r   e   k   l   a   m   a
r   e   k   l   a   m   a

Kolejny sposób na podsłuchiwanie przez Chrome: winna nieprzemyślana implementacja

Strona główna AktualnościOPROGRAMOWANIE

W styczniu tego roku izraelski programista przypadkiem odkrył, jak łatwo jest przekształcić Google Chrome w urządzenie podsłuchowe, wykorzystując nie do końca zgodne ze standardami zachowanie tej przeglądarki. Teraz inny izraelski programista pokazuje podobny atak, pozwalający przejąć transkrypcję mowy na tekst podsłuchanej przez mikrofon komputera – i to nawet jeśli użytkownik nie dał aplikacji dostępu do mikrofonu.

Sprytne nadużycie starego interfejsu mowy w Google Chrome, -x-webkit-speech, możliwe jest dzięki temu, że element HTML, który przyjmuje mowę użytkownika, może przyjąć dowolny rozmiar i poziom przezroczystości, nie tracąc nic na funkcjonalności. Taki niewidzialny element może przejmować wszystkie kliknięcia na stronie.

Jak widać, nie jest to jakaś wyrafinowana technika, raczej wykorzystanie nieprzemyślanej implementacji interfejsu mowy, aktywowanego elementem <input-x-webkit-speech />. Nie ma tu żadnych specjalnych okienek dialogowych dla uzyskania zgody na nagrywanie, a wskaźnik mówiący informujący o tym, że trwa nagrywanie na stronie, może być łatwo ukryty, wyrzucony poza widoczny obszar ekran.

r   e   k   l   a   m   a

Przykład takiego ataku jego odkrywca Guy Aharonovski, przedstawił na poniższym filmie. Choć zademonstrowano go na wersji Chrome dla OS-a X, działa on też na Windows i Linuksie. Możecie też sami wypróbować jego działanie, klikając tutaj. Co gorsze, nawet jeśli zablokować aplikacjom dostęp do kamery i mikrofonu w panelu chrome://settings/content, atak wciąż jest możliwy.

Błąd został zgłoszony do Google przez tracker projektu Chromium. Specjalnego wrażenia na programistach Google'a jednak nie zrobił, oznaczono go jako mało istotny, co oznacza, że opracowanie łatki nie jest priorytetem. Dopiero ujawnienie sprawy na łamach Reddita spowodowało podwyższenie oszacowania poziomu ryzyka, i opracowanie łatki.

Warto zresztą podkreślić, że stare, „prefiksowe” Web Speech API jest przez Google już wycofywane, zastępuje je nowy interfejs, w pełni zgodny ze standardami. Jego demonstrację możecie zobaczyć tutaj.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.