''פיצחתי בקלות את ההצפנה של נטפליקס''

בעזרת הפיצוח הזה, כל האקר או אדם אשר מחזיק במפתחות האבטחה יוכל פשוט להוריד כל סרט או סדרה בנטפליקס בלי בעיה

תמונה: Netflix

בשנים האחרונות חל שינוי אדיר בתחום הפיראטיות. משתמשים רבים העדיפו לוותר על תהליכי ההורדה והחיפושים הלא-חוקיים ומתישים, והסכימו לשלם דמי מינוי חודשיים הוגנים יחסית לשירותי סטרימינג (שהולכים ומתרבים) כדי ליהנות מנוחות ויעילות. שירותים כמו נטפליקס מגנים על התכנים שהם משדרים לנו באמצעות מנגנוני DRM (ניהול זכויות דיגיטלי), ובכך מבטיחות לספקיות וליוצרי התוכן כי תוכניהם מאובטחים בפלטפורמה שלהם. עכשיו חושף מומחה אבטחה, כי לשירותי הסטרימינג האלה יש בעיה חמורה.

כל מי שישיג את מפתחות ההצפנה, יכול פשוט להוריד את כל התכנים בנטפליקס

תמונה: @David3141593, Twitter

מומחה האבטחה דיוויד ביוקנן הודיע בחשבון הטוויטר שלו כי הוא הצליח לפצח את מנגנון ה-Widevine L3. זהו מנגנון DRM חינמי מבית גוגל שנמצא בשימוש על ידי שירותי סטרימינג כמו נטפליקס, Hulu, HBO-GO, אמזון, דיסני ועוד. החברות הללו משתמשות בו בעיקר במכשירי אנדרואיד ובדפדפני Chrome ו-FireFox. המשמעות היא שטכנית, כל מי שישיג את מפתחות ההצפנה יוכל פשוט להוריד את קובצי הסטרימינג בפורמט שיכול להתנגן בכל נגן, ולהפיץ אותם לכל מי שירצה בכך.

מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

ביוקנן טוען כי ההצפנה הקריפטוגרפית של מנגנון ה-DRM מסוג Whitebox AES-128 יכולה להיות מפוצחת על ידי מתקפת DFA (התקפת שיבוש). מה שבעצם מוביל לחילוץ מפתחות ההצפנה, וקידוד של התכנים המוגנים על ידו לפורמט FFmpeg שניתן להורדה מיידית. עוד מוסיף ביוקנן, כי התהליך הוא "פשוט לביצוע באופן מעורר חשש״, והפיצוח שלו ארך ״מספר ערבים בודדים״. ביוקנן לא פירט את דרך הפיצוח שלו, וטען כי נעזר במספר פרויקטים אחרים כדי להשלים אותה. בנוסף, הוא לא פירט האם בטרם פירסום ההודעה שלו, הוא יידע את גוגל על הפירצה שמצא, כמקובל.

Soooo, after a few evenings of work, I've 100% broken Widevine L3 DRM. Their Whitebox AES-128 implementation is vulnerable to the well-studied DFA attack, which can be used to recover the original key. Then you can decrypt the MPEG-CENC streams with plain old ffmpeg…

— Dаvіd Вucһаnаn (@David3141593) January 2, 2019

יש לנו חדשות רעות, וחדשות טובות, וחדשות אולי רעות עוד יותר

החדשות הרעות עבור משתמשי נטפליקס הן שלפי ביוקנן, מאחר ולא מדובר בבאג, אם גוגל תרצה להקשות על מתקפות ה-DFA, היא תצטרך לנקוט בפעולות ״עירפול״ שונות, שיגרמו לירידה משמעותית בביצועים, וגם הן לא בהכרח יצליחו למנוע את הורדת הקבצים.

החדשות הטובות הן שמדובר בפירצה שקודם כל לא מסכנת שום מידע של המשתמש, וכי מנגנן ה-L3 שפוצח משמש להצפנת התכנים באיכות מתחת ל-HD. שאר התכנים באיכות גבוהה יותר משתמשים במנגנון Widevine L1 (גם הוא כמובן מבית גוגל). זהו כבר מנגנון הרבה יותר מתוחכם שמשתמש בהצפנה ועיבוד במעבד של מכשיר המשתמש בסביבה בטוחה (TEE). יכול להיות שהרע ביותר עוד לפנינו (ולפני נטפליקס וגוגל, בעיקר), כיוון שביוקנן מסר כי הוא עוד לא פנה לנסות לפצח את מנגנון ה-L1. במקרה התיאורטי שבו הוא יצליח, הדבר יהפוך לבעיה של ממש בקרב שירותי הסטרימינג השונים, ואולי גם עבור המשתמשים שיצטרכו לסבול מביצועים פחות מהירים.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

21 תגובות על ""פיצחתי בקלות את ההצפנה של נטפליקס""

התחבר עם:

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי: חדש | ישן | הכי מדורגים

Guest

לידור

"פיצחתי בקלות את ההצפנה של נטפליקס"

בעזרת הפיצוח הזה, כל האקר או אדם אשר מחזיק במפתחות האבטחה יוכל פשוט להוריד כל סרט או סדרה בנטפליקס בלי בעיה

כל מי שישיג את מפתחות ההצפנה, יכול פשוט להוריד את כל התכנים בנטפליקס

יש לנו חדשות רעות, וחדשות טובות, וחדשות אולי רעות עוד יותר

עידן בן טובים

הגב

תגיות לכתבה: