Bag u Chromeu omogućava snimanje zvuka i videa bez vizuelnog indikatora i dozvole korisnika

Vesti, 31.05.2017, 08:30 AM

Programer kompanije AOL Ran Bar-Zik otkrio je bag u Google Chromeu koji omogućava web sajtovima snimanje zvuka i videa bez prikazivanja vizuelnog indikatora.

Iako ovo deluje kao zastrašujući scenario, malicioznim web sajtovima ipak treba dozvola korisnika da pristupe audio i video komponentama uređaja, ali postoje različiti načini na koje ova slabost može biti iskorišćena za snimanje zvuka i videa bez znanja i pristanka korisnika.

Centralni element baga je crveni krug i tačka, ikona koju Chrome obično prikazuje kada se snima zvuk ili video.

Bar-Zik je otkrio bag dok je radio na web sajtu koji pokreće WebRTC kod. WebRTC je protokol za emitovanje audio i video sadržaja preko interneta u realnom vremenu. Da bi se emitovao audio ili video sadržaj, korisnik mora najpre da da dozvolu za pristup audio i video komponenti.

Kada web sajt dobije dozvolu, on može pokrenuti JavaScript kod koji snima zvuk i video sadržaj, pre nego što se on pošalje preko interneta drugim učesnicima WebRTC streaminga. Ovaj proces snimanja se vrši preko MediaRecorder API.

Bar-Zak je otkrio da kod koji vrši snimanje ne mora da bude pokrenut u originalnoj kartici Chromea gde je data dozvola. S obzirom da je se dozvola za pristup audio i video podacima daje za ceo domen, Bar-Zik je shvatio da može da pokrene popup prozor u Chromeu gde može pokrenuti kod za snimanje zvuka i videa.

Pošto Chrome pokazuje ikonu koja je indikator za snimanje zvuka i videa, u slučaju popup prozora ikona se neće pojaviti jer takav prozor nema traku sa karticama.

Google je obavešten o ovom bagu. Izveštaj o bagu možete naći ovde, kao i bezopasni demo koji pokazuje kako bi izgledao jedan takav napad.

Google je istog dana odgovorio Bar-Ziku ali je kompanija odbila da ovo tretira kao bezbednosni propust.

"Ovo zapravo nije bezbednosni propust - na primer, WebRTC na mobilnom uređaju uopšte ne prikazuje indikator u browseru", kažu iz Googlea dodajući da indikator radi samo na desktopu kada je dostupan Chrome UI prostor. Iz Googlea kažu da traže načine da poboljšaju ovu situaciju.

Bar-Zik se ne slaže sa Googleovom procenom navodeći da mnogi ljudi često klikću na dozvole a da prethodno nisu pročitali sa čime su se saglasili. To je dovoljno za različite sofisticirane napade.

Na primer, napadač može koristiti veoma male popup prozore za pokretanje koda za napad. Ovaj kod može koristiti kameru makar na milisekund da bi slikao korisnika, ili je može koristiti satima, snimajući kretanje korisnika ili zvuk u okolini. Ako korisniku promakne popup prozor, nema vizuelnog indikatora koji bi ga upozorio da ga neko snima. Osim toga, napadač može zamaskirati popup u reklamu. Ako korisnik ne zatvori odmah popup prozor sa reklamom, napadač ga može snimati bez njegovog znanja.

Napadač čak ne mora da pribavi dozvolu korisnika za pristup audio i video komponentama. On može iskoristiti XSS (cross-site scripting) propuste na legitimnim sajtovima koji su već dobili pristup audio i video komponentama. Ovi propusti se mogu koristiti za isporuku koda napadača.

S obzirom da Google ovo ne smatra bezbednosnim propustom, Chrome neće dobiti hitnu ispravku. Korisnicima samo ostaje da obrate pažnju na dozvole koje daju web sajtovima.