恶意电影字幕来袭！ 3秒可控制你电脑

对于电影爱好者来说，下载电影字幕是在平常不过的事了，然而现在有研究人员发现，网上已经出现大量恶意电影字幕可以通过媒体播放器进行加载，进而控制受害者的电脑，而攻击过程仅仅只要3秒钟。

恶意电影字幕攻击演示视频

安全研究人员指出，攻击者会利用一些主流媒体播放器上漏洞，借助恶意字幕文件对使用者的电脑展开攻击。截止目前，已发现市面上4款主流媒体播放器，包括VLC、Kodi、Popcorn-Time和strem.io等媒体播放器或流媒体平台存在相关漏洞，估计全球约2亿用户将受到影响。

由于现在流行的字幕格式有25种以上，这就让上述媒体播放器需要解析不同的字幕格式来保证使用者的流畅体验，自然令其无法顾及所有字幕格式的安全性。

从恶意电影字幕攻击流程图中可以发现，攻击者制作出恶意电影字幕文件，然后上传到主流的字幕库里，通过调高其排名，让更多的用户从媒体播放器加载恶意字幕，进而被感染。

在上面视频中，研究人员展示了Popcorn-Time和Kodi两款媒体播放器遭受攻击的情形。当使用者通过这两款播放器播放电影，并载入恶意的字幕文件时，攻击者就能远程控制使用者的设备，而这些设备不仅可以是PC电脑，还可以是网络电视或移动终端（手机、平板），而后还能窃取使用者的敏感数据，甚至安装勒索软件。

然而这或许只是冰山一角，更多的媒体播放器可能存在上述漏洞威胁。据统计，目前VLC最新版已有超过1.7亿的下载量，Kodi每月也有4000万不同的用户使用，因此影响颇为广泛。所幸现在VLC与Stremio已经紧急推出最新版软件，而PopcornTime和Kodi两款虽已修补漏洞，但还没释出最新版，使用者只能多加小心了。