Bucate le protezioni DRM standard di Chrome

Scovata una vulnerabilità nel sistema pensato per blindare lo streaming di contenuti protetti dal copyright, un problema che Google non ha ancora risolto e che potrebbe avere effetti ben oltre il codice del browser
Scovata una vulnerabilità nel sistema pensato per blindare lo streaming di contenuti protetti dal copyright, un problema che Google non ha ancora risolto e che potrebbe avere effetti ben oltre il codice del browser

I ricercatori di sicurezza hanno individuato un bug all’interno di Widevine, meccanismo DRM implementato da Google all’interno di Chrome/Chromium per la gestione dei flussi audiovisivi protetti ancorché serviti tramite tecnologie “standard” facenti parte della famiglia HTML5.

I dettagli della falla non sono stati ancora resi noti, ma gli effetti concreti del problema consistono nella possibilità di intercettare lo streaming dei contenuti protetti appena dopo la decodifica da parte di Widevine: una simile opportunità dovrebbe essere sfruttabile da uno sviluppatore “grey hat” per rendere più facile la proliferazione della pirateria su servizi multimediali del calibro di Netflix, Amazon Video e altri.

Widevine fa uso delle protezioni DRM integrate dal World Wide Web Consortium (W3C) all’interno dello standard HTML5 , con il componente Encrypted Media Extensions (EME) incaricato di gestire lo scambio di chiavi crittografiche e il “blob” binario di un Content Decryption Module (CDM) come appunto è Widevine che gestisce la decodifica vera e propria.

La decisione di integrare misure DRM standard all’interno di HTML5 ha suscitato discussioni mai sopite del tutto, e Widevine in particolare è in via di implementazione anche sui browser alternativi a Chrome/Chromium come il sempre meno popolare Mozilla Firefox .

Per quanto riguarda la vulnerabilità in oggetto, in ogni caso, Google è a conoscenza del problema da tempo ma non ha ancora provveduto a correggerlo: il fatto che Chromium sia un progetto open source rende problematica la chiusura definitiva della falla, fanno sapere da Mountain View. 

Link copiato negli appunti

Ti potrebbe interessare

27 06 2016
Link copiato negli appunti