Widevine: cos'è e come funziona la tecnologia per proteggere i video. Alcuni script cercano di eluderla

Molte piattaforme di streaming come Netflix, Disney+, Amazon Prime Video e tante altre usano vari sistemi DRM (Digital Rights Management) per proteggere i loro contenuti ed evitare che siano copiati e distribuiti da soggetti terzi che non ne hanno titolo.

In queste ore sono stati pubblicati da parte di un utente, al momento anonimo, alcuni script Python che permettono di scaricare contenuti 4K protetti da DRM Widevine dalle principali piattaforme online. Il download avviene direttamente senza l’intervento di alcun soggetto terzo. Ma che cos’è Widevine?

Widevine è una tecnologia DRM acquistata da Google nel 2010 ampiamente utilizzata e supportata da un numero molto ampio di applicazioni (browser web compresi) e dispositivi hardware. Sono previsti tre livelli di protezione: L3, L2 e L1.

Con Widevine L3 la protezione DRM è interamente basata sul software e il dispositivo che se ne serve non dispone di un’area sicura a livello di processore (Trusted Execution Environment, TEE) sul quale vengono fatti funzionare gli algoritmi crittografici a protezione del contenuto digitale. In questo caso il contenuto protetto non supera la risoluzione di 480p.

I dispositivi con supporto Widevine L2 dispongono del TEE ma l’elaborazione video avviene lato software o in un hardware separato. Il più delle volte il contenuto protetto da Widevine viene riprodotto a una risoluzione massima di 540p.

Con Widevine L1 i contenuti vengono elaborati interamente a livello di TEE e possono essere gestiti alla massima risoluzione possibile.
Ciò che fa TEE è essenzialmente assicurare che le chiavi di decodifica rimangano protette e non possano essere sottratte.

Parlando di dispositivi Android, la maggior parte di quelli certificati da Google supportano Widevine L1, a volte in combinazione con altri metodi DRM. I dispositivi modificati (ad esempio quelli sottoposti a rooting) o non certificati possono supportare solo L3 o L2.

L’uso di Widevine è gratuito per i fornitori di contenuti: Google non richiede il versamento di alcun obolo per l’attivazione di licenze o l’integrazione della tecnologia di protezione nei vari dispositivi. E questo, ovviamente, ne ha favorito la diffusione.

Si stima che attualmente siano attivi mensilmente qualcosa come 2 miliardi di dispositivi Android e altre 2 miliardi siano le “installazioni attive” di Chrome in versione desktop. Statistiche che indicano che Widevine sia di gran lunga il sistema DRM più diffuso e ormai essenziale per la stragrande maggioranza dei produttori di contenuti premium.

Con Widevine la decodifica sicura dei dati si concretizza in una serie di scambi di informazioni tra il modulo di decodifica dei contenuti e il server di licenza; il player video HTML5 funge da intermediario.

Il Content Decryption Module (CDM) di Widevine può essere considerato come una “scatola nera” preinstallata nei browser e nei dispositivi supportati: essa garantisce la corretta riproduzione dei video DRM protetti. Il CDM assicura che il meccanismo di scambio delle chiavi rimanga sicuro.

Cos’è successo con la pubblicazione degli script che permetterebbero di effettuare il download di contenuti 4K protetti?
L’autore dell’operazione lascia intendere che le chiavi di decodifica per i contenuti Widevine erano già note e che la sua azione sarebbe da considerarsi come una sorta di “punizione” nei confronti di alcuni individui che su Discord avevano cominciato a scambiarsi queste informazioni con nonchalance.

Uno degli script conterrebbe una chiave hardware Widevine L1 (facile che venga revocata nel giro di breve tempo…) e l’autore della pubblicazione si è addirittura offerto di vendere su richiesta moduli CDM funzionanti.

Questo è quanto accaduto. Ci preme però ricordare che il download e la copia di contenuti protetti da DRM senza l’autorizzazione degli aventi titolo costituisce un atto illegale. Poiché gli script dialogano direttamente con i server dei detentori del copyright, inoltre, eventuali tentativi di elusione delle protezioni possono essere registrati con tutte le conseguenze sul piano civile e penale che ne conseguono.
D’altra parte l’esistenza di tool come quelli apparsi online in queste ore dimostrano ancora una volta come gli schemi DRM non offrano un livello di protezione sufficiente nei confronti dei “pirati professionisti”.