以色列资安业者Check Point周二 揭露了全新的攻击手法 ，指出骇客将可藉由恶意字幕档案及媒体播放器/串流平台的漏洞取得使用者装置的控制权，包括VLC、Kodi、Popcorn-Time与strem.io等媒体播放器或串流服务皆含有相关漏洞，估计影响全球2亿名用户。

Check Point指出，有鉴于坊间有超过25种的字幕格式，使得媒体播放器经常需要能够解析不同的字幕格式以确保使用者经验，这也让这些媒体播放器无暇顾及所有字幕格式的安全性。

Check Point以 影片展示 了攻击Popcorn-Time及Kodi的情景，当使用者以这两个播放器播放电影，并载入恶意的字幕档时，骇客就可自远端掌控使用者的装置，这些装置可能是PC、智慧电视或行动装置，进而窃取机密资讯或安装勒索程式等。

目前Check Point只检验了这4款市场上最有名的媒体播放器，发现它们皆含有相关漏洞，因此相信其他媒体播放器也无法倖免于难。迄今光是VLC最新版就有超过1.7亿的下载次数，Kodi每月也有4000万名不重覆用户，Check Point估计全球至少有2亿使用者处于此一安全风险中。

在接到Check Point的通知后，VLC与Stremio皆已更新官网上的软件，PopcornTime及Kodi虽已修补完毕，但尚未放上官网。