A Chrome meglepő hibájáról a Wired számolt be: egy izraeli és egy német biztonsági szakember egy kritikus hibára bukkant a böngészőben, amelyet kihasználva lemásolhatók az amúgy csak streamelhető filmek. A kutatók még május végén értesítették erről a Google-t.

A biztonsági rés a Google által implementált Widevine EME/CDM technológiát érinti – ezt használja a keresőóriás a kódolt videók streamelésének engedélyezésére, természetesen csak az erre jogosultaknak, és elvileg a másolás lehetőségének kizárásával. A biztonsági szakemberek viszont egy úgynevezett proof-of-concept (megvalósíthatósági példa) exe fájlt készítettek, amellyel kijátszható ez a védelem, pontosabban kihasználható a biztonsági rés. Erről egy videót is készítettek.

A Widevine engedi a böngészőnek lévő kikódoló modulnak, hogy együttműködjön a Netflix és egyéb hasonló szolgáltatók tartalomvédő rendszerével. Amikor valaki lejátszana egy kódolt filmet, a CDM egy licenckérést küld a szolgáltatónak az EME interfészen keresztül, majd visszakapja a licencet, amely megengedi a CDM-nek, hogy kikódolja a videót, és streamelhesse a tartalmat. Egy jó DRM rendszer csak a streamelést engedi, azonban a Google rendszere – jöttek rá a kutatók – a másolást is lehetővé teszi.

A szakemberek szerint a hiba nagyon egyszerű, viszont – érthetően – nem fedték fel a nyilvánosság előtt, pontosabban 90 napnyi türelmi időt adtak a hiba javítására. Szerintük egy Chrome-patchcsel be lehet foltozni a hibát, bár jobb volna, ha a Google áttervezné a rendszerét. A Google szóvivője elmondta a Wirednek, hogy vizsgálják a problémát, bár hozzátette, ez nemcsak a Chrome-ot érinti, hanem minden olyan böngészőt, amely használja rendszerük nyílt forráskódját.

Amúgy az Opera is használja a WideVine CDM-et, azonban ezt a rendszert a kutatók nem vizsgálták. A Safari és az Internet Explorer/Edge nem érintett az ügyben, az előbbi az Apple FairPlay CDM-jét, az utóbbi a Microsoft PlayReady CDM-jét használja.