Google pidió a GitHub que bloqueará 135 repositorios relacionados con Widevine
Se dio a conocer hace poco la noticia de que Google ha solicitado a GitHub el bloqueo de 135 repositorios en la plataforma, los cuales están relacionados por incluir código para definir claves para descifrar contenido protegido con Widevine CDM (Módulo de descifrado de contenido) bloqueado según la Ley de derechos de autor del milenio digital de EE. UU. (DMCA).
Este hecho sorprende a muchos pues Google solía ser una táctica de no agresión en asuntos de propiedad intelectual, pero en 2018, el lema «No seas malvado «fue eliminado de su Código de Conducta.
El bloqueo se inició contra repositorios que contenían la clave privada RSA que se extrajo del CDM de Widevine como resultado de una brecha en los mecanismos de protección implementados en este módulo.
La mayoría de los repositorios son bifurcaciones del complemento de Chrome widevine-l3-decryptor, que le permite acceder al contenido transmitido a través de un canal de comunicación protegido por DRM.
Este complemento se escribió para demostrar cómo se puede eludir el mecanismo de protección DRM de Widevine interceptando las llamadas a la API de Extensiones de medios cifrados (EME) y recuperando todas las claves de cifrado de contenido que se pasan.
El repositorio señala que el código es una demostración del método de ataque y se distribuye únicamente con fines educativos (el complemento no descifra el contenido, solo determina la clave, pero la clave obtenida se puede usar para descifrar usando la utilidad ffmpeg, especificando la clave obtenida al inicio en el «-decryption_key «).
Google crea y distribuye el módulo de descifrado de contenido (CDM) de Widevine, que tiene licencia para su uso en muchos navegadores, incluidos Google Chrome, Microsoft Edge, Mozilla Firefox y Opera. El CDM de Widevine se usa junto con el servidor de licencias de Widevine para distribuir contenido de audio y video DRM a través de Internet y lo usan los proveedores de contenido, incluidos Disney +, Netflix, Amazon Prime Video, YouTube, Hulu y otros, para evitar la piratería. de contenido protegido por derechos de autor.
Google LLC posee los derechos de autor del CDM de Widevine y otorga licencias a otros para que lo utilicen sin modificación o redistribución según los términos del Acuerdo de licencia maestro de Widevine.
Una violación de la Sección 1201 de la Ley de Derechos de Autor del Milenio Digital (DMCA) se cita como razones para el bloqueo, y el complemento en sí mismo se señala como una herramienta creada específicamente para violar los términos de uso del contenido con licencia y evitar los mecanismos de protección DRM.
Entre las infracciones, también se mencionó la presencia de archivos en el repositorio que violan los derechos de autor de Google.
En particular, el archivo license_protcol.proto y los documentos Widevine Modular DRM Security Integration Guide y Widevine DRM Architecture Overview . Cabe destacar que license_protcol.proto es un archivo de encabezado para libprotobuf con una descripción de la estructura del protocolo Widevine, es decir, Google argumenta cerca del razonamiento Oracle ataca a Android.
Para quienes desconocen de la tecnología Widevine, deben saber que esta es desarrollada por Google y se utiliza principalmente en Chrome y diferentes sistemas (generalmente en Linux) para poder mostrar contenido protegido por derechos de autor en Netflix, Disney, Amazon Video, BBC, HBO, Facebook, Hulu, Spotify y muchos otros servicios.
Se suministra un módulo CDM del mismo nombre para decodificar contenido, que se utiliza en Chrome, Edge, Firefox y Opera, así como en productos de Samsung, Intel, Sony y LG.
El año pasado, el nivel más débil de seguridad, Widevine L3, fue descifrado, implementado completamente en software y generalmente se usa para distribuir contenido por debajo de 1080p.
Resultó que la implementación del algoritmo de cifrado Whitebox AES-128 es susceptible a un ataque de análisis diferencial de fallas ( DFA), que permite el acceso a la clave de cifrado.
Finalmente, si estás interesado en conocer mas al respecto sobre la petición realizada por Google a GitHub, puedes consultar los detalles en el siguiente enlace.