”פיצחתי בקלות את ההצפנה של נטפליקס”

בעזרת הפיצוח הזה, כל האקר או אדם אשר מחזיק במפתחות האבטחה יוכל פשוט להוריד כל סרט או סדרה בנטפליקס בלי בעיה

תמונה: Netflix

בשנים האחרונות חל שינוי אדיר בתחום הפיראטיות. משתמשים רבים העדיפו לוותר על תהליכי ההורדה והחיפושים הלא-חוקיים ומתישים, והסכימו לשלם דמי מינוי חודשיים הוגנים יחסית לשירותי סטרימינג (שהולכים ומתרבים) כדי ליהנות מנוחות ויעילות. שירותים כמו נטפליקס מגנים על התכנים שהם משדרים לנו באמצעות מנגנוני DRM (ניהול זכויות דיגיטלי), ובכך מבטיחות לספקיות וליוצרי התוכן כי תוכניהם מאובטחים בפלטפורמה שלהם. עכשיו חושף מומחה אבטחה, כי לשירותי הסטרימינג האלה יש בעיה חמורה.

כל מי שישיג את מפתחות ההצפנה, יכול פשוט להוריד את כל התכנים בנטפליקס

תמונה: @David3141593, Twitter

מומחה האבטחה דיוויד ביוקנן הודיע בחשבון הטוויטר שלו כי הוא הצליח לפצח את מנגנון ה-Widevine L3. זהו מנגנון DRM חינמי מבית גוגל שנמצא בשימוש על ידי שירותי סטרימינג כמו נטפליקס, Hulu, HBO-GO, אמזון, דיסני ועוד. החברות הללו משתמשות בו בעיקר במכשירי אנדרואיד ובדפדפני Chrome ו-FireFox. המשמעות היא שטכנית, כל מי שישיג את מפתחות ההצפנה יוכל פשוט להוריד את קובצי הסטרימינג בפורמט שיכול להתנגן בכל נגן, ולהפיץ אותם לכל מי שירצה בכך.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

ביוקנן טוען כי ההצפנה הקריפטוגרפית של מנגנון ה-DRM מסוג Whitebox AES-128 יכולה להיות מפוצחת על ידי מתקפת DFA (התקפת שיבוש). מה שבעצם מוביל לחילוץ מפתחות ההצפנה, וקידוד של התכנים המוגנים על ידו לפורמט FFmpeg שניתן להורדה מיידית. עוד מוסיף ביוקנן, כי התהליך הוא “פשוט לביצוע באופן מעורר חשש״, והפיצוח שלו ארך ״מספר ערבים בודדים״. ביוקנן לא פירט את דרך הפיצוח שלו, וטען כי נעזר במספר פרויקטים אחרים כדי להשלים אותה. בנוסף, הוא לא פירט האם בטרם פירסום ההודעה שלו, הוא יידע את גוגל על הפירצה שמצא, כמקובל.

יש לנו חדשות רעות, וחדשות טובות, וחדשות אולי רעות עוד יותר

החדשות הרעות עבור משתמשי נטפליקס הן שלפי ביוקנן, מאחר ולא מדובר בבאג, אם גוגל תרצה להקשות על מתקפות ה-DFA, היא תצטרך לנקוט בפעולות ״עירפול״ שונות, שיגרמו לירידה משמעותית בביצועים, וגם הן לא בהכרח יצליחו למנוע את הורדת הקבצים.

החדשות הטובות הן שמדובר בפירצה שקודם כל לא מסכנת שום מידע של המשתמש, וכי מנגנן ה-L3 שפוצח משמש להצפנת התכנים באיכות מתחת ל-HD. שאר התכנים באיכות גבוהה יותר משתמשים במנגנון Widevine L1 (גם הוא כמובן מבית גוגל). זהו כבר מנגנון הרבה יותר מתוחכם שמשתמש בהצפנה ועיבוד במעבד של מכשיר המשתמש בסביבה בטוחה (TEE). יכול להיות שהרע ביותר עוד לפנינו (ולפני נטפליקס וגוגל, בעיקר), כיוון שביוקנן מסר כי הוא עוד לא פנה לנסות לפצח את מנגנון ה-L1. במקרה התיאורטי שבו הוא יצליח, הדבר יהפוך לבעיה של ממש בקרב שירותי הסטרימינג השונים, ואולי גם עבור המשתמשים שיצטרכו לסבול מביצועים פחות מהירים.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

21 תגובות על "”פיצחתי בקלות את ההצפנה של נטפליקס”"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

סידור לפי:   חדש | ישן | הכי מדורגים
לידור
Guest

איך פורצים את זה

יודה
Guest

נרשם “ביוקנן לא פירט את דרך הפיצוח שלו, וטען כי נעזר במספר פרויקטים אחרים כדי להשלים אותה.”
תחליט אתה אם להאמין לו או לא.

ASD
Guest

פשוט – מסובבים את הסטיק הימני ימינה וכשמרגישים רעידות מסובבים לאט יותר ויותר עד שזה ננעל על המספר הראשון. עושים את אותו הדבר בסיבוב שמאלה ואז שוב ימינה וזה פורץ.

אפשרות אחרת היא להחזיק באיומים את מנהל הבנק ולבקש ממנו את הצופן.

