Uma legenda é suficiente para alguém tomar controle do seu PC com VLC, Kodi ou Popcorn Time

Legendas de filmes e séries não são apenas arquivos de texto inofensivos

Paulo Higa
• Atualizado há 9 meses

Legendas de filmes e séries normalmente são vistas como arquivos de texto inofensivos, mas podem ter códigos maliciosos escondidos. Players de vídeo conhecidos, como VLC, Kodi e Popcorn Time, estão sujeitos a uma falha de segurança que permite a uma pessoa mal intencionada obter controle total do seu computador.

A vulnerabilidade foi descoberta pela empresa de segurança CheckPoint, que estima que aproximadamente 200 milhões de usuários são afetados — a versão 2.2.4 do VLC para Windows, por exemplo, tem 171 milhões de downloads. Ao executar uma legenda maliciosa, o player de vídeo permite o controle remoto do PC, o que pode resultar em roubo de informações, instalação de ransomwares e ataques de negação de serviço.

Você não deve ter problemas se utiliza os players apenas para assistir a filmes em mídias físicas, que já possuem legendas embutidas, mas pode ser afetado se baixa legendas em sites de terceiros. Além disso, alguns softwares fazem downloads automáticos em repositórios como o OpenSubtitles.org. Ao manipular o ranking desses sites, é possível fazer uma legião de usuários baixar código malicioso sem saber.

Este vídeo mostra uma prova de conceito do ataque:

O problema é causado, segundo a CheckPoint, devido à baixa segurança em vários players de mídia e ao alto número de formatos de legendas no mercado: há mais de 25 tipos em utilização. Sem um padrão estabelecido, os softwares precisam interpretar todos os formatos, cada um com um método diferente, o que acaba abrindo espaço para vulnerabilidades como essa.

Para se precaver, atualize seu player de vídeo assim que possível. O VLC já liberou a versão 2.2.5.1, que corrige a falha, bem como o Popcorn Time. O Kodi, antigo XBMC, ainda não foi atualizado.

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.