Sicherheitsforscher knackt Teil von Googles Widevine-DRM

Ein britischer Sicherheitsforscher hat den Level-3-Schutz von Googles digitaler Rechteverwaltung Widevine geknackt. Als Folge lassen sich damit geschützte Multimediainhalte wie Videostreams nun entschlüsseln. Da der Level-3-Schutz nur unter bestimmten Voraussetzungen zum Einsatz kommt, sind die Folgen für Anbieter von Inhalten wie Netflix sehr überschaubar.

Widevine bietet drei Sicherheitsebenen: L1, L2 und L3, wobei L3 den geringsten Schutz bietet. Hierbei erfolgt die Verarbeitung von Inhalten sowie die Entschlüsselung außerhalb einer vertrauenswürdigen Umgebung (Trusted Execution Environment, TEE) eines Prozessors. L3 ist somit Geräten vorbehalten, die keine TEE unterstützen. Zudem wird Widevine L3 in der Regel nur für Audio- und Videodaten mit geringer Qualität verwendet.

Alle anderen Inhalte, vor allem hochauflösende Video-Streams, werden durch Widevine L2 und L1 verschlüsselt. Bei L2 übernimmt die TEE alle Verschlüsselungsoperation. Widevine L1 gibt indes vor, dass zusätzlich die Verarbeitung von Inhalten in der vertrauenswürdigen Umgebung stattfindet.

Da Anbietern wie Netflix oder Hulu bekannt ist, dass L3 den geringsten Schutz bietet, prüfen sie vorab, welchen Widevine-DRM-Level ein Gerät unterstützt und liefern dazu passende Inhalte aus. Trotzdem galt auch der Level 3 bisher als sicher.

„Also, nach ein paar Abenden Arbeit habe ich Widevine L3 DRM zu 100 Prozent geknackt“, twitterte der britische Sicherheitsforscher David Buchanan. „Die Whitebox AES-128-Implementierung ist anfällig für DFA-Angriffe, die benutzt werden können, um den ursprünglichen Schlüssel wiederherzustellen. Danach lässt sich der MPEG-CENC-Stream mit dem guten alten FFMPEG entschlüsseln.“

Beispielcode für seinen Angriff hat der Forscher bisher nicht veröffentlicht. Allerdings würde der in Praxis auch nicht helfen, Dienste wie Netflix ohne Bezahlung zu nutzen. Der von Buchanan entdeckte Bug setzt voraus, dass ein Nutzer Zugriff auf die verschlüsselten Daten des Streams hat, wofür jedoch ein Netflix-Abonnement benötigt wird. Auch ist nicht damit zu rechnen, dass nun die Verbreitung von Raubkopien von Inhalten von Netflix und anderen Anbietern zunimmt – die einschlägigen Quellen für Raubkopien bieten schon jetzt beispielsweise Netflix-Neuerscheinungen in der Regel nur wenige Stunden nach deren Veröffentlichung an.

Google hat der Forscher inzwischen über seine Erkenntnisse informiert. Ihm zufolge kann der Fehler jedoch nicht korrigiert werden, da es sich um ein Design-Problem handelt.

Googles Widevine-Technologie ist sehr weit verbreitet. Unter anderem schützen Netflix, Hulu, Disney, HBO, DirectTV, Facebook, Showtime, Jio und Sony ihre Inhalte damit. Außerdem wird Widevine von fast allen Hardware- und Softwareanbietern unterstützt, darunter Apple, Samsung, Google, Intel, LG, Roku und Mozilla. Jegliche Patches für Widevine sind von daher mit einem erheblichen Aufwand verbunden. Updates wären beispielsweise für Betriebssysteme wie Windows, macOS, Android und iOS, Apps, Browser und die Gerätesoftware von Fernsehern und Settop-Boxen erforderlich.