En “Hacked in Translation”, la empresa de seguridad informática Check Point muestra cómo los ciberdelincuentes pueden utilizar  los subtítulos para hacerse con millones de dispositivos utilizando reproductores multimedia populares, como VLC, Kodi (XBMC), Popcorn Time y Stremio.

Los expertos de la firma han descubierto un nuevo vector de ataque que puede permitir a los ciberdelincuentes crear subtítulos maliciosos que, una vez descargados por los  usuarios de las plataformas multimedia, ayudan a obtener el control total de sus ordenadores, dispositivos móviles y Smart TV.

«La cadena de suministro de subtítulos es compleja, ya que existen más de 25 formatos diferentes en uso, todos con características y capacidades únicas. Este ecosistema fragmentado, junto con una seguridad limitada, significa que hay múltiples vulnerabilidades que podrían ser explotadas, lo que lo convierte en un objetivo muy atractivo para los ciberatacantes», explica Omri Herscovici, responsable del equipo de investigación de vulnerabilidades de Check Point. «Hemos descubierto que los subtítulos maliciosos pueden ser creados y entregados a millones de dispositivos de forma automática, pasando por alto el software de seguridad y dando al atacante el control total del dispositivo infectado y los datos que contiene», añade.

El equipo de investigación de Check Point encontró vulnerabilidades en cuatro de los reproductores multimedia más populares: VLC, Kodi, Popcorn Time y Stremio. Y siguió las directrices de divulgación responsable para reportar las vulnerabilidades.

Los subtítulos para películas o programas de TV son creados por una amplia gama de redactores y subidos a repositorios en línea compartidos, como OpenSubtitles.org, donde están indexados y clasificados. Los expertos de Check Point también demostraron que, manipulando el algoritmo de clasificación de los repositorios, los subtítulos maliciosos pueden ser descargados automáticamente por el reproductor de medios. Esto permite a un hacker tomar el control completo de toda la cadena de suministro sin la interacción del usuario.

Las cuatro compañías ya han solucionado los problemas de seguridad detectados. Además, Stremio y VLC han lanzado nuevas versiones de sus programas que incorporan esta corrección. «Para protegerse y minimizar el riesgo de posibles ataques, los usuarios deben asegurarse de actualizar sus reproductores a las últimas versiones», concluye Herscovici.

VLC tiene más de 170 millones de descargas de su última versión, lanzada el 5 de junio de 2016. Kodi (XBMC) ha alcanzado más de 10 millones de usuarios únicos por día, y casi 40 millones de usuarios únicos por mes.