Microsoft DRM黑客攻击引发对漏洞披露的质疑

针对微软广泛使用的内容访问和保护技术中的漏洞的研究项目对负责任披露的某些方面提出了一些质疑。

过去几年，AG Security Research（前身为 Security Explorations）创始人兼首席执行官 Adam Gowdiak 一直在研究数字内容的安全性，特别是视频流媒体平台。Gowdiak 最出名的是他的Java和电视/流媒体平台安全研究。     

研究人员最近证明，攻击者可以获取受微软 PlayReady 媒体文件复制预防技术保护的内容密钥，并使用这些密钥从Netflix、HBO 的 Max、Amazon Prime Video 和 Sky Showtime 等流行的流媒体服务中下载未经授权的电影。  

微软表示，PlayReady 是全球部署最广泛的内容保护技术。

Gowdiak 的黑客方法利用了受保护媒体路径 (PMP) 技术中的漏洞，该技术可在 Windows 环境中加强内容安全，以及 Warbird 编译器技术，该技术旨在使对 Windows 组件进行逆向工程变得更加困难。 

这位研究人员自 2022 年以来一直在向微软通报他的发现，但他对这家科技巨头感到不满。微软最初表示，这是一个实施问题，而不是其技术漏洞。

高迪亚克表示，微软从 2024 年 4 月开始对研究结果表现出更多兴趣，并告诉他，他的工作可能有资格通过其漏洞赏金计划获得奖励。 

然而，该研究人员最初拒绝分享技术细节，因为他不同意这种做法，他认为这项研究已经花了九个月的时间，而通过漏洞赏金计划提交研究结果意味着放弃源于研究的知识产权和专有技术，而没有任何报酬的保证。

相反，高迪亚克建议与微软达成商业协议，即这家科技巨头将以双方同意的金额作为报酬，这样会更加公平。 

然而，由于他们无法达成任何协议，Gowdiak 于 2024 年 11 月决定向微软提供技术细节（不求任何回报），以便该公司轻松确认研究的影响并解决漏洞。 

研究人员表示，这家科技巨头可能能够相当轻松地解决一些问题，但架构/设计问题可能会带来更大的问题。

在与微软分享他的发现几周后， Gowdiak 还公开了一些技术信息，但他确保这些公开的详细信息不会被轻易滥用于盗版或其他非法活动。

研究人员称，公开披露的目的是提高用户和流媒体平台对所发现问题的认识，并促使微软采取一些行动（即确认和修复调查结果）。

高迪亚克对于微软处理他的调查结果的方式感到失望，这一报道引发了一些问题：公司是否应该对某些类型研究的 漏洞赏金计划替代方案持更开放的态度。

“很难用其他方式来看待微软及其奖励计划，除非将其视为当铺，”Gowdiak 说道。“研究人员来到微软并展示他们拥有的东西。微软决定某件东西是否有价值以及要为此支付多少钱（请记住，价格是不可商议的，所有知识产权在提交后都会转移给微软）。” 

研究人员补充道：“这种情况比真正的当铺还要糟糕，因为漏洞信息的披露会立即让举报方处于失败的一方（没有回头路，在真正的当铺里，人们可以拒绝报价，把玩具带回家）。这看起来是一个公平的过程吗？”

过去几个月， 这家科技巨头不愿发表评论。

然而，我们找到了第三方，他们同意从依赖漏洞赏金计划来鼓励负责任的漏洞披露的组织的角度分享一些见解。

漏洞赏金平台Bugcrowd的创始人兼顾问，同时也是disclose.io漏洞披露项目的联合创始人Casey Ellis将此故事描述为“一个说明为什么协调披露如此重要，以及为什么全面披露永远会存在失败模式的一个很好的例子”。 

埃利斯对表示：“安全研究最终将会公布，这一事实让研究人员和接收公司都承担了责任，并形成了一种有机强制功能，以确保对漏洞进行适当的考虑，在必要时进行纠正，并向公众通报风险。”

关于微软 DRM 黑客研究，埃利斯表示：“虽然我对这些发现的情形深表同情，而且之前也多次见过类似的情况，但我强烈反对这种做法。以不完整的研究作为悬而未决的条件，并承诺其余部分将由付费获得，这种想法让原本善意的对话变得听起来很像敲诈勒索。”

当被问及他对使用漏洞赏金计划来发现某些类型的漏洞以及为更广泛的研究提供替代披露途径的看法时，埃利斯表示，他完全同意这种做法，但前提是研究是自行委托的。 

“这是公共和私人漏洞赏金计划之间存在区别的原因之一，也是我一直推动漏洞披露条款标准化的原因，以完全开放的范围和协调的披露时间表作为公共漏洞赏金计划的基础，”埃利斯说。 

埃利斯解释道：“无论是否受到公司的邀请，漏洞和安全研究都会发生，而受披露条款约束的决定在实践和现实中完全取决于个人黑客的判断。” 

“这是信息和互联网本身运作的物理学问题，假装不是这样是愚蠢的。随着 CFAA 等反黑客法的修订反映出善意黑客的作用，随着 DMCA 等反版权法的现代化，加入豁免条款以反映同样的作用，我预计我们将看到更多这样的讨论，”他补充道。

专家总结道：“安全研究并不是一刀切的。如果可公开访问的软件中存在漏洞，并且研究人员发现了该漏洞，那么研究人员从那一刻起决定做什么最终取决于他们自己。公司可以建立公共漏洞赏金计划来激励他们想要的行为，但这最终是一种软实力的运用，而不是一种有保障的控制手段。这就是为什么合理的披露条款和正确设置的激励措施在公共赏金和漏洞披露计划中如此重要的原因之一。”

— 欢迎关注