Domingo por la tarde. Lluvia. Nada mejor para hacer que mirar una película. Seleccionamos un dispositivo, abrimos un sistema de streaming, elegimos, reproducimos. De repente, se abre una ventana de diálogo. Minutos después, la calculadora. A nosotros podrá parecernos raro, pero dos investigadores israelíes encontraron la forma de tomar el control de un dispositivo de forma remota a través de los subtítulos de un film.

¿Cómo?, te preguntarás. Resulta que los formatos de subtítulos son muchos y variados, algunos con características peculiares, y no existe una biblioteca estándar que los analice. Omri Herscovici, desarrollador y experto en seguridad de red, y Omer Gull, investigador de seguridad informática, encontraron más de 25. Algunos solo utilizan HTML básico, pero otros soportan distintas fuentes y colores, permiten realizar dibujos, insertar imágenes y fuentes binarias, e incluso ejecutar otro programa de fondo.

Este abanico de posibilidades despertó su curiosidad: ¿se puede explotar esto? La respuesta, a esta altura, es obvia. En la Ekoparty demostraron que pudieron tomar control de los dispositivos que reproducían sus subtítulos maliciosos en cuatro de las plataformas más utilizadas: Popcorn Time, Kodi, StremIO y VLC.

Todo esto es muy interesante (e inquietante) pero todavía hay un detalle sin resolver: el usuario tiene que elegir justo el archivo malicioso. Popcorn Time utiliza como único proveedor de subtítulos OpenSubtitles (y elige el indicado automáticamente). Asimismo, OpenSubtitles es uno de los mayores repositorios de subtítulos, con un promedio de 7 a 10 millones de descargas diarias. Por lo tanto, los investigadores se adentraron en su funcionamiento.

¿Cómo decide este repositorio el orden de los archivos al momento de responder a una búsqueda? A través de un ranking, basado en cinco criterios. En el caso de Popcorn Time, el primero de la lista es el que se utiliza. Herscovici y Gull encontraron la manera de manipular el algoritmo que otorga el puntaje a cada subtítulo y colocar un archivo malicioso en la cima de los resultados de búsqueda.

Así, un atacante se asegura que su subtítulo sea utilizado y, mientras el usuario mira tranquilamente una película, gana control del dispositivo. Ya en esta instancia, las posibilidades son infinitas: ejecutar programas de forma remota, instalar algún tipo de virus, habilitar la cámara, utilizar la computadora para un ataque de denegación de servicios…

Entonces, a nosotros, y a los 220 millones de usuarios de estas plataformas (estimados por los investigadores), solo nos resta tener las medidas de seguridad de nuestros dispositivos al día para sentarnos cómodamente en un sillón a disfrutar de una película sin temor a ser espiados.

Encontrá todas las notas de la conferencia bajo la etiqueta Ekoparty.