Si pensabas que los archivos de subtítulos eran simples ficheros de texto plano, inofensivos totalmente... estabas en un error. En efecto, los subtítulos suelen venir en un archivo de texto codificado con diferentes formatos. De hecho existen algo así como 25 formatos diferentes, aunque los más comunes son SRT y WebVTT. Hasta ahora se tenían por totalmente inocuos debido a ser simples textos.
Sin embargo, la conocida empresa de seguridad Check Point ha sacado hace poco un informe titulado "Hacked in translation" (juego de palabras con la famosa película de Sofia Coppola) mostrando que algunos archivos de subtítulos pueden llegar a ser extremadamente peligrosos.
El problema está en la manera que tienen los principales reproductores, como VLC, de procesar algunos de estos formatos. Aunque por seguridad no han dado detalles exactos de cómo funciona la vulnerabilidad, sí indican que un atacante malintencionado podría llegar a tomar el control completo de tu máquina, lo cual incluye no solo PCs, sino también dispositivos móviles, Smart-TVs, etc... Podrían robar información confidencial, instalar Ransomware, usar el equipo para lanzar ataques distribuidos de denegación de servicio... Potencialmente podría haber cientos de millones de usuarios expuestos a esta vulnerabilidad.
En el siguiente vídeo se puede ver el ataque en acción:
Han identificado vulnerabilidades en VLC, Kodi (XBMC), Stremio y PopCorntime, los cuales han sido avisados y han parcheado el software convenientemente, así que si los usas (sobre todo VLC, el más popular), asegúrate de tener instalada la última versión. Dicen que hay otras plataformas afectadas, aunque no dan detalles porque no están parcheadas todavía.
Así que ya sabes: si descargas subtítulos desde Opensubttiles o Subscene, ten mucho cuidado y échale un vistazo a los archivos antes de usarlos con tu reproductor.