Google remendando outro crack no Widevine

Views: 576
0 0
Read Time:2 Minute, 4 Second

Pela segunda vez em tantos anos, o Google está trabalhando para corrigir uma fraqueza em sua tecnologia widevine de gerenciamento de direitos digitais (DRM) usada por sites de streaming online como Disney, Hulu e Netflix para evitar que seu conteúdo seja pirateado.

Os mais recentes cracks na Widevine dizem respeito à proteção da tecnologia de criptografia para fluxos L3, que é usado apenas para fluxos de vídeo e áudio de baixa qualidade. O Google diz que a fraqueza não afeta os fluxos L1 e L2, que englobam mais conteúdo de vídeo e áudio em alta definição.

“Como a proteção de código está sempre evoluindo para lidar com novas ameaças, estamos atualmente trabalhando para atualizar nosso DRM de software Widevine com os mais recentes avanços na proteção de código para resolver esse problema”, disse o Google em uma declaração por escrito fornecida ao KrebsOnSecurity.

Em janeiro de 2019, o pesquisador David Buchanan tuitou sobre a fraqueza do L3 que encontrou, mas não lançou nenhum código de prova de conceito que outros pudessem usar para explorá-lo antes que o Google corrigisse o problema.

Este último hack widevine, no entanto, foi transformado em uma extensão para usuários do Microsoft Windows do navegador web Google Chrome e postado para download na plataforma de desenvolvimento de software Github.

Tomer Hadad, o pesquisador que desenvolveu a extensão do navegador, disse que seu código de prova de conceito “foi feito para mostrar ainda mais que a ofuscação de código, truques anti-depuração, algoritmos de criptografia de caixa branca e outros métodos de segurança por obscuridade acabarão por ser derrotados de qualquer maneira, e são, de certa forma, inúteis”.

O Google chamou a fraqueza de uma evasão que seria corrigida. Mas Hadad teve problemas com essa caracterização.

“Não é um bug, mas uma falha inevitável por causa do uso de software, e é também por isso que o L3 não oferece a melhor qualidade”, escreveu Hadad em um e-mail. “O L3 geralmente é usado em desktops devido à falta de zonas confiáveis de hardware.”

As empresas de mídia que transmitem vídeo on-line usando o Widevine podem selecionar diferentes níveis de proteção para fornecer seu conteúdo, dependendo dos recursos do dispositivo que solicita acesso. A maioria dos smartphones modernos e dispositivos móveis suportam proteções L1 e L2 Widevine muito mais robustas que não dependem de L3.

FONTE: KREBS ON SECURITY

POSTS RELACIONADOS