Widevine L3, Google tarafından geliştirilen bir DRM sistemi. “Dijital haklar yönetimi” (Digital Rights Management) olarak bilinen dijital medyaların kopyalanmasını ve çoğaltılmasını önleyen Widevine L3 Netflix, Hulu ve HBO gibi servisler tarafından kullanılıyor.
Widevine L3 nedir?
Widevine, pek çok Android uygulaması ve hizmeti tarafından kullanılan Google‘ın ücretsiz DRM çözümü. Xiaomi‘nin Pocophone F1 akıllı telefonu geçtiğimiz aylarda piyasaya çıkmış ve yalnızca Widevine L3 lisansına sahip olduğu için Netflix içeriklerini HD olarak oynatamamıştı. Bu engel Pocophone F1 Widevine L1 lisansına sahip olursa aşılabiliyordu. Diğer taraftan OnePlus 5T (ve şirketin önceki tüm cihazları) bir süre Netflix içeriğini 1080p‘de oynatamayan telefonlar arasında yer almıştı.
Widevine L3 hack‘i oldukça iyi çalışılmış bir diferansiyel hata analizi saldırısını konu alıyor
Widevine L3 Netflix, Hulu ve HBO gibi servislerde içeriğin yalnızca düşük çözünürlüklü olarak çalıştırılmasına izin veriyor. 1080p içerik oynatımı içinse daha güvenli olan L1 sertifikasına ihtiyaç duyuluyor. L1 sertifikası ayrıca bileşenlerin “fabrikada monte edilmesini veya onaylı bir güvenli teslimat mekanizması ile cihaza ulaştırılmasını” gerektiriyor. L3 ise esas olarak şifrelenmiş bilgileri ve şifresi çözülmüş içerikleri korumak için telefonda sadece güvenli ve kilitli bir önyükleyici (bootloader) bulunmasını şart koşuyor.
Hacker henüz daha tehlikeli olan Widevine L1’e göz atmadı
L3’ün nasıl kırıldığına dair belgeler çok az olsa da, Buchanan hem L3’ün güvenlik sistemi hem de onu aşmak için yapılan saldırı ile ilgili birkaç teknik detay paylaştı. Google’ın DRM‘inin Side-Channel Marvels yardımı ile “sadece birkaç gecede” korkutucu derecede basit şekilde kırıldığı iddia ediliyor. Hacker ayrıca Google, Netflix ve diğer şirketler için çok daha büyük bir baş ağrısı olabilecek daha güvenli Widevine L1‘e henüz bakmadığını belirtiyor.
Widevine L3’ün kırılması AES-128‘e DFA ile saldırılması ve orijinal anahtarla MPEG-CENC yayınının ffmpeg ile şifresinin çözülmesini kapsıyor
Google’ın şu anda kırılmış olan Widevine L3’ü güçlendirmeyi planlayıp planlamadığı belli değil. Buchanan’ın olayı kamuoyuna duyurmadan önce Google’a ulaşmış olma ihtimali var. Şahıs bunu bir hata / bug olarak görmediğini aksine DRM tasarımındaki bir kusur olduğunu ve bu nedenle bu açığın düzeltilemeyeceğini belirtiliyor. Bu açık ile tüm Netflix dizi ve filmleri ücretsiz olarak indirebilir ve yayımlanabilir hale geliyor.
Widevine, orijinal olarak Widevine Technologies tarafından oluşturulan ve 2010 yılında Google tarafından satın alınan bir dijital haklar yönetimi (DRM) sistemidir.
Şu anda dünya çapında Widevine hizmetini içeren 4.000 ~ 5 milyardan fazla cihaz olduğu tahmin edilmektedir.
Widevine, içeriği L3, L2 ve L1 olarak adlandırılan üç güvenlik seviyesiyle korur.
Geniş güvenlik seviyeleri ve gereksinimleri
Güvenlik Seviyesi L1: hem kriptografi hem de içerik kontrolü olmak üzere tüm işlemler, multimedya dosyasının manipülasyonundan ve harici kopyalanmasından kaçınmak için cihaz işlemcisinin Güvenilir Yürütme Ortamı (TEE) içinde gerçekleştirilmelidir. Tüm ARM Cortex-A CPU’lar TrustZone m teknolojisini kullanır
TrustZone teknolojisi, güvenilir bir işletim sisteminin (Android gibi) DRM ve diğer uygulamalar için bir TEE oluşturmasına izin veren bir donanım ayrımı oluşturmanıza olanak tanır.
L2 güvenlik seviyesi: Yalnızca kriptografi gerektirir, ancak Video işlemenin Trusted Execution Environment (TEE) içinde yürütülmesini gerektirmez.
L3 güvenlik seviyesi: Trusted Execution Environment’a (TEE) sahip bir işlemciye sahip olmayan cihazlarda veya işleme bunun dışında gerçekleştirildiğinde kullanılır. Üreticiler , ana bilgisayar işletim sistemi içinde kriptografiyi korumak için uygun önlemleri almalıdır.
kaynak: https://evrenatlasi.com/2019/01/google-widevine-l3-kirildi-netflix/
