Google Widevine L3 - złamano DRM zabezpieczające filmy
Badacz bezpieczeństwa David Buchanan twierdzi, że złamał DRM Widevine L3, który jest używany przez wiele serwisów świadczących usługi strumieniowania wideo. Na liście użytkowników tego zabezpieczenia jest między innymi Netflix, Amazon Video, BBC i Hulu. David Buchanan podał, że złamał jedną z implementacji DRM Google i dokonał tego w "trywialnie prosty sposób". Było możliwe nie z powodu błędu, który stworzył lukę, ale "usterki w projekcie DRM". Buchanan twierdzi, że "w 100 procentach złamał DRM Widevine L3", w sposób który pozwoliłby na łatwe nagrywanie i kopiowanie wideo, które jest obecnie zaszyfrowane przez DRM. Póki co Google nie zareagowało na informację o złamaniu zabezpieczenia.
Choć od kilku lat wiadomo, że poziom ochrony L3 był teoretycznie najsłabszy, nikt do dzisiaj nie znalazł sposobu na odszyfrowanie treści zabezpieczonej przez Widevine L3.
David Buchanan pochwalił się swoim udanym atakiem na Twitterze: "Tak, po kilku godzinach wieczornej pracy, mam w 100 procentach złamane Widevine Le DREAM. Ich Whitebox AES-128 jest podatny na atak DFA, który może być wykorzystany do odzyskania oryginalnego klucza. Następnie można odszyfrować wideo w formacie MPEG-CENC z zwykłym starym FFmpeg". Bardziej interesujący jest w tym przypadku fakt, że do złamania zabezpieczenia miało dojść w tak prosty sposób niż samo pokonanie DRM. Widevine L3 zabezpiecza bowiem treści wyświetlane w niższej jakości. Dopiero wersje L2 i L1 odpowiedzialne jest za wysokiej jakości dane audio i wideo.
Hakerzy ujawnili prywatne dane niemieckich polityków
Firma Google zaprojektowała technologię Widevine DRM do pracy na trzech poziomach ochrony danych - L1, L2 i L3 - z których każdy może być wykorzystywany w różnych sytuacjach. Według dokumentów Google, różnice między trzema poziomami ochrony są następujące: L1 - wszystkie operacje przetwarzania treści i kryptografii są obsługiwane wewnątrz procesora obsługującego środowisko Trusted Execution Environment (TEE); L2 - tylko operacje kryptograficzne są obsługiwane wewnątrz TEE; L3 - przetwarzanie treści i operacje kryptograficzne są (celowo) obsługiwane poza TEE lub urządzenie nie obsługuje TEE. Choć od kilku lat wiadomo, że poziom ochrony L3 był teoretycznie najsłabszy, nikt do dzisiaj nie znalazł sposobu na odszyfrowanie treści zabezpieczonej w Widevine L3. Technologia została stworzona przez firmą Widevine Technologies, która została zakupiona przez Google w 2010 roku.