La falla de Chrome permite a los sitios grabar en secreto audio / video sin indicación

Los sitios web en Chrome pueden grabar audio / video en secreto sin indicación

¿Qué sucede si su computadora portátil está escuchando todo lo que se dice durante sus llamadas telefónicas u otras personas cerca de su computadora portátil e incluso graba videos de su entorno sin su conocimiento?

¡Suena realmente aterrador! ¿No es así? Pero este escenario no solo es posible, sino que es muy fácil de lograr.

Una falla de diseño de UX en el navegador Chrome de Google podría permitir que sitios web maliciosos graben audio o video sin alertar al usuario ni dar ninguna indicación visual de que se está espiando.

El desarrollador de AOL, Ran Bar-Zik, informó sobre la vulnerabilidad a Google el 10 de abril de 2017, pero el gigante tecnológico se negó a considerar esta vulnerabilidad como un problema de seguridad válido, lo que significa que no hay un parche oficial en el camino.

Cómo funcionan los navegadores con cámara y micrófono

google-chrome-video-red-icon-indicator

Antes de saltar a los detalles de vulnerabilidad, primero debe saber que la comunicación de audio y video basada en un navegador web se basa en el protocolo WebRTC (Web Real-Time Communications), una colección de protocolos de comunicaciones que es compatible con la mayoría de los navegadores web modernos para habilitar en tiempo real comunicación a través de conexiones punto a punto sin el uso de complementos.

Sin embargo, para proteger la transmisión no autorizada de audio y video sin el permiso del usuario, el navegador web primero solicita a los usuarios que permitan explícitamente que los sitios web utilicen WebRTC y accedan a la cámara / micrófono del dispositivo.

Una vez otorgado, el sitio web tendrá acceso a su cámara y micrófono para siempre hasta que revoque manualmente los permisos de WebRTC.

Para evitar que los sitios web ‘autorizados’ graben en secreto su transmisión de audio o video, los navegadores web indican a sus usuarios cuándo se está grabando cualquier audio o video.

“La activación de esta API alertará al usuario de que se está capturando el audio o el video de uno de los dispositivos”, escribió Bar-Zik en una publicación de blog de Medium. “Esta indicación récord es la última y más importante línea de defensa”.

En el caso de Google Chrome, aparece un icono de punto rojo en la pestaña, alertando a los usuarios que la transmisión de audio o video está en vivo.

Cómo los sitios web pueden espiarlo en secreto

chrome-hacking-news

El investigador descubrió que si un sitio web autorizado abre una ventana sin cabeza usando un código JavaScript, puede comenzar a grabar audio y video en secreto, sin el icono de punto rojo, sin dar indicaciones en el navegador de que la transmisión está ocurriendo.

“Abra una ventana sin cabeza y active el MediaRecorder desde esa ventana. En Chrome no habrá indicación de registro visual”, dijo Bar-Zik.

Esto sucede porque Chrome no se ha diseñado para mostrar una indicación de punto rojo en la pantalla sin cabeza windows, permitiendo a los desarrolladores del sitio “explotar la pequeña manipulación de UX para activar la API MediaRecorder sin alertar a los usuarios”.

Bar-Zik también proporcionó un código de prueba de concepto (PoC) para que cualquiera lo descargue, junto con un sitio web de demostración que le pide permiso al usuario para usar WebRTC, lanza una ventana emergente y luego graba 20 segundos de audio sin dar Cualquier indicación visual.

Todo lo que necesita hacer es hacer clic en dos botones para permitir que el sitio web use WebRTC en el navegador. La demostración graba su audio durante 20 segundos y luego le proporciona un enlace de descarga para el archivo grabado.

“El ataque real no será muy obvio, por supuesto. Puede usar ventanas emergentes muy pequeñas y enviar los datos a cualquier lugar y cerrarlos cuando el usuario se esté enfocando en ellos. Puede usar la cámara durante milisegundos para obtener su imagen”, Bar- Dijo Zik. “En dispositivos móviles, no hay tal indicación visual”.

La falla informada afecta a Google Chrome, pero también puede afectar a otros navegadores web.

No es un defecto, dice Google; ¡Así que no hay parche rápido!

Bar-Zik informó el problema de seguridad a Google el 10 de abril de 2017, pero la compañía no considera esto como una vulnerabilidad de seguridad válida. Sin embargo, acuerda encontrar formas de “mejorar la situación” en el futuro.

“Esto no es realmente una vulnerabilidad de seguridad, por ejemplo, WebRTC en un dispositivo móvil no muestra ningún indicador en el navegador”, respondió un miembro de Chromium al informe del investigador.

“El punto es el mejor esfuerzo que solo funciona en el escritorio cuando tenemos espacio disponible en la interfaz de usuario de Chrome. Dicho esto, estamos buscando formas de mejorar esta situación”.

Google considera que esto es una vulnerabilidad de seguridad o no, pero el error es seguramente un problema de privacidad, que podría ser explotado por los piratas informáticos para lanzar potencialmente ataques más sofisticados.

Para mantenerse seguro, simplemente deshabilite WebRTC, que se puede hacer fácilmente si no lo necesita. Pero si necesita la función, permita que solo los sitios web de confianza utilicen WebRTC y busque cualquier otro windows que puede engendrar después de eso.

Las filtraciones de Edward Snowden también revelaron el nervio óptico: el proyecto de la NSA para capturar imágenes de cámaras web cada 5 minutos de usuarios aleatorios de Yahoo. En solo seis meses, 1.8 Millones de imágenes de usuarios fueron capturadas y almacenadas en los servidores del gobierno en 2008.

Siguiendo tales preocupaciones de privacidad, incluso Facebook El CEO Mark Zuckerberg y el ex director del FBI James Comey admitieron que pusieron cinta adhesiva en sus computadoras portátiles solo para estar más seguros.

Aunque colocar una cinta sobre su cámara web no evitaría que los piratas informáticos o las agencias de espionaje del gobierno graben su voz, al menos, les impedirá ver o capturar sus transmisiones visuales en vivo.