Dos investigadores de seguridad descubrieron una vulnerabilidad en Chrome, que según ellos, permitiría descargar (hacer copias ilegales) películas o series de sitios de streaming como Netflix o Amazon Prime, según reportó Wired.

David Livshits, del centro de investigación de ciberseguridad de la Universidad Ben-Gurion en Israel, y Alexandra Mikityuk, del laboratorio Telekom Innovation en Berlín, Alemania; descubrieron esta falla en el sistema que usa Chrome para el streaming de video, y alertaron a Google en mayo de este año, pero hasta ahora no se ha arreglado la falla.

La vulnerabilidad existe en la forma en que Google implementa la tecnología llamada Widevine EME/CDM, que es la que usa Chrome para ‘streaming’ de videos cifrados. Los investigadores crearon un archivo ejecutable que revela la vulnerabilidad, y produjeron un video que lo demuestra.

¿De qué se trata esta falla?

Widevine EME/CDM es un sistema, del que Google es dueño, que permite transmitir los videos de Netflix o Amazon Prime, a través de su navegador. Widevine usa extensiones cifradas de medios para permitir que el módulo de descifrado en el navegador (CDM) se comunique con los sistemas de protección de contenido de Netflix o de los otros servicios, para que ellos brinden las películas cifradas.

Ahora, la extensión llamada EME maneja licencia que se intercambia entre los sistemas de protección de contenido de los proveedores (Netflix) y el componente CDM del navegador. Cuando eliges una película para ver, el CDM envía una petición de licencia al proveedor a través de la interfaz EME y recibe la licencia, que es lo que permite al CDM descifrar el video y enviarlo al reproductor del navegador para transmitir el contenido.

Un buen sistema de DRM, administrador de derechos digitales, (Digital Rights Management, por sus siglas en inglés), debería proteger el contenido que descifra y solo permite hacer el streaming del contenido el navegador. Pero el sistema de Google permite copiar el contenido al tiempo que hace el streaming.

Los investigadores dicen que la falla es muy sencilla, pero no dirán detalles sobre ella hasta que pasen 90 días de que informaron a Google, ya que no quieren que nadie que aún no sepa sobre la vulnerabilidad, la use y comience a robar películas. Los investigadores de Google le piden a quienes descubren fallas, 90 días antes de que hagan públicas las vulnerabilidades.

¿Por qué Google no ha arreglado la falla?

Livshits y Mikityuk consideran que el problema se podría solucionar fácilmente, pero si Google quiere arreglar esta falla y prevenir otras posibles vulnerabilidades a futuro; tendría que rediseñar su CDM para que funcione dentro de un TEE (Trusted Execution Environment, por sus siglas en inglés), que es una especie de túnel protector para prevenir que se descargue el contenido descifrado por el sistema.

Sin embargo, un vocero de Google le dijo al medio que están examinando el caso, pero dijo que esta falla no es exclusiva de Chrome, sino de todos los navegadores creados desde Chromium, el código abierto del que se deriva Chrome.

Eso quiere decir que Google sabía desde antes de este problema, y que incluso si Google agregara códigos que modificaran la forma en que opera el CDM, los otros navegadores que usan Chromium tendrían la falla. Los investigadores no están de acuerdo con esta postura, porque Google debería hacerse responsable por lo que hace su navegador, no el de los demás.

En ocasiones anteriores, se han descubierto fallas similares en navegadores, pero esta es la primera vez que involucra un servicio de terceros, como Netflix, quienes podrían verse afectados legalmente si sus usuarios pueden descargar sus contenidos.

Imagen: LP independent (vía YouTube).