Uma brecha em programas de vídeo permite que computadores sejam invadidos simplesmente por reproduzir um conteúdo com legenda. O problema foi descoberto pela empresa de segurança digital Check Point, e estimativa é que mais de 200 milhões de máquinas possam estar expostas.

O problema atinge quatro players e permite que o hacker tenha controle total da máquina sem que o usuário precise fazer nada, nem mesmo clicar em um link. A falha expõe com mais intensidade os usuários que vêem filmes piratas.

De acordo com a Check Point, o problema está na forma como os aplicativos PopcornTime, VLC, Kodi (antigo XBMC) e  Stremio lidam com as legendas. Como esses arquivos são considerados pouco perigosos tanto pelos players como pelos anti-vírus, não há muito controle sobre o que a máquina faz quando os lê. Dessa forma, é possível criar um vírus disfarçado de legenda que, ao ser lido pelo computador, permite acesso total a um hacker.

A falha afeta também o serviço que procura e baixa legendas para o arquivo que está sendo tocado – recurso muitas vezes usado para filmes piratas baixados da internet. Como esses programas buscam a legenda em sites especializados, é possível que os hackers infectem máquinas ao burlar esses sites. 

Isso acontece porque, ao carregar um vídeo, esses players identificam o vídeo e dão a opção de escolher uma legenda correspondente a ele para baixar. Normalmente, as legendas são enviadas por outros usuários e recebem notas sobre a sua qualidade. Assim, o trabalho do hacker seria de enganar o sistema desses sites para dar ao vírus uma nota alta, nos primeiros lugares da busca, para que ele seja escolhidos como se fosse uma legenda normal. É possível também que o player já esteja configurado para baixar automaticamente o primeiro lugar do ranking, fazendo com que o usuário seja infectado automaticamente.

A Check Point diz que as versões mais atualizadas do VLC e do Stremio disponíveis nos sites oficiais já estão corrigidas. O Popcorn Time e o Kodi também têm versões corrigidas, mas ainda não estavam disponíveis como lançamentos oficiais.