También afectaría a otros servicios de vídeo en streaming de pago, como Amazon Prime. Google ya está solucionando el ‘bug’.
Por Marcos Merino
Ciudad de México, 28 de junio (SinEmbargo/TICbeat).- Dos investigadores (David Livshits, del Centro de Investigación de ciberseguridad de la Universidad Ben-Gurionl, y Alexandra Mikityuk, del laboratorio Telekom Innovation de Berlín) han hecho pública la existencia de una vulnerabilidad en el navegador Google Chrome que, según afirman, facilitaría la descarga ilegal de películas y series de plataformas de vídeo en streaming como Amazon Prime o Netflix.
Livshits y Mikityuk alertaron a Google el pasado mes de mayo, pero hasta ahora no se había arreglado la vulnerabilidad, que afecta al modo en que Google implementa una tecnología denominada Widevine EME/CDM (patentada por la propia compañía), que es la que usa el navegador para procesar el ‘streaming’ de videos cifrados.
Los investigadores crearon un archivo ejecutable que revela la vulnerabilidad, y elaboraron un video que lo demuestra. Sin embargo, no han proporcionado detalles, ni lo harán antes de que pasen 90 días desde su aviso a Google, con el fin de que la compañía tenga tiempo de reaccionar y actualizar las instalaciones activas del navegador. Este plazo coincide, además, con la cantidad de tiempo que el equipo de analistas de Google Project Zero proporciona a los proveedores para corregir las vulnerabilidades que descubran.
Sólo sabemos que el componente de descifrado CDM del navegador permitía copiar el contenido, ya descifradi, mientras el streaming estaba activo, y que la solución a esta vulnerabilidad (y a otras vulnerabilidad potenciales) pasa por el rediseño del CDM para que funcione dentro de un TEE (Trusted Execution Environment).
Además, los investigadores informaron que pese al hecho de que otras compañías tecnológicas hacen uso del mismo sistema de seguridad (está disponible en más de 2.000 millones de dispositivos en todo el mundo, y es usado también por Mozilla Firefox, Internet Explorer, Safari y Opera), hasta el momento únicamente Google Chrome presenta esta vulnerabilidad.