Chrome może podsłuchiwać na witrynach wykorzystujących WebRTC

Standard WebRTC coraz częściej przenosi całość komunikacji do przeglądarki. Teraz jednak, z powodu luki w kodzie Chromium, łatwo powiązać go także z niebezpieczeństwem bycia podsłuchanym. Okazuje się bowiem, że odkąd okna wykorzystujące JavaScript nie muszą wyświetlać w przeglądarce nagłówków, użytkownik nie jest w żaden sposób informowany, iż w tle może być przekazywany obraz z kamery lub dźwięk z mikrofonu.

Wystarczy wyrazić zgodę na używanie WebRTC na danej witrynie, by otworzyć w ten sposób drogę do opisywanego zagrożenia. Później wystarczy już tylko, że witryna stworzy wyskakujące okienko (zapewne automatycznie przenoszone na drugi plan), aby w tle uruchomić mechanizmy, pozwalające wykorzystać WebRTC do podsłuchu. Użytkownik poszukujący odpowiedniej ikony informującej o działaniu transmisji, na tym etapie już nic nie znajdzie: wyskakujące okno pozbawione przecież było nagłówka, w którym normalnie informacyjna grafika miałaby się znaleźć.

Sytuacja ta, mająca przecież związek z szeroko rozumianą prywatnością i bezpieczeństwem, została już zgłoszona zespołowi Chromium. Postarano się także o dokładną instrukcję, w jaki sposób odtworzyć omawiany scenariusza. Przykładem ma być link do strony z właśnie takim mechanizmem wykorzystania WebRTC. Co ciekawe, odzew ze strony twórców może okazać się dla wielu zaskakujący, bowiem w opisywanej sytuacji nie widzą oni realnego zagrożenia dla użytkowników:

Dziękujemy za zgłoszenie. To w zasadzie nie jest zagrożenie związane z bezpieczeństwem – na przykład na urządzeniach mobilnych wykorzystanie WebRTC nie jest w żadnej sytuacji sygnalizowane w przeglądarce. (...)

Będziemy jednak szukać sposobu, by polepszyć opisywaną sytuację.

Temat pozostaje więc otwarty. Zagrożenie otrzymało ostatecznie status związanego z prywatnością, ale chociaż znane jest od kilkunastu dni, wciąż nie zaprezentowano jego rozwiązania.