אלי
Guest

אתם מודעים לזה שכל התכנים של נטפליקס וכד׳ נמצאים בכל הטראקרים, כך שפריצה כבר יש מזמן…

כרובי
Guest

לא מדוייק, Black Mirror: Bandersnatch

מישהו
Guest

קיים

מישהו
Guest

מה קורה אם אני משלם על מנוי אחד חוקי ודרך המחשב “מקליט” את התוכן שאני רואה ואז מעביר אותו בצורה פיראטית לכולם?
זה לא יותר קל?

טייפ דאבל-קסט
Guest

אנחנו לא בשנות ה80 של ערוץ אחד- יש מיליון תוכניות להורדה- בהצלחה עם הזפזופ

אלחנן
Guest

כביכול תהיה ירידה באיכות אבל היום אפשר להשיג תוצאות די טובות

אחד שיודע
Guest

זה בדיוק מה שאני חשבתי. נטפליקס לא מעניין מאחר וכל התכנים זמינים ברגע שאתה משלם ולא צריך לפרוץ שום דבר.
רלוונטי למערכות שדורשות תשלום פר צפייה וכו’

אדושה
Guest

הרעיון הוא לא לשלם…. ברור שברדע שמשלם התכנים פתוחים. ובתכלס באינטרנט יש הכל ממילא למה לטרוח להוריד כשיש צפיה ישירה במלא אתרים?????

אלמונימוס
Guest

סטרימינג זה לא אוכל ומים, אתם לא חייבים לצורך את זה כדי לשרוד. למה זה ניראה לאנשים לגיטימי שהם לא צריכים לשלם על עבודה שמישהו אחר עשה? אתם הייתם מפיקים סרט בהתנדבות כדי שקמצנים יוכלו להתרווח מול הספה בכיף בלי לשלם לכם? לא ניראה לי.
מי שמוריד תכנים פיראטים חופר לעצמו בור שיהיה לו מאד קשה לצאת ממנו אחר כך, ואנחנו יכולים לראות את הירידה באיכות העיתונאית כהקדמה למה שהולך לקרות לתעשיית הסרטים.

מזון לדעת ולנשמה
Guest
מזון לדעת ולנשמה

עכשיו כשיש נטפליקס ב30 ש”ח לחודש אולי אתה באמת צודק
מצד שני כשאני חושב על כל הכסף שביזבתי בעבר על השכרת סרטים וסדרות מבלוקבאסטר וחבריהם ועל מנויים לHOT וYES הגנבים השכונתיים- אני מברך את הפיראטים שלחמו לאורך כל הדרך עד שהביאו את התעשייה החמדנית הזאת של השכרת סרטים להפוך למוצר נגיש זול ויעיל לכל אחד

מישהו
Guest

מסכים לחלוטין. מצד שני, בתור אחד שמשלם לנטפליקס, מה אני אמור לעשות כשיש סדרה/סרט שאני רוצה לראות אבל לא זמין בארץ בגלל שטויות של זכויות יוצרים (אני מניח)? איזו עוד דרך יש מלבד להוריד בצורה לא חוקית?

כרובי
Guest

הבעיה כדי לצפות בתמהיל האישי שלך אתה צריך לשלם לנטפליקס+אמזון+דיסני+וכו’ וכו’ , כי כל אחד מחזיק תמהיל קצת שונה. אבל אפילו שם לא הכל פתוח לישראל, ויש דברים שבכלל לא נמצאים שם.

כל עוד לא יגיעו לפתרון שיכול להתחרות בטורנטים שכוללים הכל, הטורנטים ימשיכו לשרוד.

leech
Guest

מה שמסתמן זה נטפליקס בתור תחליף לטלוויזיה בכבלים וטורנטים בתור גיבוי למה שאין בנטפליקס

אורח
Guest

זה מסתמן לצעירים רווקים אולי.
אני אוהב לראות כדורגל וזה לא קיים בנטפליקס.
טורנטים זה באמת הדבר היחיד שגורם לי לחדש מחשב מדי כמה שנים.

EEE
Guest

FFmpeg זה לא פורמט
https://en.wikipedia.org/wiki/FFmpeg

מישהו
Guest

הוא כתב שאחרי הפענוח אפשר ללכוד את הסטרים לקובץ בעזרת ffmpeg. הכתב לא הבין נכון את הציוץ של ביוקנן.

מישהו
Guest

L1 זה סוג אחר לגמרי של הצפנה, הסיכוי שהוא יצליח לפרוץ אותה נמוך מאוד, וזו כבר לא הצפנה תוכנתית אלא פריצה של מנגנון הTrusted Zone של ARM, רמת קושי של הגילוי של Meltdown למשל… הרבה יותר קשה וישפיע באופן חמור בהרבה כי זו הצפנה שנמצאת בהרבה מוצרים שהם לאו דווקא וידאו אלא יישומים בנקאיים למשל, וגם במיקסר סטרימרים וידאו תעשייתיים של הפקת אירועים וכדומה, יהיה בלגן גדול.

אולי הוא ימצא חולשה במימוש של L1 את הטכניקה הזו, קשה לי להאמין

מישהו
Guest

נטפליקס יכולים ביום אחד לבטל את האפשרות לצפיה באיכויות פחות מ HD שמשתמשות ב L1 ולסתום את הפרצה, סביר שלרוב המשתמשים מכשירים תואמי L1 ומי שלא ידפק

wpDiscuz

תגיות לכתבה: