28.11.2020

По требованию Google заблокированы 135 репозиториев на GitHub


Компания Google добилась блокировки на GitHub 135 репозиториев, включающих код для определения ключей для дешифровки контента, защищённого при помощи CDM-модуля Widevine. Блокировка произведена на основании действующего в США Закона об авторском праве в цифровую эпоху (DMCA). Раньше Google придерживалась тактики ненападения в вопросах интеллектуальной собственности, но в 2018 году лозунг «Don’t be evil» был удалён из корпоративного кодекса поведения (Code of Conduct).

Блокировка инициирована против репозиториев, включающих закрытый RSA-ключ, который был извлечён из CDM-модуля Widevine в результате взлома реализованных в данном модуле механизмов защиты. Большинство репозиториев являются форками Chrome-дополнения widevine-l3-decryptor (зеркало), позволяющего получить доступ к контенту, передаваемому через защищённый DRM канал связи.

Указанное дополнение было написано для демонстрации того, как можно обойти механизм DRM-защиты Widevine через перехват вызовов API Encrypted Media Extensions (EME) и извлечь все передаваемые ключи шифрования контента. В репозитории отмечается, что код является демонстрацией метода атаки и распространяется исключительно в образовательных целях (дополнение не выполняет расшифровку контента, а лишь определяет ключ, но полученный ключ можно использовать для расшифровки при помощи утилиты ffmpeg, указав полученный ключ при запуске в опции «-decryption_key»).

В качестве причин для блокировки указано нарушение статьи статьи 1201 Закона об авторском праве в цифровую эпоху (DMCA), а само дополнение отмечено как инструмент, специально созданный для нарушения условий использования лицензионного контента и обхода механизмов DRM-защиты. В числе нарушений дополнительно упомянуто наличие в репозитории файлов, нарушающих авторские права Google. В частности, файла license_protcol.proto и документов Widevine Modular DRM Security Integration Guide и Widevine DRM Architecture Overview. Примечательно, что license_protcol.proto представляет собой заголовочный файл для libprotobuf с описанием структуры протокола Widevine, т.е. Google приводит доводы, близкие к аргументации Oracle в нападках на Android.

Технология Widevine разрабатывается компанией Google и применяется для распространения защищённого авторскими правами контента в Netflix, Disney, Amazon Video, BBC, HBO, Facebook, Hulu, Spotify и многих других сервисах. Для декодирования контента поставляется одноимённый CDM-модуль (Content Decryption Module), применяемый в Chrome, Edge, Firefox и Opera, а также в продуктах Samsung, Intel, Sony и LG. В прошлом году был взломан самый слабый уровень защиты Widevine L3, реализованный полностью программно и, как правило, применяемый для распространения контента с разрешением ниже 1080p. Оказалось, что реализация алгоритма шифрования Whitebox AES-128 подвержена атаке DFA (Differential Fault Analysis), позволяющей получить доступ к ключу шифрования.

Источник: https://www.opennet.ru/opennews/art.shtml?num=54079

Добавить комментарий