Open Source im professionellen Einsatz

DRM-Modul für Chromium ist undicht

28.06.2016

Ein Fehler in Googles DRM-Modul Widevine erlaube es Usern, Filme von Netflix und Amazon herunterzuladen, berichtet Wired. Ein Patch für das Problem stehe noch aus.

328

Ausnutzen lasse sich die Sicherheitslücke allerdings nicht. Die Entdecker, David Livshits vom Cyber Security Research Center der Ben-Gurion-Universität in Israel und Alexandra Mikityuk von den Telekom Innovation Laboratories in Berlin, haben Google laut Wired am 24. Mai über die Lücke informiert. Gemäß den Google-eigenen Regeln hat das Unternehmen nun 90 Tage Zeit, sie zu stopfen, bevor die Forscher Hintergrunddaten veröffentlichen. Die haben nicht nur Proof-of-Concept-Code veröffentlicht, der die Lücke ausnutzt, sondern auch ein kurzes Demovideo auf Youtube.

Die Lücke betrifft das Widevine-EME/CDM (Encrypted Media Extension/Content Decryption Modul) in Chrome, das mit den Content-Protection-Systemen von Netflix oder Amazon kommuniziert. Widevine soll dafür sorgen, dass sich Filme im Browser zwar abspielen, aber nicht aufzeichnen lassen. Dafür enthält der Browser quasi eine Art Blackbox-Code, der unter anderem für den Schlüsselaustausch zuständig ist.

Der Bug sei sehr simpel, berichten die Forscher und setze an der Stelle an, an der das CDM die Inhalte zum Abspielen im Browser entschlüsselt. Sie glauben er lassen sich beheben, indem Google das CDM in eine Art Sandbox, ein Trusted Execution Environment (TEE), packt. Google sieht den Bug auch als Gefahr für andere Chromium-basierte Browser. Zugleich wiegelt das Unternehmen ab. Das Problem sei schon länger bekannt, selbst wenn Google es behebe, könnten es für andere Browserhersteller, die auf Chromium setzen, weiterhin existieren. Das aber hält Dudu Mimran, CTO des Forschungszentrums in Israel, für eine merkwürdige Begründung, um nichts gegen die Lücke zu tun.

Kritiker warnen immer wieder, dass DRM-Systeme einerseits die Rechte der Nutzer beschneiden und diese eventuell ausspionieren, andererseits Angreifern im Fall von Sicherheitslücken eine Möglichkeit bieten, versteckten Schadcode auf Systemen zu platzieren. Im MP3-Bereich wurde DRM weitgehend wieder abgeschafft. Das Widevine CDM steckt auch in Firefox und Opera, diese Browser haben die Forscher aber bislang nicht untersucht. Safari verwendet hingegen Apples Fairplay CDM, der Internet Explorer verwendet Playready von Microsoft.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.