Zi 字媒體

一種新型攻擊手段–字幕攻擊，當受害者載入了攻擊者製作的惡意字幕文件后將會觸發播放器漏洞。還能不能好好玩耍看個視頻也被黑？ 當你想在電腦上觀看影片時，很自然地打開視頻播放器，載入字幕，當然遇到一些「生肉」影片時，我們還可能在網上千方百計尋找字幕，好吧來個葛優躺，….兩小時過去了，殊不知，當你在完全放鬆欣賞大片的時候，黑客早已經悄悄入侵了你的電腦，把該乾的事都幹了。這種字幕攻擊手段可能是最最容易被用戶忽視和防範的黑客攻擊技術，因為對於普通用戶和播放器來說，都會把字幕文件認為是可信文件。對於攻擊者來說，他們可能會製作一些專門的惡意字幕庫，然後通過各種手段向受害者推送這些惡意字幕文件，誘導受害者載入使用。而對用戶來說，這種毫無防範意識的攻擊將會是最危險的攻擊。當前，這種攻擊在根源和意識方面，殺毒軟體等各類安全廠商都還不具備檢測識別能力，從某種程度上來說，可能或許是未來的主流攻擊手段了，很難被殺。。。。據統計，因為目前每一種播放器的涉漏洞版本都存在數百萬計的用戶下載量，所以該攻擊方法影響用戶可能達數億人之多。利用這種攻擊，可以輕鬆控制電視、平板、手機….等使用視頻播放器的各類系統設備。當然這種攻擊將可能造成一些嚴重的潛在影響，如信息竊取、勒索攻擊、ddos等等。 無需藉助中間人攻擊（MITM）或其它交互手段，只需對惡意字幕文件的整個服務和推送鏈進行控制，就可實現對目標系統的隱蔽入侵控制。當然了，這種攻擊可能還會對那些依賴排名進行字幕文件下載選擇的用戶造成威脅影響。 字幕攻擊某知名研究機構：字幕攻擊，當受害者載入了攻擊者製作的惡意字幕文件后將會觸發播放器漏洞，從而實現對受害者系統「悄無聲息」地完全控制。據測試發現，該攻擊方法可以在多個知名視頻播放器存在漏洞的版本軟體上成功實現，目前，由於這些涉漏洞視頻軟體的全球下載量超過2億次，並被用戶在各種播放設備平台中使用，所以這種攻擊方法將可能成為近年來影響廣泛、傳播深遠的入侵手段之一。歡迎關注我的大魚號：黑客花無涯微信公眾號：heikehua