Alfonso Maruccia

Bucate le protezioni DRM standard di Chrome

Scovata una vulnerabilità nel sistema pensato per blindare lo streaming di contenuti protetti dal copyright, un problema che Google non ha ancora risolto e che potrebbe avere effetti ben oltre il codice del browser

Roma - I ricercatori di sicurezza hanno individuato un bug all'interno di Widevine, meccanismo DRM implementato da Google all'interno di Chrome/Chromium per la gestione dei flussi audiovisivi protetti ancorché serviti tramite tecnologie "standard" facenti parte della famiglia HTML5.


I dettagli della falla non sono stati ancora resi noti, ma gli effetti concreti del problema consistono nella possibilità di intercettare lo streaming dei contenuti protetti appena dopo la decodifica da parte di Widevine: una simile opportunità dovrebbe essere sfruttabile da uno sviluppatore "grey hat" per rendere più facile la proliferazione della pirateria su servizi multimediali del calibro di Netflix, Amazon Video e altri.

Widevine fa uso delle protezioni DRM integrate dal World Wide Web Consortium (W3C) all'interno dello standard HTML5, con il componente Encrypted Media Extensions (EME) incaricato di gestire lo scambio di chiavi crittografiche e il "blob" binario di un Content Decryption Module (CDM) come appunto è Widevine che gestisce la decodifica vera e propria.
La decisione di integrare misure DRM standard all'interno di HTML5 ha suscitato discussioni mai sopite del tutto, e Widevine in particolare è in via di implementazione anche sui browser alternativi a Chrome/Chromium come il sempre meno popolare Mozilla Firefox.

Per quanto riguarda la vulnerabilità in oggetto, in ogni caso, Google è a conoscenza del problema da tempo ma non ha ancora provveduto a correggerlo: il fatto che Chromium sia un progetto open source rende problematica la chiusura definitiva della falla, fanno sapere da Mountain View.

Alfonso Maruccia
Notizie collegate
  • TecnologiaFirefox 47, più DRM per tuttiMozilla rilascia la nuova versione del suo browser Web, un progetto sempre più incentrato sulle esigenze dei colossi di rete. Firefox 48 promette invece l'integrazione di Electrolysis
28 Commenti alla Notizia Bucate le protezioni DRM standard di Chrome
Ordina
  • per questi bug Google non rilascia le modalità per sfruttare il bug dopo x giorni... e no, qui si prende tutto il tempo di cui ha bisogno.

    Dove sono finiti tutti quelli secondi cui basta qualche giorno per risolvere i bug e quindi conviene renderli subito noti per spingere l'azienda a correggerli velocemente?

    Ah già... qui si tratta di google.
    non+autenticato
  • - Scritto da: Ethype
    > per questi bug Google non rilascia le modalità
    > per sfruttare il bug dopo x giorni... e no, qui
    > si prende tutto il tempo di cui ha
    > bisogno.
    >
    > Dove sono finiti tutti quelli secondi cui basta
    > qualche giorno per risolvere i bug e quindi
    > conviene renderli subito noti per spingere
    > l'azienda a correggerli
    > velocemente?
    >
    > Ah già... qui si tratta di google.
    no, beh in realta' nell'articolo "madre" (che boh maru' non pare aver linkato) c'e' scritto delle tempistiche e compagnia https://www.wired.com/2016/06/bug-chrome-makes-eas.../
    non+autenticato
  • - Scritto da: bubba

    > > Dove sono finiti tutti quelli secondi cui basta
    > > qualche giorno per risolvere i bug e quindi
    > > conviene renderli subito noti per spingere
    > > l'azienda a correggerli
    > > velocemente?
    > >
    > > Ah già... qui si tratta di google.
    > no, beh in realta' nell'articolo "madre" (che boh
    > maru' non pare aver linkato) c'e' scritto delle
    > tempistiche e compagnia
    Le tempistiche dovrebbero essere le stesse con cui google dichiara al mondo i bug degli altri...
    Mi aspetto che google pubblichi il bug in attesa che la casa madre lo risolva.

    Oppure per google le cose funzionano in modo diverso?
    non+autenticato
  • - Scritto da: Ethype
    > - Scritto da: bubba
    >
    > > > Dove sono finiti tutti quelli secondi
    > cui
    > basta
    > > > qualche giorno per risolvere i bug e
    > quindi
    > > > conviene renderli subito noti per
    > spingere
    > > > l'azienda a correggerli
    > > > velocemente?
    > > >
    > > > Ah già... qui si tratta di google.
    > > no, beh in realta' nell'articolo "madre"
    > (che
    > boh
    > > maru' non pare aver linkato) c'e' scritto
    > delle
    > > tempistiche e compagnia
    > Le tempistiche dovrebbero essere le stesse con
    > cui google dichiara al mondo i bug degli
    > altri...
    > Mi aspetto che google pubblichi il bug in attesa
    > che la casa madre lo
    > risolva.
    >
    > Oppure per google le cose funzionano in modo
    > diverso?
    io leggo < The researchers say the bug is very simple but won’t reveal details about it until at least 90 days after their disclosure to Google, since they don’t want to provide anyone who doesn’t already know about the vulnerability with information that would allow them to steal movies. Ninety days is the minimum that Google’s own security researchers in its Project Zero project give vendors to fix vulnerabilities they uncover before they disclose the bugs publicly. > e lo prendo per buono....
    non+autenticato
  • - Scritto da: bubba

