Ο Βρετανός hacker Stephen Tomkinson έχει βρει δύο τρόπους καμουφλαρισμένων επιθέσεων μέσω των γνωστών και δημοφιλών Blu-ray δίσκων.
Ο πρώτος τρόπος στηρίζεται σε μια εφαρμογή της Java μέσα στο γνωστό software PowerDVD από την CyberLink. Το PowerDVD παίζει DVD σε υπολογιστές και δημιουργεί μενού που χρησιμοποιεί Java, αλλά ο τρόπος που χρησιμοποιεί το κώδικα της Oracle, επιτρέπει τη παράκαμψη του ελέγχου ασφαλείας των Windows.
Το αποτέλεσμα, όπως αναφέρει και ο σύμβουλος της ομάδας NCC, είναι ότι είναι δυνατό να εισαχθούν εκτελέσιμα αρχεία σε δίσκους Blu-ray, ώστε να εκτελούνται αυτόματα κατά την εκκίνηση, ακόμα και όταν έχει απενεργοποιηθεί αυτή η εντολή από τις ρυθμίσεις ασφαλείας των Windows.
Άνδρας του 17ου αιώνα θάφτηκε με μεγάλες πέτρες στο στήθος
Google Password Manager: Αυτόματος συγχρονισμός passkeys
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Οι χρήστες δεν έχουν κανένα λόγο να υποπτεύονται ότι το δισκάκι με τη ταινία που στριφογυρίζει μέσα στο drive τους, τρέχει κάποιο κακόβουλο script που θέτει σε κίνδυνο το σύστημα τους.
Ο δεύτερος τρόπος δανείζεται μέρος από τη διαδικασία Blu-ray rooting του hacker Malcom Stagg, που εκμεταλλεύεται τις δυνατότητες του κώδικα εντοπισμού σφαλμάτων για να ξεκινήσει από ένα εξωτερικό USB. Ένα Java Xlet μπορεί να χρησιμοποιηθεί για να αναπαραγάγει ένα TCP stream στο net.inf.
«Από εδώ μπορούμε να βάλουμε ένα script ώστε να τρέξουμε εκτελέσιμα αρχεία από το κατά τα άλλα περιορισμένο περιβάλλον του Blu-ray», αναφέρει ο Tomkinson.
Φυσικά πρέπει πρώτα να καθοριστεί το μοντέλο του DVD player που έχει το σύστημα εγκατεστημένο, πράγμα εύκολο αν κάποιος δει κάποιο report ασφαλείας του υπολογιστή.
Η συμβουλή του Tomkinson προς τους χρήστες είναι να αποφεύγουν να παίζουν δισκάκια Βlu-ray από μη επίσημες πηγές και φυσικά να έχουν απενεργοποιημένο το auto-play και να μην επιτρέπουν τη σύνδεση στο Internet για extra υλικό που μπορεί να υπάρχει στο μενού επιλογών.