Уязвимост в Google Chrome позволява да бъдете записвани с картина и звук без въобще да разберете. Google засега отказват да запушат дупката.
Уязвимост в интернет браузъра Google Chrome дава възможност на зловредни сайтове да записват видео и картина, без потребителите да бъдат уведомени за това и без никаква визуална индикация.
Разработчикът от AOL Ran Bar-Zik е съобщил за този проблем още през миналия месец, но от Google са преценили, че това не е бъг и засега отказват да издадат кръпка за проблема.
Всеки един браузър уведомява потребителя и го пита за позволение, когато се извършва записване на аудио или видео от даден сайт. Аудио-видео комуникацията се осъществява чрез WebRTC (Web Real-Time Communications) протоколите, които се поддържат от всеки един модерен браузър.
Тези протоколи предоставят възможността за осъществяване на комуникация в реално време при P2P връзки, без за това да е необходимо използването на допълнителни приставки.
За да се избегне неправомерно използване на тези протоколи и за да не бъде записан чрез аудио или видео потребителят, браузърът изкарва информация за събитието и изисква изрично разрешение за осигуряване на достъпа на WebRTC до камерата и/или микрофона.
Google Chrome уведомява за подобни събития потребителите си като се появява червена точка в лявата част на таба, а при Mozilla Firefoxсе появява камера.
Разработчикът обаче е открил, че уязвимост в Google Chrome позволява на одобрени преди това сайтове да активират записване на аудио и видео, след като се използва JavaScript код и с отварянето на headless прозорец.
След това при запис в Chrome няма да се появява червената точка и потребителят по нищо не може да разбере, че в момента бива записван.
Това е възможно, защото Google Chrome не е проектиран да показва червената точка при headless прозорци. Ran Bar-Zik дори е създал демо мини-сайт, където можете да видите бъга в действие.
В този сайт ще бъдете попитани за разрешение за използване на WebRTC чрез попъп, а след това ще бъде направен запис с продължителност от 20 секунди, без да има каквато и да било индикация за това.
От Google обаче не считат, че това е бъг и засега отказват да запушат тази уязвимост, но обещават „за в бъдеще да подобрят положението“.
При Chromium положението е същото. Техен разработчик е отговорил на доклада на Bar-Zik по следния начин:
„Това всъщност не е пробив в сигурността. Например, при мобилните устройства при използването на WebRTC въобще не се показва никаква индикация в браузъра“.
Дали разработчиците считат това за бъг или не, то със сигурност уязвимостта представлява проблем с нарушаване на личното пространство и поверителността на потребителите, която може да се използва от кибер престъпниците и да бъде добавена към инструментариума за подслушване от страна на всякакви зложелатели и правителства.
Нашият съвет е, ако не се нуждаете от WebRTC, да го изключите напълно или ако все пак ви е необходим, да давате достъп до вашите камера и микрофон само на наистина доверени сайтове.
Преди повече от три години Едуард Сноудън разкри информация за проекта на Националната агенция за сигурност в САЩ, който носи името Optical Nerve. В този проект се е заснемал по един Yahoo потребител на всеки пет минути. По този начин само за половин година над 1.8 милиона потребителски снимки са били качени и съхранявани на правителствени сървъри.
Поради тези причини дори и хора като основателя на Facebook Марк Зукърбърг и бившия директор на ФБР Дфеймс Коми, използват лепенка от непрозрачно тиксо върху камерите си.
Това обаче няма да ви помогне срещу записването на аудио от страна на кибер престъпниците, а и на правителствените служби, които могат винаги да ви шпионират по този начин, ако не бъдете внимателни.
