Ένας Βρετανός ερευνητής ασφάλειας (David Buchanan) κατάφερε, τον Ιανουάριο του 2019, να σπάσει το επίπεδο προστασίας L3 της τεχνολογίας διαχείρισης ψηφιακών δικαιωμάτων Widevine (DRM) της Google. Το hack μπορεί να επιτρέψει στον ερευνητή να αποκρυπτογραφήσει περιεχόμενο που μεταφέρεται μέσω streaming και προστατεύεται από DRM. Ο David Buchanan έκανε tweet σχετικά με την αδυναμία του L3 που βρήκε, αλλά δεν δημοσίευσε κανένα κώδικα απόδειξης της ιδέας, που άλλοι θα μπορούσαν να χρησιμοποιήσουν για να το εκμεταλλευτούν προτού η Google επιλύσει το πρόβλημα.
Η Google σχεδίασε την τεχνολογία Widevine DRM για να λειτουργεί σε τρία επίπεδα προστασίας δεδομένων (L1, L2 και L3) τα οποία μπορούν να χρησιμοποιηθούν σε διάφορα σενάρια. Σύμφωνα με τα έγγραφα της Google, οι διαφορές μεταξύ των τριών επιπέδων προστασίας είναι οι εξής:
L1 – όλες οι λειτουργίες επεξεργασίας περιεχομένου και κρυπτογράφησης διεκπεραιώνονται μέσα σε μια CPU που υποστηρίζει ένα Trusted Execution Environment (TEE).
L2 – μόνο λειτουργίες κρυπτογράφησης διεκπεραιώνονται μέσα σε TEE.
L3 – οι λειτουργίες επεξεργασίας περιεχομένου και κρυπτογράφησης διεξάγονται (σκοπίμως) εκτός TEE ή η συσκευή δεν υποστηρίζει TEE.
Έτσι οι πάροχοι υπηρεσιών streaming, όπως το Hulu ή το Netflix, συνήθως πραγματοποιούν έναν έλεγχο στην συσκευή που συνδέεται για να δουν τι επίπεδο Widevine DRM υποστηρίζει, πριν σερβίρουν περιεχόμενο.
Το τελευταίο crack στο Widevine αφορά την προστασία της τεχνολογίας κρυπτογράφησης για L3, η οποία χρησιμοποιείται μόνο για βίντεο και ήχου χαμηλής ποιότητας. Η Google αναφέρει ότι η αδυναμία δεν επηρεάζει τις L1 και L2, οι οποίες περιλαμβάνουν περισσότερο περιεχόμενο βίντεο και ήχου υψηλής ευκρίνειας.
«Καθώς η προστασία κώδικα εξελίσσεται πάντα για να αντιμετωπίσει νέες απειλές, επί του παρόντος εργαζόμαστε για να ενημερώσουμε το λογισμικό Widevine DRM με τις τελευταίες εξελίξεις στην προστασία κώδικα για την αντιμετώπιση αυτού του ζητήματος», δήλωσε η Google σε γραπτή δήλωση από την KrebsOnSecurity.
Ο Tomer Hadad, ο ερευνητής που ανέπτυξε την επέκταση του προγράμματος περιήγησης, δήλωσε ότι ο κώδικας απόδειξης της ιδέας του « έγινε για να δείξει περαιτέρω ότι η απόκρυψη κώδικα, τα κόλπα κατά του εντοπισμού σφαλμάτων, οι αλγόριθμοι κρυπτογράφησης whitebox και άλλες μέθοδοι ασφάλειας-από-ασάφειας τελικά θα νικηθούν ούτως ή άλλως, και, κατά κάποιον τρόπο, άσκοπα . ”
Η Google χαρακτήρισε την αδυναμία παράκαμψη που θα διορθωνόταν. Αλλά ο Hadad αντιμετώπισε πρόβλημα με αυτόν τον χαρακτηρισμό.
” Δεν είναι ένα σφάλμα αλλά ένα αναπόφευκτο ελάττωμα λόγω της χρήσης λογισμικού, γι ‘αυτό και το L3 δεν προσφέρει την καλύτερη ποιότητα “, έγραψε ο Hadad σε ένα email. « Το L3 χρησιμοποιείται συνήθως σε επιτραπέζιους υπολογιστές λόγω της έλλειψης αξιόπιστων ζωνών υλικού. »
Οι εταιρείες πολυμέσων που μεταδίδουν βίντεο στο διαδίκτυο χρησιμοποιώντας το Widevine μπορούν να επιλέξουν διαφορετικά επίπεδα προστασίας για την παράδοση του περιεχομένου τους, ανάλογα με τις δυνατότητες της συσκευής που ζητά πρόσβαση. Τα περισσότερα σύγχρονα smartphone και κινητές συσκευές υποστηρίζουν πολύ πιο ισχυρές προστασίες L1 και L2 Widevine που δεν βασίζονται στο L3.
