http://www.ithome.com.tw/news/114436 文/陈晓莉 | 2017-05-24发表 以色列资安业者Check Point周二（5/23）揭露了全新的攻击手法，指出骇客可藉由恶意字 幕档案及媒体播放器/串流平台的漏洞取得使用者装置的控制权，包括VLC、Kodi、 Popcorn-Time与strem.io等媒体播放器或串流服务皆含有相关漏洞，估计影响全球2亿名用 户。 Check Point指出，有监於坊间有超过25种的字幕格式，使得媒体播放器经常需要能够解析 不同的字幕格式以确保使用者经验，这也让这些媒体播放器无暇顾及所有字幕格式的安全性 。 Check Point以影片展示了攻击Popcorn-Time及Kodi的情景（下），当使用者以这两个播放 器播放电影，并载入恶意的字幕档时，骇客就可自远端掌控使用者的装置，这些装置可能是 PC、智慧电视或行动装置，进而窃取机密资讯或安装勒索程式等。 目前Check Point只检验了这4款市场上最有名的媒体播放器，发现它们皆含有相关漏洞，因 此相信其他媒体播放器也无法幸免於难。迄今光是VLC最新版就有超过1.7亿的下载次数， Kodi每月也有4000万名不重覆用户，Check Point估计全球至少有2亿使用者处於此一安全风 险中。 在接到Check Point的通知後，VLC与Stremio皆已更新官网上的软体，PopcornTime及Kodi虽 已修补完毕，但尚未放上官网。 ---------------------------------- 来源：Hacked in Translation – from Subtitles to Complete Takeover http://blog.checkpoint.com/2017/05/23/hacked-in-translation/ 想要追剧还是看电影，尤其是遇到有外挂字幕都有可能会被骇客攻击！ 建议大家如果用这些软体看影片时，注意有没有被恶意外挂字幕档案受害。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 119.77.234.10 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Video/M.1495695540.A.E2A.html