Dois pesquisadores de segurança descobriram um bug no Chrome que permite fazer downloads de vídeos a partir de serviços de streaming como o Netflix e Amazon Prime. Detalhes da vulnerabilidade ainda não estão disponíveis ao público, já que os pesquisadores deram 90 dias para Google corrigir o problema.

A questão reside na implementação do sistema de gestão digital usado para se comunicar com serviços de streaming do Chrome. Quando os usuários selecionam algo que eles querem assistir, Widevine (otimizador de reprodução de vídeos da Google) envia e recebe um pedido de licença para descriptografar o vídeo e enviá-lo para o navegador para fazer streaming. No entanto, o sistema da Google permite que terceiros possam copiar o fluxo de como está sendo enviado para o navegador. Um bom sistema de DRM permitiria que apenas o conteúdo fosse transmitido diretamente para o navegador.

Confira também: Chrome consome 70% mais bateria que o Edge em teste publicado pela Microsoft

Widevine foi comprado pela Google em 2010 para garantir reproduzir vídeos sob demanda com maior fluidez no navegador da empresa, mas tal vulnerabilidade existe desde que foi adicionado ao Chrome. Safari e Internet Explorer utilizam os seus próprios sistemas de DRM, mas o Firefox e Opera também contam com o Widevine. Os pesquisadores só examinaram a versão do Chrome para desktop, por enquanto.

Ao seguir as próprias políticas internas de divulgação de falhas pela Google para fornecedores de terceiros, os pesquisadores David Livshits e Alexandra Mikityuk estão dando à Google 90 dias para resolver o problema antes de publicar os detalhes. A dupla diz que o bug é muito simples e pode ser corrigido com um patch lançado para o Chrome. No entanto, eles ressalvam que Google teria que reprogramar o modo de operação do Widevine para garantir fluxos que não possam ser sequestrados no futuro.

Um porta-voz da Google disse que a questão está a sendo analisada. Enquanto isso, o vídeo abaixo mostra como é possível ter acesso a este fluxo de dados no Chrome: