พบบั๊กใหม่ของ Google Chrome ที่อนุญาตให้สามารถคัดลอกคอนเทนต์ต่างๆ ไม่ว่าจะเป็นหนังจาก Netflix, Amazon Prime หรือวิดีโอแบบ exclusive ของ YouTube ที่เล่นบนเบราว์เซอร์ให้ออกมาเป็นไฟล์ได้ ผ่านระบบ DRM (Digital Right Management: การจัดการลิขสิทธิ์ดิจิทัล) ใน Chrome ที่ชื่อว่า Widevine David Livshits จาก Cyber Security Research Center ที่มหาวิทยาลัย Ben-Gurion ในประเทศอิสราเอล และ Alexandra Mikiyuk จาก Telekom Innovation Laboratories ในกรุงเบอร์ลิน ประเทศเยอรมนีเป็นผู้ค้นพบช่องโหว่นี้
Encrypted Media Extensions (EME) จะเป็นตัวเก็บ key หรือ license ที่แลกเปลี่ยนกันระหว่างระบบของผู้กระจายคอนเทนต์ กับ Content Decryption Module (CDM) ในเบราว์เซอร์
เมื่อเริ่มเล่นภาพยนตร์ที่ถูกเข้ารหัสไว้ Content Decryption Module (CDM) จะส่งคำขอ license ไปยังผู้กระจายคอนเทนต์ผ่านอินเตอร์เฟสของ Encrypted Media Extensions (EME) และรับ license มา ซึ่งจะอนุญาตให้ Content Decryption Module (CDM)
ทำการถอดรหัสตัววิดีโอและส่งไปยังตัวเล่นวิดีโอของเบราว์เซอร์ได้ โดยปกติแล้วระบบ DRM (Digital Right Management) จะปกป้องข้อมูลที่ถูกถอดรหัสออกมาแล้วและอนุญาตให้วีดีโอเล่นภายในเบราว์เซอร์ได้เท่านั้น แต่ช่องโหว่นี้ทำให้ระบบสามารถคัดลอกคอนเทนต์ไปได้ขณะที่วีดีโอกำลังเล่นภายในเบราว์เซอร์ได้
นักวิจัยด้านความปลอดภัยบอกว่า ได้แจ้งเตือนบั๊กกับ Google ไปแล้วตั้งแต่วันที่ 24 พฤษภาคมที่ผ่านมา ซึ่งนักวิจัยเชื่อว่าบั๊กนี้แก้ได้ง่าย ๆ ด้วยการแพทซ์ Chrome
ทางโฆษกของ Google ได้ตอบกลับอีเมลของ Wired โดยบอกว่ากำลังสอบสวนปัญหานี้อยู่ และปัญหานี้อาจไม่ได้เกิดเฉพาะ Chrome แต่อาจเกิดกับเบราว์เซอร์อีกหลาย ๆ ตัวที่สร้างจากโค้ดโอเพ่นซอร์สของ Chromium และนักพัฒนาสามารถสร้างเบราว์เซอร์และใช้ Content Decryption Module (CDM) ที่แตกต่างกับของ Google ได้ ซึ่ง Wired ให้ความหมายเพิ่มเติมว่า ทางโฆษกกำลังหมายความว่าต่อให้ใส่โค้ดป้องกันไปสุดท้ายคนที่เอาโค้ดไปทำเบราว์เซอร์ของตัวเองถ้าเขาจะเอาออกก็เอาออกไปอยู่ดี และเกิดการขโมยคอนเทนต์ได้เช่นกัน
ส่วนนักวิจัยความบอกว่าบั๊กนี้ดูเหมือนจะเกิดขึ้นตั้งแต่ที่ Google ใช้ Widevine และจะต้องถูกแก้เพื่อป้องกันการขโมยคอนเทนต์ การที่ Google กล่าวเช่นนั้นก็ไม่ถูกเพราะเบราว์เซอร์อื่น
อาจไม่ได้มีความปลอดภัยต่อการขโมยคอนเทนต์และได้รับการไว้วางใจเหมือนกับ Chrome ฉะนั้นจึงไม่สามารถใช้อ้างและเพิกเฉยต่อการแก้บั๊กได้
ที่มา: theregister
You must be logged in to post a comment.