看个视频也被黑？加载字幕文件触发播放器漏洞完成系统入侵

先来看攻击实现的PoC视频：

http://static.video.qq.com/TPout.swf?auto=1&vid=a05077yiuud

攻击简介

当你想在电脑上观看影片时，很自然地打开视频播放器，加载字幕，当然遇到一些“生肉”影片时，我们还可能在网上千方百计寻找字幕，好吧来个葛优躺，….两小时过去了，殊不知，当你在完全放松欣赏大片的时候，黑客早已经悄悄入侵了你的电脑，把该干的事都干了。这种字幕攻击手段可能是最最容易被用户忽视和防范的黑客攻击技术，因为对于普通用户和播放器来说，都会把字幕文件认为是可信文件。

对于攻击者来说，他们可能会制作一些专门的恶意字幕库，然后通过各种手段向受害者推送这些恶意字幕文件，诱导受害者加载使用。而对用户来说，这种毫无防范意识的攻击将会是最危险的攻击。

当前，这种攻击在根源和意识方面，杀毒软件等各类安全厂商都还不具备检测识别能力，从某种程度上来说，这更增加了用户风险。

受影响用户

范围：据统计，因为目前每一种播放器的涉漏洞版本都存在数百万计的用户下载量，所以该攻击方法影响用户可能达数亿人之多。仅VLC在去年6月推出的最新版本下载量就达1亿7000万；Kodi (XBMC)每天使用人次达1000万，月用户达4000万；暂无统计信息的Popcorn Time使用量估计也是数百万。

影响：攻击者利用这种攻击，可以轻松控制电视、平板、手机….等使用视频播放器的各类系统设备。当然这种攻击将可能造成一些严重的潜在影响，如信息窃取、勒索攻击、DDoS等等。

受影响的视频播放器软件

截止目前，我们仅对当前流行的四种视频播放器VLC、Kodi、Popcorn Time、Stremio进行了漏洞识别和攻击方式成功测试，这种问题在其它视频播放器中同样存在。我们已把相关漏洞和问题向厂商方面进行了及时的沟通和上报，目前，有些漏洞和问题已被修复处理，有些则处于测试核查阶段。为了给厂商方面更多的时间来解决这些漏洞，我们在此暂且不公布一些具体的测试方法和技术信息。

已经发布更新的视频软件

Popcorn Time：推出了一个修复版本软件，可以从此链接手动下载安装；

Kodi：可以通过其官方网站下载安装修复版本；

VLC：可以通过其官方网站下载安装修复版本；

Stremio：可以通过其官方网站下载安装修复版本。

入侵检测IPS签名定义

Popcorn Time Subtitles Remote Code Execution

Kodi Open Subtitles Addon Remote Code Execution

VLC ParseJSS Null Skip Subtitle Remote Code Execution

Stremio Subtitles Remote Code Execution

该攻击的传播实现方式

深入探究字幕服务链后将会发现其中一些有意思的结果，恶意字幕文件被攻击者制作出来后，可能会被上传到如OpenSubtitles.org等在线库中进行共享。之后，攻击者通过操作这些共享网站的库文件排名算法，可以把预先制作的恶意字幕文件列为视频播放器的优先选择，并被播放器自动加载使用。黑客无需借助中间人攻击（MITM）或其它交互手段，只需对恶意字幕文件的整个服务和推送链进行控制，就可实现对目标系统的隐蔽入侵控制。当然了，这种攻击可能还会对那些依赖排名进行字幕文件下载选择的用户造成威胁影响。该攻击的大致流程如下：