方案提供商）研究人员透露了一种新的互联网攻击手段，威胁到全球数百万用户：字幕攻击。

用户的设备通过视频播放器，下载恶意字幕文件而被感染。攻击者可以通过许多流行的流媒体平台（包括 VLC，Kodi，Popcorn-Time 和 strem.io）中发现的漏洞，完全控制任何类型的设备。估有大约两亿的视频播放器极易被感染，使其成为近年来最广泛，易于访问和零抵抗的漏洞之一。

新病毒介绍
正常情况下，黑客使用「向量攻击（attack vector）」的方法，主流有两种：诱导用户访问恶意网站，或者诱导用户打开恶意软件。

我们的研究揭示了一种新的，完全被忽视的技术。当用户的播放器加载字幕时，而被攻击。这些字幕长久以来被视为是可靠地的良性文本文件。而我们的研究显示，这些储存字幕的库可以被攻破，黑客更改病毒字幕的评分，使之能够推送给用户自动匹配。数百万用户对此毫无防备，所以更加危险。

根本原因

各种媒体播放器处理字幕文件和不同的字幕格式，是病毒的温床。有超过 25 中字幕格式，而每种有不同的特点和功能。媒体播放器需要解析多个字幕格式以保证更好的用户体验，每个播放器使用不同的方法。这样的分散而不规范的情况导致了许多不同的漏洞。

影响

范围：数亿的用户可能被感染。现在发现的每个易感染的播放器都有数百万用户，我们有理由相信，其他媒体播放器也可能会收到类似的攻击。VLC 已于2016年6月5日发布了其最新版本的 1.7 亿多次下载，Kodi（XBMC）每天拥有超过 1000 万个独特用户，每月拥有近 4000 万个独立用户。Popcorn 还没有具体数据，但是绝对超过数百万用户。

损害：通过字幕攻击，攻击者可以对任何相关设备进行完全控制。无论是 PC、智能电视、移动设备都无可避免。攻击者可以窃取敏感信息，勒索等等。

哪些播放器受到影响？

迄今为止，我们测试并发现了四个最着名的媒体播放器中的漏洞：VLC，Kodi，Popcorn 和 Stremio。我们有理由相信其他媒体播放器中也存在类似的漏洞。

IPS签名：

• Popcorn Time Subtitles Remote Code Execution
• Kodi Open Subtitles Addon Remote Code Execution
• VLC ParseJSS Null Skip Subtitle Remote Code Execution
• Stremio Subtitles Remote Code Execution

病毒如何传播？

进一步深入的研究字幕的供应链，发现了一些有趣的结果。有许多共享的在线存储库，如 OpenSubtitles.org，用于索引和插入电影字幕。

一些媒体播放器自动下载字幕；这些存储库对攻击者具有广泛的潜力。

我们的研究人员也可以通过操纵网站的排名算法证明：我们可以保证精心设计的恶意字幕，通过播放器自动下载，从而实现对整个字幕供应链进行完全控制，而不需要任何人攻击或需要用户交互。此漏洞同时也会影响哪些手动挂载字幕的用户。

原文有一个视频，我们展示了字幕病毒感染用户的全过程。

原文：Hacked in Translation - from Subtitles to Complete Takeover | Check Point Blog

相关阅读：

• 病毒 Gooligan 已控制 100 万个 Google 账号