Se ha descubierto una falla en Google Chrome que hace fácil para los piratas descargar películas y Shows de TV desde la web. Google ha sido visado desde hace un mes pero la compañia no ha hecho alguna liberación que corrija este problema.
Mientras que los estudios buscan nuevas formas de proteger su contenido de la piratería con DRM, los piratas encuentran nuevas formas de darle la vuelta a las protecciones. Cada vez es mas dificil ya que se van cerrando oportunidades, pero de vez en cuando llega una oportunidad para aprovechar.
Dos investigadores de seguridad, David Livshits del centro de investigación de ciberseguridad en la universidad Ben-Gurion en Israel y Alexandra Mikityuk de Los laboratorios Telekom Innovation en Berlin, Alemania han encontrado el falo en Chrome.
El problema se presenta en que Chrome usa Widevine EME/CDM, que Google posee pero que no creó, para acceder a video encriptado desde un servicio de streaming.
“Se usan extensiones de medios cifrados para permitir al módulo de cifrado en tu navegador comunicarse con sistemas con contenido protegido como Netflix que envían el contenido cifrado hasta tu navegador”.
“EME maneja la llave o licencia de intercambio entre los sistemas de protección de contenido y un componente CDM en tu navegador… el CDM envía una solicitud de licencia al proveedor a través de la interfaz EME y recibe la licencia ”
Una vez que obtiene la licencia puede descifrar el video y enviarlo a Chrome para que lo disfrutes. El DRM esta diseñado para proteger estos datos cifrados y asegurarse de que se mantengan en tu navegador, pero Chrome rompe con esto.
Livshits y Mikityuk encontraron una forma de obtener el video justo despues de que el CDM lo descifre y lo envie a Chrome. El video abajo muestra la prueba de concepto de lo que han creado.
Los investigadores notificaron a Google de esta falla el 20 de Mayo, pero la compañia no lo ha corregido. Dicen que el exploit es muy simple (y que asi de simple es corregirlo) pero no revelarán cómo le hicieron hasta que Google tenga al menos 90 días para liberar el parche.
Google le dijo a Wired que está examinando el problema. La compañia también dijo que el problema no es exclusivo de Chrome y que aplicaría a cualquier navegador derivado de Chromium.
No está claro si la falla esta en otros navegadores. Firefox y Opera también usa Widevine, pero los investigadores no han examinado esos navegadores aún. Los navegadores de Apple y Microsoft usan tecnologías propietarias que no han sido probadas.