Demo av at DRM-beskyttede videostrømmer kan kopieres fra Chrome. (Bilde: Cyber Security Labs @ Ben Gurion University/YouTube)

Widevine

DRM-feil i Chrome kan gjøre det lett å kopiere strømmevideo

Åpner for piratkopiering fra Netflix og andre.

Sikkerhetsforskere ved Ben-Gurion University i Israel og Telekom Innovation Laboratories i Tyskland har avdekket en svakhet i hvordan nettleseren håndterer strømmevideo som er beskyttet med DRM- og krypteringsteknologien Widevine, som Google også eier. Svakheten skal gjøre det temmelig enkelt for Chrome-brukere å lage lokale kopier av det strømmende videoinnholdet. 

HTML5

Forskerne har så langt ikke gått ut med detaljer om svakheten, men det er tydelig at det handler om å kunne kapre videostrømmen etter at den har blitt dekryptert i nettleseren. Det dreier seg om video som spilles av direkte i nettleseren ved hjelp av HTML5-teknologi, ikke videoavspillere basert på Flash Player eller andre plugins.

Dette gjøres med et separat program som lagrer videostrømmen som en fil på brukerens pc. Sikkerhetsforskerne har lagd et konseptbevis som demonstrerer at dette fungere. Dette vises fram i videoen nedenfor.

I alle fall videostrømmer fra Netflix og Amazon Video skal kunne kapres på denne måten.

Forskerne opplyser at de samarbeider med Google om å løse problemet i Chrome. De foreslår at det tas i bruk en tilnærming som kalles for Trusted Execution Environment (TEE), hvor det dekrypterte innholdet skrives til et beskyttet minneområde.

Videre opplyser forskerne at de følger den samme policyen for ansvarlig fremleggelse som Google selv benytter i forbindelse med Project Zero. I praksis gis den berørte aktøren da en frist på normalt 90 dager før detaljene om sårbarheten blir offentliggjort. Foreløpig har det bare gått en drøy måned siden Google ble varslet.

Oppsiktsvekkende respons

Nå er det langt fra sikkert at Google kommer til å fjerne denne svakheten, som etter alt å dømme ikke utgjør noen sikkerhetsrisiko for brukerne, innen en slik frist utløper. Begrunnelsen er ganske oppsiktsvekkende. 

Til Wired, som var blant de første til å skrive om sårbarheten, sier en talsmann for Google at selskapet har studert problemet nøye og at svakheten ikke bare berører Chrome, men også andre nettlesere som er basert åpen kildekode-prosjektet Chromium. 

Det betyr at selv om Google løser problemet i Chrome, vil det likevel være mulig for utviklere å lage sine egne Chromium-baserte nettleser hvor denne svakheten kan gjøres til en ettertraktet funksjonalitet.

Forbløffet

Sikkerhetsforskerne reagerer ifølge Wired sterkt på denne uttalelsen. 

– En sårbarhet i produktet til Google, som blir distribuert av Google og som brukere og filmselskaper regner med at er sikker, bør bli høyt prioritert og rettet for å hindre tyveri av beskyttet innhold, sier Dudu Mimran, teknologidirektør ved Telekom Innovation Labs' avdeling i Beer Sheva, Israel, til Wired. 

Google kjøpte Widevine i 2010 og tilbyr teknologien uten lisenskostnader. Teknologien var tidligere bare tilgjengelig som en plugin for nettlesere, men har senere blitt bygd inn i Chrome, Opera og Firefox. I tillegg støttes den av svært mange mobile enheter. 

Ifølge Wired er det uklart om andre nettlesere enn Chrome er berørt av den nevnte svakheten, da forskerne foreløpig har konsentrert seg om Googles nettleser.

Kommentarer (3)

Kommentarer (3)
Til toppen