Web-DRM: Chrome-Bug ermöglicht Download von Netflix- und Amazon-Filmen
Durch einen Bug im DRM-System Widevine ist es offenbar möglich, verschlüsselte Videostreams im Chrome-Browser herunterzuladen. Das betrifft auch die Inhalte von Netflix und anderen Streaming-Diensten.
Die beiden Sicherheitsforscher David Livshits und Alexandra Mikityuk haben eine Lücke im Chrome-Browser aufgespürt, die den Download von DRM-geschützten Videostreams ermöglicht. Dank des Bugs sei es recht einfach, etwa Filme von Netflix oder Amazon Prime auf dem eigenen Rechner zu speichern, berichtet Wired.
Der Fehler liegt in der Implementierung des DRM-Systems Widevine, das zu Google gehört, aber nicht von Google entwickelt wurde. Widevine nutzt Encrypted Media Extensions (EME), damit das Content-Decryption-Modul (CDM) des Browsers mit dem Sicherungssystem etwa von Netflix kommuniziert. EME kümmert sich dabei um den Austausch von Schlüsseln und Lizenzen zwischen Streaming-Dienst und der CDM-Komponente. Danach kann das CDM die gestreamten Inhalte entschlüsseln.
Ein fehlerfreies DRM-System schützt die entschlüsselten Videodaten und zeigt sie nur im Browser an. Nutzer erhalten keinen direkten Zugriff auf die Videodatei. Der Fehler von Widevine erlaubt allerdings wohl auch das Kopieren der entschlüsselten Videostreams, wie ein kurzes Beweisvideo der Sicherheitsforscher veranschaulicht. Es sei möglich, die Inhalte "zu entführen", sobald das CDM den Film entschlüsselt hat.
Simpler Bug – schwierige Lösung?
Die Forscher bezeichnen den Bug als "sehr simpel", verrieten aber keine Details. Bereits am 24. Mai haben sie Google über ihr Entdeckung informiert – ein Patch ist bis heute nicht erschienen. Die Forscher gewähren Google 90 Tage für die Problemlösung. So viel Zeit billigt Google seinen Konkurrenten im Rahmen seines "Project Zero", wenn Google-Experten eine Sicherheitslücke finden. Die Sicherheitsforscher empfehlen, dass das Content-Decryption-Modul in einer Trusted Execution Environment (TEE) läuft, um eine "Entführung" des Videostreams zu verhindern.
Gegenüber Wired erklärte Google, dass Entwickler das Problem untersuchen würden. Der Bug sei in allen Browsern mit Chromium-Unterbau enthalten – also wohl auch im Opera- und Vivaldi-Browser. Der Forscher Dudu Mimran kritisierte Google für den seiner Meinung nach laschen Umgang mit dem Fehler. Um Content-Diebstahl zu vermeiden, solle Google den Bug mit einer höheren Priorität bearbeiten, fordert Mimran. Er arbeitet als CTO am Cyber Security Research Center der Ben-Gurion-Universität, wo auch einer der Entdecker des Bugs tätig ist. Forscherin Alexandra Mikityuk arbeitet in den Telekom Innovation Laboratories in Berlin. Google hatte Widevine im Jahr 2010 gekauft, um Premium-Kanäle bei Youtube zu schützen. (dbe)