Widevine DRM: Sicherheitsforscher knackt die Verschlüsselung der Plattform

Die Google-eigene DRM-Plattform Widevine kennt der eine oder andere unter euch vielleicht. Die Plattform besteht aus drei verschiedenen Stufen L1-L3, die dazu benutzt werden, Video- und Audio-Inhalte vor Missbrauch zu schützen. Sollte euer Smartphone oder Tablet Widevine Stufe L1 nicht unterstützen, dann seid ihr nicht in der Lage HD-Streams auf den bekannten Videostreaming-Plattformen anzuschauen. Nutzer des Pocophone F1 kennen das Problem, Besitzer des OnePlus 5 und des OnePlus 5T kannten es auch.

Der Sicherheitsforscher David Buchanan behauptet nun, er habe es geschafft, die L3-Stufe von Widevine zu knacken, indem er sich den Schlüssel der AES-128-Verschlüsselung mittels Differential Fault Analysis ergattert hat. Sollte das tatsächlich der Fall sein, dann wären Hacker mit diesem Wissen theoretisch in der Lage Videostreams herunterzuladen und ohne Verbindung zu Netflix, HBO, Amazon Prime Video und so weiter abzuspielen.

Alles was man dazu benötigen würde, wäre der genannte Schlüssel und der FFmpeg-Codec. Auf Twitter erklärt er weiterhin, dass es sich weniger um ein Bug, sondern viel mehr um ein Design-Problem der DRM-Plattform handelt. Diese Lücke zu schließen ist demnach nicht ganz einfach. Man könnte die Plattform über einen höheren Obfuskations-Grad (Verschleierung) des Codes etwas sicherer machen, was jedoch die Performance stark beeinträchtigen würde.

Es ist außerdem noch unklar, ob Buchanan seinen Fund bisher überhaupt bei Google gemeldet hat. Da Widevine in nahezu allen dominanten Streaming-Diensten verwendet wird, ist das theoretisch ein Wirkungstreffer für die Branche. Man sollte aber bedenken, dass hier lediglich Sicherheitsstufe L3 geknackt wurde und somit noch nicht die komplette Plattform offen ist.

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://twitter.com/david3141593/status/1080606827384131590

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Oliver Posselt

Hauptberuflich im SAP-Geschäft tätig und treibt gerne Menschen an. Behauptet von sich den Spagat zwischen Familie, Arbeit und dem Interesse für Gadgets und Co. zu meistern. Hat ein Faible für Technik im Allgemeinen. Auch zu finden bei Twitter, Instagram, XING und Linkedin, oder via Mail. PayPal-Kaffeespende an den Autor

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten ein.

11 Kommentare

  1. Wie sagt mein Dad immer so schön: Scheiße in der Lampenschale sorgt für gedämpftes Licht im Saale.

    Blöd, wenn das stimmt. Und wie hat der Bösewicht aus Ironman 2 so schön gesagt: Menschen glauben nicht an einen Gott, der blutet. (Oder so ähnlich.) Ob da jetzt was los getreten wurde?

  2. Naja, die habe DRM-Idee hinkt eben.
    Der Inhalt soll verschüsselt sein, vom Gerät abgespielt (entschlüsselt) werden können, aber gleichzeitig nicht kopiert werden können.

    Ich wüsste nicht wie man das verhindern kann. Man kann es nur erschweren mMn.

  3. Mir ist schon öfter aufgefallen, dass ihr Artikel von Android Police abschreibt, aber jetzt auch noch deren Beitragsbild ohne Quellenangabe zu übernehmen, finde ich ein ein neues Level an Dreistigkeit!

    Originalartikel:
    https://www.androidpolice.com/2019/01/02/googles-widevine-l3-drm-used-by-netflix-hulu-and-hbo-has-been-broken/
    Originalbild:
    https://twitter.com/David3141593/status/1080616099174141952

    • Name (erforderlich) says:

      Das machen sie bei 95 Prozent aller Artikel. Egal ob eine Pressemeldung, ein Blog Artikel oder ein sonstiges Presseerzeugnis dahintersteckt.

    • Selbst noch die eigentliche Quelle verlinken und dann nicht raffen, dass auch AP lediglich das Bild von Buchanan übernommen hat. Man lese am Ende des Beitrags von AP „Glorious header image by David Buchanan“. Dass der Inhalt hier schon sehr nah am Beitrag von Ryne Hager (AP) ist, ist sicherlich kein Zufall – eine Quellenangabe hierhin fehlt halt leider und macht euch Meckerköppen dann auch direkt Kopfzerbrechen, weil es sonst nichts wichtigeres im Leben gibt, als Beiträge miteinander zu vergleichen hm? Ich bin jedenfalls dankbar für die Übersetzung ins Deutsche und das Anpassen des Inhalts, dass ich das als Laie auch verstehe.

      • Gerade weil Android Police seine Quellen angibt, konnte ich „raffen“, woher das Bild stammt.

        Es ist einfach schlechte journalistische Arbeit, ohne Quellenangabe abzuschreiben. Caschys Blog, den ich gerade wegen seiner originären (Nischen-)Artikel gerne lese, schadet sich damit letztendlich selber.

  4. Max Lübke says:

    Wie werden den aktuell die Netflix Sachen im Internet aufgenommen bzw die Releases von Serien etc ?

    • Endlich merkts einer. Die Verschlüsselung ist natürlich schon lange geknackt nur wurde das nie publik gemacht. Aus gutem Grund…

      Der Artikel enthält übrigens einen Fehler:
      „Die Plattform besteht aus drei verschiedenen Stufen L1-L3, die dazu benutzt werden, Video- und Audio-Inhalte vor Missbrauch zu schützen.“
      muss heißen:
      „Die Plattform besteht aus drei verschiedenen Stufen L1-L3, die dazu benutzt werden, Video- und Audio-Inhalte vor Gebrauch zu schützen.“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.