Oligur

• ニュース

Google Chromeに発見された懸念すべき脆弱性により、海賊版サイトがウェブから映画やテレビ番組をダウンロードすることがさらに容易になります。Googleは1か月前にこの問題を認識していましたが、修正アップデートをまだリリースしていません。

スタジオがDRMを使ってコンテンツを海賊版から守る新たな方法を見つけるにつれ、海賊版業者もそれを回避する新たな方法を見つけます。DRMが強化されるにつれて、それはより困難になりますが、どこかに突破可能な欠陥が存在することも少なくありません。

イスラエルのベングリオン大学サイバーセキュリティ研究センターのセキュリティ研究者 David Livshits 氏と、ドイツ・ベルリンのテレコム・イノベーション・ラボラトリーズの Alexandra Mikityuk 氏の 2 人の研究者が、Google Chrome に脆弱性を発見した。

この問題は、Google が所有しているものの開発したわけではない Widevine EME/CDM 技術を Chrome が使用して、オンライン ストリーミング サービスから暗号化されたビデオにアクセスし、再生する方法に起因しています。

「暗号化されたメディア拡張機能を使用することで、ブラウザのコンテンツ復号化モジュールがNetflixやその他のストリーミングサービスのコンテンツ保護システムと通信し、暗号化された映画を配信できるようになります」と Wiredは説明しています。

「EME は、コンテンツ プロバイダーの保護システムとブラウザー内の CDM コンポーネント間のキーまたはライセンスの交換を処理します。CDM は EME インターフェイスを介してプロバイダーにライセンス要求を送信し、代わりにライセンスを受け取ります。」

ライセンスを取得すると、CDMは動画を復号化し、Chromeに送信して視聴できるようになります。DRMは、復号化されたデータを保護し、ブラウザ内に留まるように設計されているのですが、Chromeの欠陥によってそれが破られてしまうのです。

Livshits氏とMikityuk氏は、CDMが動画を復号しChromeへの送信を開始した直後に動画を取得する方法を発見しました。以下の動画は、彼らが作成した概念実証を用いてこれを実証しています。

研究者らは5月24日にこの脆弱性についてGoogleに報告しましたが、同社はまだ修正していません。研究者らによると、この脆弱性の悪用方法は単純であり、修正方法も同様に単純ですが、Googleが少なくとも90日間かけてパッチをリリースするまでは、その利用方法については明らかにしないとのことです。

Googleは Wired に対し、この問題を調査中であると述べたものの、どうやら「軽視」したようだ。また、この問題はChromeに限ったものではなく、Chromiumから派生したあらゆるウェブブラウザに当てはまるとも述べている。

この脆弱性がサードパーティ製ブラウザに存在するかどうかは不明です。FirefoxとOperaもWidevineを使用していますが、研究者はまだこれらを検証していません。また、独自技術を使用しているAppleとMicrosoftのブラウザもテストされていません。