Tiho! Chrome vas sluša: Otkriven bag koji pretvara browser u uređaj za prisluškivanje
Vesti, 24.01.2014, 07:27 AM
Nedavno smo vam predložili da zalepite lepljivu traku preko web kamere, pa vam možda neće biti neobično što ćemo vam ovoga puta savetovati da budete tiši ako ste u blizini računara, konrektno, u blizini Chrome-a. Deluje kao šala, ali za takav savet postoji dobar razlog. Google-ov browser ima opasan sigurnosni propust koji vaš računar pretvara u uređaj za prisluškivanje.
Bag u Chrome-u koji je otkrio izraelski programer Tal Atar omogućava web sajtu pristup mikrofonu računara čak i onda kada ste završili sa posetom sajtu.
Chrome ima funkciju prepoznavanja glasa koja koristi mikrofon računara i omogućava korisniku da govori umesto da unosi tekst u bilo koji okvir za unos teksta ili pretražuje internet glasom.
Radeći na svom programu za prepoznavanje glasa, Tal Atar je otkrio bag u Google-ovom browser-u koji može omogućiti malicioznom web sajtu da Chrome iskoristi kao uređaj za prisluškivanje koji može snimati sve što se dešava u blizini računara, čak i pošto je korisnik napustio taj web sajt.
Kada korisnik poseti sajt koji prepoznaje govor i koji mu nudi mogućnost korišćenja sajta uz pomoć softvera za prepoznavanje glasa, Chrome traži dozvolu od korisnika za korišćenje mikrofona. Ako korisnik da dozvolu za pristup mikrofonu, pojavljuje crveno trepćuće svetlo na kartici u kojoj je otvoren taj sajt koje signalizira korisniku da sajt sluša. To svetlo signalizira da je mikrofon uključen, tako da bi zatvaranje kartice ili poseta drugom sajtu trebalo da znači da je mikrofon isključen.
Dakle, sve što maliciozni sajt treba da uradi jeste da dobije od korisnika dozvolu za omogućavanje prepoznavanja govora sa nekim legitimnim opravdanjem i da zatim izbaci “pop-under” prozor koji bi izgledao kao recimo obična reklama i koji bi i dalje držao mikrofon uključenim. Dokle god je taj prozor otvoren, sve što se dešava u blizini računara se čuje i može biti snimljeno i otpremljeno na server napadača.
Atar kaže da HTTPS veza ne znači da je sajt bezbedan. Kada date dozvolu za pristup mikrofonu HTTPS sajtu, Chrome će upamtiti to i prilikom sledeće posete neće ponovo tražiti dozvolu za taj sajt.
Tal Atar je krajem septembra prijavio propust Google-ovom timu za bezbednost browser-a, međutim, iako je tim priznao bag, ispravka za propust do sada nije objavljena.
Nekoliko nedjelja kasnije, Atar je zatražio objašnjenje od Google-a o razlozima za odlaganje ažuriranja a iz kompanije mu je odgovoreno da čekaju da W3C (World Web consortium) donese odluku o tome.
“Bezbednost naših korisnika je prioritet, a ova funkcija je dizajnirana tako da se bezbednost i privatnost imala na umu”, kaže portparol Google-a. Mi smo ponovo istražili i dalje mislimo da nema neposredne pretnje, s obzirom da korisnik mora najpre da omogući prepoznavanje govora za svaki sajt koji to zatraži. Funkcija je u skladu sa trenutnim W3C standardom, a mi nastavljamo da radimo na (njenom) poboljšanju.”
Tal Atar je objavio izvorni kod za exploit kako bi podstakao Google da ispravi propust i tako sačuva bezbednost korisnika interneta.
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade