Google po cichu zamienia Chrome w końcówkę Botnetu Rzeczy

Gdy pod koniec stycznia debiutował w stabilnym kanale Chrome56, opisując nowości tego wydania najpopularniejszejprzeglądarki planety prześlizgnęliśmy się tylko po wprowadzeniuwsparcia dla standardu Web Bluetooth. Błąd, poważny błąd,wynikający z pobieżnego tylko przejrzenia dokumentacji.Przypomnijmy więc – chodzi o nowy interfejs programowania, którypozwoli stronom internetowym bezpośrednio komunikować się zurządzeniami Bluetooth Low Energy. Niby niewinnie, ale diabeł jakzwykle tkwi w szczegółach.

Pierwsze przykładowe zastosowanie Web Bluetooth? Pozyskaniedanych z urządzenia do monitorowania pracy serca. Poważnie – cośtakiego znajdziemy na początku szkicudokumentacji nowego standardu. Nowy interfejs programowaniabazuje na protokole GATT, pozwalającym połączyć się aplikacjomwebowym z dowolnymi urządzeniami standardu Bluetooth Low Energy –od dziecięcych zabawek, przez domowe żarówki i termostaty powspomniany sprzęt medyczny. Google zapewnia obezpieczeństwie i prywatności tego rozwiązania, jakżeby inaczej.W rzeczywistości żadnego specjalnego bezpieczeństwa tunie ma – ot komunikacja między serwerem a przeglądarkąodbywa się po TLS, na udostępnienie urządzenia aplikacji trzebawyrazić zgodę, potem urządzenia trzeba sparować, przedsparowaniem urządzenie jest niewidoczne dla działającego nastronie skryptu.

Teraz należy zaczekać na sztuczki inżynierii społecznej, takjak ostrzegałjuż w zeszłym roku uznany ekspert od prywatności i bezpieczeństwa,Łukasz Olejnik. Zauważył on, że nie ma co spodziewać się, byzwykły użytkownik rozumiał różnicę między sparowaniem swojegosmartfonu czy czajnika z własnym laptopem, a sparowaniem tegożsmartfonu czy czajnika z działającą w chmurze aplikacją. Możnasobie wyobrazić przeróżne oszukańcze aplikacje, które będąteraz użytkowników namawiały do sparowania, obiecując im nowe,niezwykłe doświadczenia wmarketingowej nowomowie. I tak krok po kroku, użytkownicy zacznąoddawać operatorom Internetu Rzeczy dostęp do sprzętu, którygromadzi o nich ogromne ilości informacji.

I analyse privacy of @w3c Web Bluetooth. The joys of pairing websites with devices. Location tracking, leaks? https://t.co/lkwM0ypQx4 #IoT

— Lukasz Olejnik (@lukOlejnik) October 25, 2016Podkreślmy – nie ma w WebBluetooth żadnych mechanizmów zarządzania informacją udostępnionąaplikacji webowej. Jak już zapewnisz dostęp, to autor aplikacjimoże robić co chce. A biorąc pod uwagę ogólnie marny stanzabezpieczeń wszystkiego, co wiąże się z Internetem Rzeczy… niewróży to dobrze przyszłości, obiecując sceny niczym z gry WatchDogs.

Na koniec najzabawniejsze.Użytkownik nie może prosto wyłączyć sobie Web Bluetootha. Worganizacjach administratorzy mogą go wyłączyć dla swoichużytkowników korzystając z politykChrome, czegoś o czym zwykły Kowalski nawet nie wie, że toistnieje.