Googlen Chrome-selaimesta löytynyt haavoittuvuus mahdollistaa helpon piratismin

Googlen suositusta Chrome-selaimesta on löytynyt mielenkiintoinen uusi bugi. Chromen bugi saa epäilemättä Hollywoodin ja muiden vastaavien tahojen niskakarvat pystyyn, sillä sen myötä erilaisten streamauspalveluiden DRM:llä voi heittää vesilintua. Haavoittuvuudesta raportoi muun muassa Wired.

Israelilaisen Ben Gurion yliopiston ja saksalaisen Telekom Innovation Laboratoriesin tutkijat David Livshits ja Alexandra Mikityuk ovat löytäneet Chromen DRM-moduulista mediamaailman kannalta vakavan haavoittuvuuden. Haavoittuvuus mahdollistaa videoiden tallennuksen DRM-suojatuista streamauspalveluista kuten Netflix.

Ongelman ydin löytyy Googlen käyttämästä Widevine-DRM-moduulista, joka toimii videon purkavan moduulin ja streamauspalvelun salattujen tiedostojen välimiehenä. Median purkumoduuli lähettää Widevinen välityksellä streamauspalvelulle pyynnön suojatun materiaalin avaimesta, ja saa sen paluupostissa saman moduulin kautta. Normaalisti DRM-moduulin pitäisi huolehtia, että selain kykenee toistamaan salatun tiedoston ilman, että siihen pääsee käsiksi mikään muu ohjelma. Widevinen tapauksessa näin ei tapahdu, vaan sen heikkouksia hyväksikäyttämällä on mahdollista kopioida vaikka koko elokuva ilman salauksia sitä mukaa kun selain toistaa sitä.

Tutkijat kertoivat Googlelle bugista 24. toukokuuta, mutta ainakaan toistaiseksi korjausta ei ole kuulunut. Tutkijoiden mukaan haavoittuvuus hyvin yksinkertaisesti hyödynnettävissä, mutta he ovat lupautuneet pitämään suunsa kiinni ainakin 90 päivää bugin ilmoitushetkestä, ennen kuin he kertovat siitä mitään sen tarkemmin. 90 päivän odotusaika on tarkoitettu vähentämään haavoittuvuuden mahdollista hyväksikäyttöä piratismimielessä. Tutkijat päätyivät 90 päivään, koska Google antaa saman ajan muille yrityksille bugien korjaamiseen, ennen kuin se paljastetaan julkisuuteen.