El popular centro de medios Kodi, anteriormente conocido como XBMC, contiene una vulnerabilidad de la que los atacantes entre un usuario y el Internet son capaces de atacar el sistema. A través de Kodi permite a los usuarios películas, música y otros medios de comunicación, por ejemplo, la reproducción en su televisor o sistema de sonido. El software contiene una colección de complementos que permiten a los usuarios servicios populares como YouTube, Grooveshark y Dropbox pueden tener acceso. Cada vez que se inicia Kodi viendo el software o actualizaciones de complementos pre-instalados. En el caso de una nueva versión se descarga e instala automáticamente. La comprobación de la actualización se lleva a cabo en su totalidad a través de HTTP sin cifrado, como se descubrió la compañía de antivirus rumana. El software pregunta durante la verificación de actualización de un hash MD5 para el último archivo addons.xml, que contiene información acerca de los complementos. Un atacante puede enviar de vuelta, en este caso un hash MD5 al azar, que no tiene por qué corresponder al archivo que se presenta a continuación. El atacante podría enviar un archivo siguiente addons.xml especialmente preparadalo que indica que una nueva versión de un determinado complemento está disponible. A continuación, el atacante debe enviar el hash MD5 correcto para su maliciosa complemento. Una vez Kodi este complemento se instala el código Python malicioso que se ejecuta en el add-on para el sistema. Para su demostración, los investigadores lograron descargar un archivo ejecutable y lo coloca en el directorio de inicio del sistema. Cabe señalar que un atacante los mismos privilegios que el usuario que ejecuta Kodi. Finalmente lograron también para robar datos de acceso para YouTube y podrían Dropbox add-on cambio, por lo que al iniciar la sincronización de archivos o todo el contenido del directorio local de Dropbox a un servidor FTP especificado ha sido enviada. Los desarrolladores Kodi son informados por Bitdefender y trabajando en una actualización. Cuando parece que es desconocido.
