Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Un bug in Google Chrome permette ai siti internet di registrare audio e video
- MARTEDÌ 30 MAGGIO 2017


Ran Bar-Zik, un programmatore della società americana "AOL" (American On Line) ha scoperto e segnalato un bug in Google Chrome che permette ai siti web di registrare audio e video senza mostrare indicatori visivi. Il bug non è così pericoloso come sembra, dal momento che ai siti serve il permesso dell’utente per accedere alle componenti audio e video, ma ci sono tanti modi attraverso i quali questa funzione potrebbe diventare un’arma nelle mani dei cyber criminali per registrare audio o video senza il consenso dell’utente. L’elemento centrale del bug è l’icona di un cerchio rosso attorno ad un tondo che solitamente Chrome mostra quando registra audio o video.

In una conversazione privata, Bar-Zik ha detto di aver scoperto il bug mentre lavorava su un sito web che eseguiva il protocollo WebRTC, una tecnologia open source che consente ai browser di effettuare in tempo reale la video chat. Per eseguire questo protocollo, l’utente deve prima dare il proprio permesso al sito internet per farlo accedere alle componenti audio e video. Quando un sito ottiene  il permesso, può avviare JavaScript che registra contenuti audio o video, prima di inviarlo online agli altri partecipanti di uno streaming WebRTC. Questo processo di registrazione viene fatto tramite il Media Recorder API, un’interfaccia per la programmazione che effettua registrazioni dello streaming multimediale, basato su JavaScript.

Il codice di avvio viene visualizzato attraverso un popup
Bar-Zik ha scoperto che il codice di registrazione non deve necessariamente avviarsi nella scheda alla quale l'utente ha dato il permesso. Il programmatore israeliano ha realizzato di poter avviare una nuova finestra Chrome headless (senza interfaccia grafica) dove avviare il codice per registrare audio e video. Dato che Chrome mostra l’icona del cerchietto rosso nella scheda della finestra, l’icona non viene visualizzata nella finestra headless perché non è dotata di barra superiore.

Il problema è stato segnalato ma non è arrivata nessuna soluzione per ora.
Bar-Zik ha detto che dopo aver parlato di questo problema con i membri della propria famiglia e altri conoscenti, ha segnalato il bug a Google. La segnalazione del bug è disponibile qui ed include anche una demo benigna che richiede il permesso degli utenti, mostra un popup quando l’utente clicca nei popup e registra 20 secondi di audio, fornisce inoltre un link per scaricare il file che contiene la registrazione. 


Nella risposta ricevuta lo stesso giorno, Google ha dichiarato di NON considerare questo bug un problema di sicurezza.
Questa non è una vulnerabilità di sicurezza – per esempio, WebRTC nei dispositivi mobili non mostra nessun indicatore nel browser. L’icona del cerchio rosso funziona solo nel desktop del computer che possiede una barra superiore. Come è stato detto, stiamo cercando un modo per  migliorare questa situazione.”

Le ricerche confermano problemi riguardo ad una possibile sorveglianza clandestina
Bar-Zik non è d’accordo con le affermazioni di Google. Per esempio, il ricercatore ha argomentato che tante persone sono infastidite dalla barra superiore e tendono a cliccare su alcuni permessi senza leggerli. Una volta che l’utente non ha fatto attenzione o ha dato accidentalmente il permesso ad un sito internet ad accedere alle componenti audio e vide, possono essere avviati attacchi criminali molto sofisticati.
“Gli attacchi criminali non saranno più così palesi” ha detto Bar-Zik: per esempio, un cyber criminale può usare popup poco evidenti o sotto forma di ads banali per avviare il codice di attacco. Questo codice può utilizzare la camera anche solo per un millisecondo per prendere una foto dell’utente, o addirittura per ore, registrando i suoi movimenti o i suoni provenienti dalle vicinanze del computer. Se l’utente non nota il popup nella barra, non ci sono indicatori visibili che lo avvertano che qualcuno ha avuto accesso alle sue componenti audio e video e, se l’utente non chiude immediatamente il popup, il cyber criminale può rimanere con un canale di sorveglianza aperto nel computer dell’utente. Bar-Zik ha affermato inoltre che un cyber criminale non ha necessariamente bisogno di creare un sito apposito che chieda e riceva questo permesso: può sfruttare la falla nello scripting attraverso i siti che lo permettono e che hanno già ottenuto il permesso all'accesso delle componenti audio e video dell’utente. Questa falla può essere usata per trasportare l’attacco. 


Google non ha però tutti i torti
Finché Google non riterrà tutto questo un problema di sicurezza, Chrome non riceverà una soluzione in tempi brevi. Sta di fatto che Google ha tutte le ragioni per non considerarlo un problema, dal momento che l’icona del cerchio rosso non è presente in tutte le versioni Chrome e la reale difesa contro questo tipo di attacchi è il permesso dato ai popup. Gli utenti che vogliono essere al sicuro contro questo tipo di attacchi dovrebbero prestare più attenzione al permesso che danno ai siti web.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2021 nwk - Privacy Policy - Cookie Policy - Login