Imagínate que llegas a casa tras un día agotador y antes de acostarte procedes a ver tu ración diaria de series y, como te gusta verlas en versión original pero el tu nivel de inglés, japonés o cualquier otro idioma no te permite prescindir de los subtítulos, procedes a cargarlos desde alguno de los repositorios online que los ofrecen. Este momento de relax podría convertirse en una pesadilla y en este post vamos a ver porqué.
El ataque de los subtítulos maliciosos
Hay que reconocer que las opciones para visualizar contenido online de forma cómoda han aumentado sustancialmente con respecto a hace unos años. A día de hoy contamos con numerosas aplicaciones que permiten visualizar todo tipo de contenidos desde prácticamente cualquier dispositivo y ya no hace falta descargar el archivo de vídeo o audio primero a nuestro ordenador para luego enviarlo a la televisión del salón, por ejemplo.
Esto ha permitido que muchos usuarios disfruten de sus películas y series favoritas prácticamente al mismo tiempo a nivel mundial y, para los que no se les dan muy bien los idiomas y no quieren esperar a la traducción correspondiente, la comunidad de subtituladores ha hecho un gran trabajo. Resulta especialmente práctico que, en servicios como VLC, KODI (antiguo XBMC), Popcorn-Time o strem-io se puedan elegir los subtítulos publicados en alguno de los repositorios existentes pero esto también puede suponer un peligro.
Investigadores de CheckPoint publicaron recientemente los resultados de una investigación en la que se habían utilizado archivos de subtítulos maliciosos como vector de ataque para tomar el control de un dispositivo que estuviese ejecutando alguna de las aplicaciones de streaming mencionadas en el párrafo anterior. Estos investigadores calculan que existen aproximadamente 200 millones de reproductores de contenido multimedia en todo el mundo que estarían ejecutando software vulnerable.
La investigación llevada a cabo ha demostrado como un atacante podría preparar un fichero de subtítulos malicioso y colocarlo en los primeros puestos de los repositorios donde los usuarios buscan estos subtítulos. Debido a la confianza que se tiene en estos repositorios y que los ficheros de subtítulos siguen viéndose como un simple e inofensivo fichero de texto, el alcance que un ataque de este tipo podría tener es realmente grande.
Causa y efecto
El principal problema reside en los escasos controles de seguridad que varios reproductores multimedia realizan a los ficheros de subtítulos y en la existencia de una gran cantidad de formatos. A día de hoy existen alrededor de 25 formatos de subtítulos con sus características diferenciadoras lo que hace que los reproductores tengan que tratar de dar soporte a todos ellos, pero cada uno de ellos lo hace a su manera y esto lleva a numerosas vulnerabilidades.
Estamos hablando de decenas de millones de posibles usuarios afectados por un ataque que sería bastante simple de hacer y que permitiría a los atacantes tomar el control total del dispositivo que estuviese utilizando un reproductor multimedia vulnerable, independientemente de si se trata de un ordenador de sobremesa, dispositivo móvil o smartTV, entre otros.
Entre los ataques que se podrían realizar utilizando esta técnica encontramos el robo de información, la instalación de todo tipo de malware como ransomware, la utilización de estos dispositivos para lanzar ataques de denegación de servicio masivos, etc.
Hay que tener en cuenta que el ataque se iniciaría colocando el fichero de subtítulos malicioso en alguno de los repositorios de confianza usados por estas aplicaciones y los propios usuarios. Estos repositorios clasifican e indexan los subtítulos y los mejor valoradas suelen ser los más descargados. Los investigadores demostraron como, manipulando el algoritmo de clasificación en sitios como OpenSubtitles.org, pudieron colocar subtítulos maliciosos que serían descargados automáticamente por el reproductor multimedia.
Este ataque no requiere de intervención alguna del usuario puesto que se ataca a la fuente de los subtítulos e incluso los que descargan subtítulos de forma manual pueden verse afectados, puesto que se tiende a descargar los subtítulos mejor clasificados. Para ver cómo funcionaría este ataque lo mejor es visualizar el siguiente vídeo preparado para tal efecto.
La solución a este problema, al menos en lo que respecta a las aplicaciones analizadas, es sencilla y pasa por actualizarlas a su versión más reciente, disponibles desde los repositorios oficiales de cada una de ellas.
Conclusión
Solo con pensar la cantidad de usuarios que podrían resultar infectados si alguien utilizara este vector de ataque cuando aparezca, por ejemplo, el primer episodio de la séptima temporada de “Game of Thrones” es suficiente para recomendar la actualización inmediata de las aplicaciones vulnerables.
Como acabamos de comprobar una vez más, prácticamente cualquier tipo de fichero puede ser utilizado para tratar de comprometer la seguridad de nuestro sistema por lo que conviene estar alerta ante investigaciones como la que acabamos de analizar.