字幕也被攻击了？这是一种新型攻击方式，你还不知道吧？

Check Point的研究人员最近披露了一种新的攻击方式——通过字幕进行攻击，影响全球范围内数以亿计的用户。攻击者创建恶意字幕文件，而后经用户视频播放软件下载，利用VLC、Kodi、PopcornTime、strem.io等众多流行播放平台中存在的漏洞，攻击者可以完全控制任意设备。专家估计问题播放软件用户数量接近两亿，因此，此类利用字幕进行的攻击就成为了近几年来传播最广泛、最容易被接触的漏洞。

黑客发动网络攻击的方式一般分为两大类：一是攻击者诱骗用户访问恶意站点，二是诱使用户在电脑上运行恶意文件。

Check Point的研究发现了一种新的攻击方式，即在用户的视频播放软件加载字幕时发起攻击，这种技术此前完全没有被注意过。实际上字幕网站一直被用户和视频播放器当作可信来源，研究还发现攻击者可以操纵这些网站，给攻击者上传的恶意字幕评高分，结果这些字幕最终会被用户下载。此方法仅需要少量的用户操作或者完全不需要用户操作，也因此更加危险。

安全企业和用户都比较了解传统的攻击方式，而电影字幕却一般被视为良性的文本文件。这就意味着用户、杀毒软件和其他安全解决方案都在未确定字幕文件真实性质的情况下，对其进行检查，致使众多用户暴露在风险之中。

不同视频播放程序对于字幕文件的处理方式安全性较低，而且需要处理的字幕格式多种多样。目前至少有25种常用的字幕格式，每种格式都有各异的特征和功能。播放器常常需要解析多种字幕格式，以保证覆盖率，改善用户体验，而每种播放器又都使用不同的方法进行解析。就像其他类似的用到碎片化软件的情况，上述问题导致多种播放器中出现各种独特的漏洞。

范围：受影响用户的数量可能达到数亿。目前发现存在问题的每个播放器都拥有数百万用户，安全专家认为其他播放器也可能受此攻击影响。VLC最新版本自去年6月5日发布以来，下载次数已超过1.7亿。Kodi（XBMC）的日有效用户数量超过1千万，月有效用户数量接近4千万。PopcornTime的使用率目前没有估计数值可查，但保守估计也有几百万。

破坏力：通过字幕进行攻击，黑客能够完全控制运行播放器的任何设备。无论是PC、智能电视或者移动设备，攻击者都可以完全控制。攻击者可造成的破坏众多，包括盗取敏感信息、安装勒索软件、发起大规模DoS攻击等等。

目前位置，Check Point的安全专家测试了VLC、Kodi、PopcornTime和Stremio等四种主流播放器,并发现均存在漏洞。安全专家认为其他播放器当中也存在类似漏洞。Check Point安全专家遵循负责任的漏洞披露方针,将漏洞和利用细节上报给了相关播放器方。有些播放器漏洞已被修复，但还有许多漏洞仍在调查当中。为了给开发者更多时间处理漏洞，安全专家决定暂时不公开具体技术细节。

Popcorn Time：已开发修复版本，官网可下载。

Kodi：已开发修复版本，但目前只有源代码可供下载，官网还未提供修复版本下载。修复源代码可在Github下载。

VLC：官方已修复，官网可下载修复版本。

Stremio：官方已修复，官网可下载修复版本。

IPS签名：

Popcorn Time Subtitles Remote CodeExecution

Kodi Open Subtitles Addon Remote CodeExecution

VLC ParseJSS Null Skip Subtitle Remote CodeExecution

Stremio Subtitles Remote Code Execution

研究人员进一步研究字幕供应链后，发现了一些有意思的结果。目前存在一系列字幕在线共享网站，可将电影字幕编入索引并为其排名，比如OpenSubtitles.org。有些播放器会自动下载字幕，所以这些字幕网站给攻击者提供了巨大的潜在利用空间。Check Point的研究人员还发现通过操纵网站的排名算法，可以保证播放器能够自动下载这些伪造的恶意字幕文件，攻击者无需中间人攻击或用户互动，完全控制整个字幕供应链。这一漏洞也会影响参考排名手动下载字幕的用户。

 PoC视频: