Netflix, i film si scaricano con un bug di Chrome

Gli utenti più scaltri conoscono sicuramente strade più semplici per scaricare illegalmente i film, ma la scoperta di due esperti di sicurezza potrebbe facilitare il compito a tutti. David Livshits del Cyber Security Research Center (Israele) e Alexandra Mikityuk dei Telekom Innovation Laboratories (Berlino) hanno individuato un bug in Chrome che consente il download dei film da Netflix e altri servizi di streaming, come Amazon Video.

Il bug è correlato all’implementazione della tecnologia Widevine EME/CDM utilizzata da Chrome per lo streaming dei contenuti protetti da DRM. Il CDM (Content Decryption Module) integrato nel browser comunica con il sistema di protezione dei contenuti di Netflix, mentre EME (Encrypted Media Extension) gestisce lo scambio della chiave o della licenza. Quando l’utente avvia la riproduzione del film, il CDM invia una richiesta di licenza al provider e, in caso di risposta affermativa, viene decifrato il flusso video. Il bug permette quindi di registrare il film che, teoricamente, dovrebbe essere riprodotto solo all’interno del browser.

I ricercatori non hanno divulgato i dettagli del bug, ma hanno segnalato il problema a Google a fine maggio. Sebbene abbia già pianificato il rilascio di una patch, l’azienda di Moutain View ha comunque sottolineato che il bug è presente in tutti i browser basati sul codice di Chromium (ad esempio, Opera). Livshits e Mikityuk suggeriscono di eseguire il CDM in un TEE (Trusted Execution Environment), in modo da scrivere i contenuti decifrati in uno spazio di memoria protetto.

Oltre che in Chrome, il Widevine CDM è incluso in Firefox e Opera, ma questi browser non sono stati esaminati. Apple usa FairPlay CDM per Safari, mentre Microsoft usa PlayReady CDM per Edge e Internet Explorer.