r   e   k   l   a   m   a
r   e   k   l   a   m   a

Gdy Chrome może Cię podsłuchiwać, w Google spierają się o standardy

Strona główna AktualnościOPROGRAMOWANIE

Jeśli wierzyć oficjalnym komunikatom rynkowym Google'a, Chrome jest najbezpieczniejszą z przeglądarek, a stosowane przez giganta z Mountain View procedury zapewniają szybkie łatanie nawet najdrobniejszych luk, które mogłyby narazić użytkowników na atak. Ostatnio jednak do tego bezpieczeństwa Chrome nie ma zbyt wiele szczęścia – do afery z aktualizacjami rozszerzeń, które po cichu zmieniły właścicieli doszła jeszcze jedna, dotycząca bardzo groźnej luki, dzięki której można zamienić google'ową przeglądarkę w system podsłuchowy.

Interfejsy głosowe to niezła rzecz, szczególnie w urządzeniach mobilnych, szczególnie podczas prowadzenia auta, więc nic dziwnego, że producenci przeglądarek internetowych zaczęli szukać sposobów, dzięki którym moglibyśmy wydawać polecenia czy wypełniać formularze, po prostu mówiąc do mikrofonu. Już w 2010 roku Google jako pierwsze wprowadziło do swojego Chrome eksperymentalną obsługę rozszerzenia Voice Search, a z początkiem 2013 roku gotowy był Web Speech API, interfejs pozwalający na łatwe wykorzystanie głosowych poleceń na wszelkiej maści stronach internetowych. Pomysł się przyjął, na wielu witrynach internetowych pojawiły się obok pola wyszukiwania ikonki mikrofonu, pozwalające na aktywowanie poleceń głosowych.

Tal Ater, izraelski programista, znany przede wszystkim z annyang, całkiem udanej biblioteki JavaScriptu służącej do rozpoznawania mowy, podczas prac nad nią odkrył w Chrome kilka dość niespodziewanych błędów. Łącząc je ze sobą, zbudował exploit, który zamienia Chrome w urządzenie podsłuchowe, pozwalające złośliwym witrynom na nagranie wszystkiego, co mówi się przy komputerze, jeśli tylko przeglądarka ta jest uruchomiona.

Sytuacja wygląda następująco: użytkownik odwiedza stronę, strona prosi o zgodę na użycie mikrofonu, użytkownik zgodę wyraża i może teraz sterować stroną za pomocą swego głosu. Fakt ten jest wyraźnie pokazany przez Chrome, które po opuszczeniu strony wyłącza mikrofon. Jeśli jednak o zgodę poprosi ktoś, kto ma złe intencje, to ma spore pole do popisu. Okazuje się, że dla witryn dostępnych po szyfrowanym połączeniu HTTPS Chrome zapamiętuje zgodę na włączenie mikrofonu i za następnym razem już od witryny uzyskania takiej zgody nie wymaga.

Nie ma też większego problemu, by pod przycisk aktywujący rozpoznawanie poleceń głosowych podpiąć funkcję otwierającą okienko ukryte pod głównym oknem przeglądarki. Okienko takie dziedziczy uprawnienia, może więc czekać do zamknięcia głównej witryny, by rozpocząć podsłuch bez żadnych wizualnych sygnałów, że do tego doszło: Chrome wyświetla powiadomienia tylko na kartach. Co ciekawe, to zachowanie nie jest w pełni zgodne ze specyfikacją Web Speech API, przyjętą jesienią 2012 roku przez W3C.

Gdyby problem się tylko na tym skończył, nie byłoby o czym pisać – każdego miesiąca odkrywa się takie, a nawet jeszcze gorsze luki w przeglądarkach. Programista zgłosiłby lukę do zespołu bezpieczeństwa Google, Google wydałoby aktualizację, o sprawie nikt by się nie dowiedział.

Ater wysłał takie zgłoszenie, wraz z działającym exploitem, 13 września zeszłego roku. 19 września uzyskał informację, że zlokalizowano błędy i zasugerowano poprawki. 24 września gotowa była łatka blokująca działanie exploita, a 27 września odkrycie zostało nominowane do pieniężnej nagrody. Od zgłoszenia do przygotowania łatki minęły niecałe dwa tygodnie.

I na tym się skończyło – mijały miesiące, a łatka nie została włączona do kolejnych wydań Chrome. W listopadzie Ater zapytał się, czemu nic się nie dzieje, by uzyskać odpowiedź, że trwa debata z grupą odpowiedzialną za standardy w sprawie poprawnego zachowania.

Debata trwa do teraz, a Chrome jest wciąż podatne. Izraelski programista postanowił więc upublicznić sprawę – może w Google ktoś się dzięki temu ocknie. Exploit już jest, choć na razie nic nie wiadomo o wykorzystaniu go do realnych ataków. Zaniepokojeni luką mogą sięgnąć np. po Firefoksa, który rozwiązał problem rozpoznawania głosu w najprostszy sposób – na razie go nie rozpoznaje.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.