VLC, Kodi, Popcorn e Stremio tem porta para hackers via arquivos de legenda

Um novo vetor de ataque hacker que utiliza arquivos de legenda para filmes foi descoberto hoje (23) pela equipe de pesquisadores da Check Point. De acordo com o relato, cibercriminosos podem desenvolver arquivos de legenda que exploram vulnerabilidades presentes nos reprodutores de vídeos mais populares, entre eles, VLC da VideoLAN, Kodi XBMC, Popcorn Time e Strem.io.

É estimado que os media players e os programas de streaming citados, juntos, estejam instalados em 200 milhões de computadores com a possível vulnerabilidade.

Cibercriminosos podem ter controle total do computador infectado via acesso remoto

Como o ataque funciona: assim que uma vítima faz o download de um arquivo de legenda malicioso, o media player não reconhece que se trata de uma ameaça e roda o arquivo normalmente. Ao explorar essa vulnerabilidade no media player, cibercriminosos podem ter controle total do computador infectado via acesso remoto. Dessa maneira, todos os dados da vítima estão expostos, como fotos, vídeos, textos até senhas de redes sociais e de internet banking.

Vale notar que os quatro media players citados, VLC, Kodi XBMC, Popcorn Time e Strem.io, aceitam a inserção de legendas de terceiros, que é colocada no programa pelo próprio usuário — então o usuário também precisa ficar atento sobre os downloads realizados, nota o The Hacker News.

De acordo com o Chek Point, a última versão do VLC já teve mais de 170 milhões de downloads. Já o Kodi possui cerca de 40 milhões de usuários únicos mensalmente, enquanto Popcorn Time e Stream.io, por terem um “escopo de trabalho mais ilegal”, não divulgam os números.

Como o ataque acontece

E agora?

A equipe da Check Point foi responsável: ela não levou ao público exatamente como o exploit pode ser utilizado, a ideia é conter possíveis ações criminosas. As equipes de desenvolvimento dos programas já foram notificadas e estão corrigindo as vulnerabilidades.

Fique ligado em novas atualizações para os media players citados

Tudo isso significa que você não poderá mais baixar legendas? Não. Contudo, fique atento: não faça o download em sites não reconhecidos e, especificamente no Brasil, existem equipes de legendas que se dedicam exclusivamente ao trabalho de legendar filmes — e estão há anos nesse mercado. Como exemplo, temos o pessoal da Legendas.tv, Insanos, InSUBs, DarkSide etc.

Por isso, fique ligado em novas atualizações para os media players citados. Continue com um bom antivírus e não faça o download de legendas em sites “cinzas”, vá atrás de equipes que estão há um bom tempo nesse mercado.

About professores

Professor particular de informática em Curitiba especializado em atender a Terceira Idade. Atendo apenas na casa do aluno.