專家警告︰網上下載字幕,或會讓黑客全面控制你的電腦

專家警告︰網上下載字幕,或會讓黑客全面控制你的電腦

我們想讓你知道的是

有資訊安全研究團隊發現,黑客可以把有惡意程式碼的字幕檔放上網絡,用戶一但開啟就會讓電腦被全面控制,更新播放軟件可以修補有關漏洞。

資訊安全公司Check Point的研究團隊日前警告,黑客可以特製字幕檔案,並透過影片播放軟件的漏洞入侵用戶裝置,包括電腦、智能電視、電話或平板電腦,受影響人數或高達2億。

Check Point研究團隊指出,由於字幕檔案格式眾多——目前超過25種——而且各款播放軟件在處理字幕檔時未有做好保安,讓黑客能把惡意程式碼放進字幕檔內,用戶一但開啟檔案,黑客就能夠完全控制裝置。

以下為示範影片,一部在Windows上安裝了播放軟件Popcorn Time的電腦,只要載入了特製的字幕檔案,攻擊者就取得控制權,能夠觀看受害者的一舉一動︰

研究團隊警告,黑客可以進行各種攻擊,包括盜取敏感資料(如各種帳戶和密碼)、安裝勒索軟件、用作大規模的DoS(阻斷服務攻擊)等,嚴重危害網絡安全和用戶私隱。

他們又表示,網上有一些儲存字幕的資料庫,黑客可以操控網站的排名演算法,確保用戶下載到他們特製的惡意字幕檔。研究人員在測試中,亦成功令播放軟件在搜尋字幕時,首3個結果都是他們的字幕檔案,用戶開啟後電腦便會被入侵。

至今團隊測試並在4個流行播放軟件發現漏洞︰VLC、Kodi、Popcorn Time及Stremio,四個軟件的用戶總數可能多達2億,團隊相信類似的攻擊可用於其他播放軟件。

現時這4個軟件已經修補漏洞,以下為更新連結(Popcorn Time的復修版本未能在官網下載,但可到該連結手動安裝,其餘均已在官網推出更新)︰

研究團隊表示,他們已按照指引,向受影響的軟件開發者匯報漏洞,有部份問題已經解決,但仍有一些在調查中。為了讓開發者有更多時間修補漏洞,他們決定現時不公開更多技術細節。

相關文章︰

資料來源︰