Widevine DRM: Sicherheitsforscher knackt die Verschlüsselung der Plattform

Die Google-eigene DRM-Plattform Widevine kennt der eine oder andere unter euch vielleicht. Die Plattform besteht aus drei verschiedenen Stufen L1-L3, die dazu benutzt werden, Video- und Audio-Inhalte vor Missbrauch zu schützen. Sollte euer Smartphone oder Tablet Widevine Stufe L1 nicht unterstützen, dann seid ihr nicht in der Lage HD-Streams auf den bekannten Videostreaming-Plattformen anzuschauen. Nutzer des Pocophone F1 kennen das Problem, Besitzer des OnePlus 5 und des OnePlus 5T kannten es auch.

Der Sicherheitsforscher David Buchanan behauptet nun, er habe es geschafft, die L3-Stufe von Widevine zu knacken, indem er sich den Schlüssel der AES-128-Verschlüsselung mittels Differential Fault Analysis ergattert hat. Sollte das tatsächlich der Fall sein, dann wären Hacker mit diesem Wissen theoretisch in der Lage Videostreams herunterzuladen und ohne Verbindung zu Netflix, HBO, Amazon Prime Video und so weiter abzuspielen.

Alles was man dazu benötigen würde, wäre der genannte Schlüssel und der FFmpeg-Codec. Auf Twitter erklärt er weiterhin, dass es sich weniger um ein Bug, sondern viel mehr um ein Design-Problem der DRM-Plattform handelt. Diese Lücke zu schließen ist demnach nicht ganz einfach. Man könnte die Plattform über einen höheren Obfuskations-Grad (Verschleierung) des Codes etwas sicherer machen, was jedoch die Performance stark beeinträchtigen würde.

Es ist außerdem noch unklar, ob Buchanan seinen Fund bisher überhaupt bei Google gemeldet hat. Da Widevine in nahezu allen dominanten Streaming-Diensten verwendet wird, ist das theoretisch ein Wirkungstreffer für die Branche. Man sollte aber bedenken, dass hier lediglich Sicherheitsstufe L3 geknackt wurde und somit noch nicht die komplette Plattform offen ist.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hauptberuflich im SAP-Geschäft tätig und treibt gerne Menschen an. Behauptet von sich den Spagat zwischen Familie, Arbeit und dem Interesse für Gadgets und Co. zu meistern. Hat ein Faible für Technik im Allgemeinen. Auch zu finden bei Twitter, Instagram, XING und Linkedin, oder via Mail. PayPal-Kaffeespende an den Autor

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

11 Kommentare

  1. Wie sagt mein Dad immer so schön: Scheiße in der Lampenschale sorgt für gedämpftes Licht im Saale.

    Blöd, wenn das stimmt. Und wie hat der Bösewicht aus Ironman 2 so schön gesagt: Menschen glauben nicht an einen Gott, der blutet. (Oder so ähnlich.) Ob da jetzt was los getreten wurde?

  2. Naja, die habe DRM-Idee hinkt eben.
    Der Inhalt soll verschüsselt sein, vom Gerät abgespielt (entschlüsselt) werden können, aber gleichzeitig nicht kopiert werden können.

    Ich wüsste nicht wie man das verhindern kann. Man kann es nur erschweren mMn.

  3. Mir ist schon öfter aufgefallen, dass ihr Artikel von Android Police abschreibt, aber jetzt auch noch deren Beitragsbild ohne Quellenangabe zu übernehmen, finde ich ein ein neues Level an Dreistigkeit!

    Originalartikel:
    https://www.androidpolice.com/2019/01/02/googles-widevine-l3-drm-used-by-netflix-hulu-and-hbo-has-been-broken/
    Originalbild:
    https://twitter.com/David3141593/status/1080616099174141952

    • Name (erforderlich) says:

      Das machen sie bei 95 Prozent aller Artikel. Egal ob eine Pressemeldung, ein Blog Artikel oder ein sonstiges Presseerzeugnis dahintersteckt.

      • @Name (erforderlich): Wir geben unsere Quellen grundsätzlich immer im Text oder unten rechts unter dem Beitrag ein.

        • Genau diese Angabe fehlt aber in diesem Artikel, da der Tweet nur einen Bruchteil der Informationen des Artikels enthält.

    • Selbst noch die eigentliche Quelle verlinken und dann nicht raffen, dass auch AP lediglich das Bild von Buchanan übernommen hat. Man lese am Ende des Beitrags von AP „Glorious header image by David Buchanan“. Dass der Inhalt hier schon sehr nah am Beitrag von Ryne Hager (AP) ist, ist sicherlich kein Zufall – eine Quellenangabe hierhin fehlt halt leider und macht euch Meckerköppen dann auch direkt Kopfzerbrechen, weil es sonst nichts wichtigeres im Leben gibt, als Beiträge miteinander zu vergleichen hm? Ich bin jedenfalls dankbar für die Übersetzung ins Deutsche und das Anpassen des Inhalts, dass ich das als Laie auch verstehe.

      • Gerade weil Android Police seine Quellen angibt, konnte ich „raffen“, woher das Bild stammt.

        Es ist einfach schlechte journalistische Arbeit, ohne Quellenangabe abzuschreiben. Caschys Blog, den ich gerade wegen seiner originären (Nischen-)Artikel gerne lese, schadet sich damit letztendlich selber.

  4. Max Lübke says:

    Wie werden den aktuell die Netflix Sachen im Internet aufgenommen bzw die Releases von Serien etc ?

    • Endlich merkts einer. Die Verschlüsselung ist natürlich schon lange geknackt nur wurde das nie publik gemacht. Aus gutem Grund…

      Der Artikel enthält übrigens einen Fehler:
      „Die Plattform besteht aus drei verschiedenen Stufen L1-L3, die dazu benutzt werden, Video- und Audio-Inhalte vor Missbrauch zu schützen.“
      muss heißen:
      „Die Plattform besteht aus drei verschiedenen Stufen L1-L3, die dazu benutzt werden, Video- und Audio-Inhalte vor Gebrauch zu schützen.“

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.