Tiho! Chrome vas sluša: Otkriven bag koji pretvara browser u uređaj za prisluškivanje

Vesti, 24.01.2014, 07:27 AM

Nedavno smo vam predložili da zalepite lepljivu traku preko web kamere, pa vam možda neće biti neobično što ćemo vam ovoga puta savetovati da budete tiši ako ste u blizini računara, konrektno, u blizini Chrome-a. Deluje kao šala, ali za takav savet postoji dobar razlog. Google-ov browser ima opasan sigurnosni propust koji vaš računar pretvara u uređaj za prisluškivanje.

Bag u Chrome-u koji je otkrio izraelski programer Tal Atar omogućava web sajtu pristup mikrofonu računara čak i onda kada ste završili sa posetom sajtu.

Chrome ima funkciju prepoznavanja glasa koja koristi mikrofon računara i omogućava korisniku da govori umesto da unosi tekst u bilo koji okvir za unos teksta ili pretražuje internet glasom.

Radeći na svom programu za prepoznavanje glasa, Tal Atar je otkrio bag u Google-ovom browser-u koji može omogućiti malicioznom web sajtu da Chrome iskoristi kao uređaj za prisluškivanje koji može snimati sve što se dešava u blizini računara, čak i pošto je korisnik napustio taj web sajt.

Kada korisnik poseti sajt koji prepoznaje govor i koji mu nudi mogućnost korišćenja sajta uz pomoć softvera za prepoznavanje glasa, Chrome traži dozvolu od korisnika za korišćenje mikrofona. Ako korisnik da dozvolu za pristup mikrofonu, pojavljuje crveno trepćuće svetlo na kartici u kojoj je otvoren taj sajt koje signalizira korisniku da sajt sluša. To svetlo signalizira da je mikrofon uključen, tako da bi zatvaranje kartice ili poseta drugom sajtu trebalo da znači da je mikrofon isključen.

Dakle, sve što maliciozni sajt treba da uradi jeste da dobije od korisnika dozvolu za omogućavanje prepoznavanja govora sa nekim legitimnim opravdanjem i da zatim izbaci “pop-under” prozor koji bi izgledao kao recimo obična reklama i koji bi i dalje držao mikrofon uključenim. Dokle god je taj prozor otvoren, sve što se dešava u blizini računara se čuje i može biti snimljeno i otpremljeno na server napadača.

Atar kaže da HTTPS veza ne znači da je sajt bezbedan. Kada date dozvolu za pristup mikrofonu HTTPS sajtu, Chrome će upamtiti to i prilikom sledeće posete neće ponovo tražiti dozvolu za taj sajt.

Tal Atar je krajem septembra prijavio propust Google-ovom timu za bezbednost browser-a, međutim, iako je tim priznao bag, ispravka za propust do sada nije objavljena.

Nekoliko nedjelja kasnije, Atar je zatražio objašnjenje od Google-a o razlozima za odlaganje ažuriranja a iz kompanije mu je odgovoreno da čekaju da W3C (World Web consortium) donese odluku o tome.

“Bezbednost naših korisnika je prioritet, a ova funkcija je dizajnirana tako da se bezbednost i privatnost imala na umu”, kaže portparol Google-a. Mi smo ponovo istražili i dalje mislimo da nema neposredne pretnje, s obzirom da korisnik mora najpre da omogući prepoznavanje govora za svaki sajt koji to zatraži. Funkcija je u skladu sa trenutnim W3C standardom, a mi nastavljamo da radimo na (njenom) poboljšanju.”

Tal Atar je objavio izvorni kod za exploit kako bi podstakao Google da ispravi propust i tako sačuva bezbednost korisnika interneta.