英国一名安全研究员破解了谷歌公司Widevine数字版权管理(DRM)技术的L3保护级别。黑客可以让研究人员解密通过受DRM 保护的多媒体流传输的内容。虽然“破解谷歌的DRM”听起来很酷,但这种黑客行为,不太可能引发大规模的盗版浪潮。原因是黑客只对Widevine L3流有效,而对任何破解Widevine L3流的用户只能访问颗粒状的低质量视频和低保真音频。许多安全和密码学专家对Widevine L3黑客攻击并不感到意外,因为L3保护级别是最低的。
Widevine
谷歌将其Widevine DRM技术设计为在三个数据保护级别上工作,L1、L2和L3――每个级别在不同的场景中都可用。根据谷歌的文件,三种防护等级的差异如下:
・L1 - 所有内容处理和加密操作,都在支持可信执行环境(TEE)的CPU中处理。
・L2 - 只有加密操作在TEE中处理。
・L3 - 内容处理和加密操作(有意)在TEE之外处理,否则设备不支持TEE。
Hulu或Netflix等服务提供商,通常会在发送任何实际内容之前,对设备进行检查,看看它们支持哪种Widevine DRM级别。由于不同的安全级别会将 DRM加密的内容暴露给攻击,服务提供商提供的音频和视频流的质量级别不同,而L3接收质量最低。虽然几年前人们就知道WidevineL3保护级别是最弱,但直到今天,还没有人找到破解Widevine L3加密内容的方法。然而,今天,英国安全研究员大卫・布坎南提出了第一个这样的主张。布坎南在推特上说:“经过几个晚上的工作,我已经100%破解了Widevine L3 DRM。”
尽管布坎南还没有发布任何概念验证代码,但如果他发布了,也帮不了任何人。为了获得您想要DRM解密的加密的数据blob,攻击者首先仍然需要“权限许可”来接收数据blob。如果一个Netflix的盗版者有这个权利(作为一个账户持有人),那么他最有可能使用它来盗版更高质量的内容,而不是费心去解密低分辨率的视频。唯一的优点是可以实现盗版过程的自动化,但正如一些用户指出的那样,在当今几乎所有设备都能播放高清多媒体的技术场景中,这不是很有吸引力 。
无论出于何种目的,布坎南的黑客攻击纯粹是一个有趣的研究话题,它已经取得了许多其它专家直到现在才推测出的成果。研究人员说他确实向谷歌报告了这个问题。他还说,这个问题是无法解决的,因为它是一个设计缺陷,而不是bug或漏洞。谷歌的Widevine是当今最流行的数字版权管理技术,被Netflix、Hulu、Disney、HBO、DirectTV、Facebook、Showtime、Jio、Sony等内容提供商所使用。几乎所有的硬件平台和设备制造商都支持它,如苹果、三星、谷歌、英特尔、LG、Roku、Mozilla等。如果谷歌决定更新Widevine的L3加密实现,修补它将是一个相当大的和漫长的努力。