Złamano DRM wykorzystywane przez Netflix, Hulu, HBO, Prime i innych

Złamano DRM wykorzystywane przez Netflix, Hulu, HBO, Prime i innych

David Buchanan, analityk zabezpieczeń zdołał złamać Widevine L3, które jest jedną z mniej zabezpieczonych implementacji Widevine DRM stworzonych przez Google, a wykorzystywanych przez aplikacje takich firm jak Netxflix czu Hulu. Po odszyfrowaniu, streamy korzystające z tej metody DRM mogą być odtwarzane z wykorzystaniem ffmpeg, czyli szokująco łatwo. Widevine to darmowe narzędzie do zarządzania prawami cyfrowymi i szyfrujące treści, które stworzyło Google i które jest szeroko wykorzystywane w wielu aplikacjach i serwisach. O Widevine było dość głośno gdy okazało się, że smartfony OnePlus 5T i wcześniejsze nie były w stanie odtwarzać zawartości Netflixa w rozdzielczości 1080p, gdyż modele te wspierały jedynie to zabezpieczenie w wersji L3, które jest wykorzystywane jedynie do niższych rozdzielczości. 

Streamy Netflixa, HBO i innych platform chronione są przez zabezpieczenia, które okazały się bardzo proste do złamania.

Implementacja L1, która prawdopodobnie jest bardziej zabezpieczona, jest konieczna do odtwarzania materiałów w FullHD. Certyfikat L1 wymaga również, by komponenty bezpieczeństwa były instalowane fabrycznie, bądź dostarczane do urządzenia bezpiecznymi kanałami, podczas gdy L3 wymaga jedynie zablokowanego bootloadrea oraz mgliście zarysowanych odpowiednich środków podjętych do zabezpieczenia treści i informacji kryptograficznych. Dokumentacja opisująca łamanie L3 jest bardzo uboga, jednakże Buchanan dostarczył kilku detali technicznych dotyczących mechanizmów zabezpieczeń w L3 oraz przeprowadzonego ataku, który miał je złamać. Twierdzi on, że wszystko było przerażająco łatwe do przeprowadzenia, z pomocą narzędzi od Side-Channel Marvels i zajęło mu to zaledwie kilka wieczorów.

Buchanan podkreśla, że nie przyjrzał się jeszcze Widevine w wersji L1 - co jeśli okaże się równie łatwe w złamaniu, może przynieść Google sporo problemów, jak również firmom polegającym na tym zabezpieczeniu. Póki co nic nie wiadomo o planach mających wzmocnić zabezpieczenia w L3, jak również nie wiadomo czy Buchanan przybliżył Google sposób przeprowadzania ataku, zanim upublicznił swojej odkrycie. Buchanan podkreśla jednak, że podatność na atak, to nie jest zwykły bug, a poważny błąd powstały na etapie projektowania DRM i jednocześnie niemożliwy do załatania. Problem może być rozwiązany jedynie poprzez zwiększone zaciemnienie kodu, co jednak niekorzystnie wpłynie na wydajność.

Komentarze do: Złamano DRM wykorzystywane przez Netflix, Hulu, HBO, Prime i innych