Il ricercatore della sicurezza David Buchanan è riuscito a sbloccare Widevine L3, una delle versioni di DRM Widevine meno sicure di Google utilizzate da app come Netflix e Hulu.
Una volta decriptati, i flussi che utilizzano la soluzione DRM (Digital Rights Management) gratuita di Google utilizzata da molte app e servizi Android, possono essere riprodotti facilmente.
Per la riproduzione di contenuti 1080p è necessaria un’implementazione L1, presumibilmente più sicura, che richiede anche che i componenti sicuri siano installati in fabbrica o distribuiti al dispositivo attraverso canali approvati, mentre L3 richiede essenzialmente solo un bootloader sicuro o bloccato e “misure appropriate” per proteggere entrambi le informazioni crittografiche.
Buchanan fornisce alcuni dettagli tecnici riguardanti sia la sicurezza di L3 che l’attacco utilizzato per comprometterlo e sostiene che l’hack ha richiesto solo “poche serate di lavoro”, inoltre dichiara di non aver ancora preso di mira Widevine L1 che, se aggirato, causerebbe non pochi grattacapi a Google, Netflix e altre società che lo utilizzano.
Non è dato sapere se Google abbia l’interesse di rafforzare l’implementazione L3, né se Buchanan abbia rivelato la vulnerabilità a Google prima di rendere pubblica la sua scoperta. Egli afferma che “non considera questo un bug”, ma un difetto nel design del DRM.