Google poprosiło GitHub o zablokowanie 135 repozytoriów związanych z Widevine

Niedawno ukazała się wiadomość, że Google poprosił GitHub o zablokowanie 135 repozytoriów na platformie, które są powiązane poprzez dołączenie kodu definiującego klucze do odszyfrowania treści chronionych przez Widevine CDM (Content Decryption Module) zablokowany na mocy amerykańskiej ustawy Digital Millennium Copyright Act (DMCA).

Fakt ten zaskakuje wielu, ponieważ Google stosował taktykę nieagresji. w kwestiach związanych z własnością intelektualną, ale w 2018 roku hasło „Nie bądź zły” zostało usunięte z Kodeksu Postępowania.

Blokada została zainicjowana w repozytoriach, które zawierały klucz prywatny RSA który został wyodrębniony z CDM firmy Widevine w wyniku luki w mechanizmach ochrony zaimplementowanych w tym module.

Większość repozytoriów to rozwidlenia wtyczki Chrome widevine-l3-decryptor, który umożliwia dostęp do treści przesyłanych strumieniowo przez kanał komunikacyjny chroniony DRM.

Ta wtyczka została napisana w celu zademonstrowania, w jaki sposób można obejść mechanizm ochrony DRM firmy Widevine, przechwytując wywołania interfejsu API Encrypted Media Extensions (EME) i pobierając wszystkie przekazane klucze szyfrowania treści.

Repozytorium zauważa, że ​​kod jest demonstracją metody ataku i jest rozpowszechniany wyłącznie w celach edukacyjnych (wtyczka nie odszyfrowuje treści, określa jedynie klucz, ale uzyskany klucz można wykorzystać do odszyfrowania za pomocą narzędzia ffmpeg, określając uzyskany klucz podczas uruchamiania w „-decryption_key”).

Google tworzy i dystrybuuje moduł deszyfrowania treści (CDM) firmy Widevine, który jest licencjonowany do użytku w wielu przeglądarkach, w tym Google Chrome, Microsoft Edge, Mozilla Firefox i Opera. Platforma CDM firmy Widevine jest używana w połączeniu z serwerem licencji firmy Widevine do dystrybucji treści wideo i audio DRM przez Internet i jest używana przez dostawców treści, w tym Disney +, Netflix, Amazon Prime Video, YouTube, Hulu i inne, w celu zapobiegania piractwu. treści chronionych prawem autorskim.

Google LLC jest właścicielem praw autorskich do Widevine CDM i udziela innym licencji na korzystanie z nich bez modyfikacji lub redystrybucji zgodnie z warunkami umowy licencyjnej Widevine Master.

Jako przyczynę blokady podaje się naruszenie sekcji 1201 ustawy Digital Millennium Copyright Act (DMCA), a sama wtyczka jest oflagowana jako narzędzie stworzone specjalnie w celu naruszenia warunków korzystania z licencjonowanych treści i obejścia mechanizmów ochrony DRM.

Wśród wykroczeń wymieniono również obecność akt w repozytorium które naruszają prawa autorskie Google.

W szczególności plik license_protcol.proto oraz dokumenty Widevine Modular DRM Security Integration Guide i Widevine DRM Architecture Overview. Warto zaznaczyć, że license_protcol.proto to plik nagłówkowy dla libprotobuf z opisem struktury protokołu Widevine, czyli argumentami Google zbliżonymi do argumentów Oracle atakujących Androida.

Dla tych, którzy nie znają się na technologii szeroka winorośl, powinni wiedzieć, że to jest opracowany przez Google i jest używany głównie w Chrome i różnych systemach (zwykle Linux) aby móc wyświetlać treści chronione prawem autorskim w serwisach Netflix, Disney, Amazon Video, BBC, HBO, Facebook, Hulu, Spotify i wielu innych.

Dostarczany jest moduł CDM o tej samej nazwie do dekodowania treści, który jest używany w przeglądarkach Chrome, Edge, Firefox i Opera, a także w produktach firm Samsung, Intel, Sony i LG.

W zeszłym roku najsłabszy poziom zabezpieczeń, Widevine L3, został złamany, w pełni zaimplementowany w oprogramowaniu i jest powszechnie używany do dystrybucji treści poniżej 1080p.

Okazało się, że implementacja algorytmu szyfrowania Whitebox AES-128 jest podatna na atak typu Differential Fault Analysis (DFA), który umożliwia dostęp do klucza szyfrującego.

W końcu, jeśli chcesz dowiedzieć się więcej na ten temat o żądaniu wysłanym przez Google do GitHub, możesz sprawdzić szczegóły W poniższym linku.


Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.