פלטפורמת Stremio הינה מרכז מדיה לחיפוש, צפייה וארגון תכני וידאו (סרטים וסדרות). חוקרי חברת CyFox גילו פגיעות אבטחה של שתילה / חטיפת DLL ב- Stremio, שיכולה להיות מנוצלת על ידי פושעי סייבר להפעלת קוד זדוני במערכת המחשוב של הקורבן, לגנוב מידע ועוד. DLLs (ספריות קישורים דינמיים), הינם קבצים אותם ניתן לקשר ולשתף באופן דינמי על ידי תוכנות מרובות בו-זמנית והם חיוניים עבור Windows ויישומים רבים (לרבות Stremio): "הם מכילים פונקציות סטנדרטיות המשותפות לאפליקציות שונות, מונעות שכפול קוד ומקטינות את נפח קובץ ההפעלה. יתר על כן, מעניקים קבצי DLL גישה למשאבי מערכת, עיבוד גרפי ורשת. גישה מודולרית זו מייעלת את ניהול הזיכרון על ידי טעינת DLL לזיכרון בעת הצורך וממזערת את טביעת הרגל של הזיכרון של יישומים פועלים", הסבירו חוקרי CyFox עידן מליחי ויניב עזרן.
קובצי DLL מספקים הרבה מהפונקציונליות של Windows. כאשר מריץ משתמש תוכנה ב- Windows, מחפשת התוכנה ומשתמשת בקובצי ה- DLL שהיא צריכה להפעיל. פגיעות האבטחה שגילו החוקרים משפיעה על Stremio for Windows v4.4 והיא נובעת מהשימוש בפונקציות Windows API, LoadLibraryA ו- LoadLibraryExA אשר מאפשרות לפושעי הסייבר לשתול קבצי DLL זדוניים בספריית היישומים. חוקרי הסייבר גם זיהו ארבעה קבצי DLL פגיעים: SspiCli.dll, RTWorkQ.dll, profapi.dll ו- UMPDC.dll. נמצא, כי אם יודע פושע הסייבר שמותקנת גירסת Stremio פגיעה במחשב, הוא יכול לתכנת קובץ DLL שישיג גישה בלתי מורשית בכל פעם שהפלטפורה מופעלת. במידה והמשתמש מפעיל את תוכנת Stremio באמצעות הרשאות מנהל, יכול פושע הסייבר לקבל את אותן ההרשאות כמו המשתמש.
ניר יהושע – חוקר ראשי וראש צוות בחברת CyFox, מסביר שכדי לנצל את הפגיעות הזו של שתילת / חטיפת DLL, צריך פושע הסייבר קודם כל להשיג גישה למערכת המחשוב של הקורבן, כדי שיוכל להעביר את קובץ ה- DLL הזדוני לנתיב התוכנה ולאחר מכן לחכות שהמשתמש יפעיל את התוכנה הפגיעה: "פגיעויות חטיפת DLL מהוות סיכון משמעותי, שכן הן מאפשרות לפושעי סייבר לבצע קוד זדוני עם ההרשאות של האפליקציה הממוקדת, או אפילו להסלים את ההרשאות שלהם במערכת", ציינו חוקרי CyFox והדגישו: ניתן למנף חטיפת DLL גם לגניבת מידע רגיש ולבצע פריצת סייבר מערכתית רחבה יותר".
יהושע אמר לאנשי אתר Help Net Security כי CyFox ניסו להגיע לצוות האבטחה של Stremio כדי לשתף את הגילוי, אך אלו לא הגיבו: "חשוב לציין שניסינו להגיע אליהם שלוש פעמים. חוסר התגובה אומר שהספק לא פרסם עדכון אבטחה המתייחס לבעיה".