    > e lo prendo per
    > buono....
    salvo che il tempo è passato e google non ha risolto, né il bug è pubblico... prendilo pure per buono.
    non+autenticato
  • - Scritto da: Ethype
    > - Scritto da: bubba
    >
    > > e lo prendo per
    > > buono....
    > salvo che il tempo è passato e google non ha
    > risolto, né il bug è pubblico... prendilo pure
    > per
    > buono.
    non c'era bisogno di farti riconoscere cosi'..... capiamo che non e' colpa tua se non conosci l'aritmetica elementare ( 'alerted Google to the problem on May 24th' )
    non+autenticato
  • > ( 'alerted Google to the
    > problem on May 24th'
    > )
    Guarda che il bug è noto da diverso tempo, mica dal 24 maggio.
    Non è che se PI non scrive la notizia, questa non esista.
    Sono mesi che questo bug sta lì, il problema è che se lo correggono, nascono come funghi browser alternativi che mantengono il bug. E questo a Google darebbe più fastidio.
    Quindi si mantengono bug e clienti profilati.

    Sempre matematica elementare..
    non+autenticato
  • - Scritto da: Ethype
    > - Scritto da: bubba
    >
    > > e lo prendo per
    > > buono....
    > salvo che il tempo è passato e google non ha
    > risolto, né il bug è pubblico... prendilo pure
    > per
    > buono.
    Eppoi chissenefrega "widevine" è così "open" che funziona solo su OSX e Windoze!
    A bocca aperta
    Tu dove lo hai letto che è "opensource" su topolino?
    non+autenticato
  • - Scritto da: widevine
    > - Scritto da: Ethype
    > > - Scritto da: bubba
    > >
    > > > e lo prendo per
    > > > buono....
    > > salvo che il tempo è passato e google non ha
    > > risolto, né il bug è pubblico... prendilo
    > pure
    > > per
    > > buono.
    > Eppoi chissenefrega "widevine" è così "open" che
    > funziona solo su OSX e
    > Windoze!
    > A bocca aperta
    > Tu dove lo hai letto che è "opensource" su
    > topolino?
    Più che altro dicci tu dove lo hai letto, perché io non l'ho scritto...
    non+autenticato
  • - Scritto da: Ethype
    > - Scritto da: widevine

    > Più che altro dicci tu dove lo hai letto, perché
    > io non l'ho
    > scritto...
    Io lo ho letto nello stesso posto in cui si legge che widevine non è ne open ne è Google!
    E tu cosa hai letto?
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: widevine
    > - Scritto da: Ethype
    > > - Scritto da: widevine
    >
    > > Più che altro dicci tu dove lo hai letto,
    > perché
    > > io non l'ho
    > > scritto...
    > Io lo ho letto nello stesso posto in cui si legge
    > che widevine non è ne open ne è
    > Google!
    A be' se sei riuscito a leggere è tutta un'altra cosa. Devo farti i miei più vivi complimenti per aver superato malamente la terza elementare.
    NextStep: capire quello che leggi. Dai che sei sulla buona strada.
    non+autenticato
  • +1 per maruccia stavolta ... per NON aver seguito il copiaincolloso (e falso) titolo stile "Un bug di Chrome consente di scaricare gratis i film da Netflix "
    Certo che la cialtroneria e il clickbaiting sono davvero la morte dell'informazioneCon la lingua fuori
    non+autenticato
  • Anche Dio e' morto e ti fai i problemi per l'informazione

    « Dio è morto! Dio resta morto! E noi l'abbiamo ucciso! Come potremmo sentirci a posto, noi assassini di tutti gli assassini? Nulla esisteva di più sacro e grande in tutto il mondo, ed ora è sanguinante sotto le nostre ginocchia: chi ci ripulirà dal sangue? Che acqua useremo per lavarci? Che festività di perdono, che sacro gioco dovremo inventarci? Non è forse la grandezza di questa morte troppo grande per noi? Non dovremmo forse diventare divinità semplicemente per esserne degni? »
    non+autenticato
  • Te ci hai grossa crisi   (cit.)
    non+autenticato
  • Lui é la protesi della sua stessa minckhya [cit.]
    non+autenticato
  • è scappato al wc a generare un po' di suoi simili
    non+autenticato
  • La seconda che hai detto!
    non+autenticato
  • - Scritto da: becchino
    > Anche Dio e' morto e ti fai i problemi per
    > l'informazione
    >
    un paradosso carino. come fai a sapere che dio e' morto? o anche che era nato? chi ti ha informato? forse era un troll, o per clickbaiting, non ci hai pensato? L'Informazione E' importante.
    non+autenticato