12:04
16/6/2017

Jeden z badaczy bezpieczeństwa odkrył “błąd” w Google Chrome, umożliwiający nagrywanie dźwięku oraz obrazu bez informowania o tym użytkownika. Taką inwigilację można prowadzić, jeśli strona korzysta z WebRTC. W najlepszym wypadku zostaniecie nagrani w czasie dłubania w nosie, ale niektórzy pod komputerem robią bardziej wstydliwe rzeczy…

WebRTC + Chrome = problem?

WebRTC to darmowy, otwarty projekt, który udostępnia protokoły do komunikacji audio-wideo w czasie rzeczywistym (Real-Time Communications) poprzez API. Przeglądarka w momencie nagrywania ostrzega użytkownika i wyświetla w otwartej karcie czerwoną kropkę (i inne znaki w przypadku streamingu innych treści niż obraz z kamery).

Ostrzeżenia przed nagrywaniem w Chrome

Jednak w przypadku opisanego przez badacza “ataku”, takiego ostrzeżenia nie zobaczymy … bo “atak” wymaga, aby użytkownik pozwolił aplikacji na dostęp do audio i wideo. I to jest powód, dlaczego od samego początku, słowo “atak” umieszczamy w cudzysłowie. Jeśli ktoś jest czujny, nie powinien dać się zmanipulować. Ale niestety, w pewnych sytuacjach, podsłuchiwanie i podglądanie ofiary jest możliwe bez jej wiedzy:

Ran Bar-Zik pokazał, że atakujący niekoniecznie musi zmusić użytkownika do nadania złośliwej stronie pozwolenia do nagrywania. Można bowiem skorzystać z pozwoleń, jakie ofiara wydała innej domenie, której ufa —
pod warunkiem, że na tej domenie znajduje się podatność XSS.

Analiza działania, PoC

Proof-of-concept jest dostępny tutaj. Aby odtworzyć atak wciśnij pierwszy przycisk, następnie drugi. Na początku strona prosi o uprawnienia.

W momencie nadania uprawnień, jeśli strona nie wykorzystuje złośliwego kodu, widzimy kropkę. Ale kiedy wciśniemy drugi przycisk, wykonywany jest kod JS, który nagra Was już bez pokazywania czerwonej kropki.

Po dwudziestu sekundach będziecie mogli pobrać nagranie Waszego głosu.

Dlaczego nie jest to poważny błąd

Luka, którą znalazł Bar-Zik została zgłoszona firmie Google. Ta uznała, że problem nie jest na tyle poważny, aby musiał zostać szybko naprawiony. Użytkownik przecież zezwala na dostęp do urządzeń audio-wideo prawdziwej stronie. To że błędy na tej stronie pozwalają komuś za pomocą JS ukryć fakt nagrywania, to po części wina tej strony, a nie tylko przeglądarki.

Używam Chrome — co robić? Jak żyć?

Jeśli nie ma potrzeby, nie nadawaj serwisowi uprawnień do kamery i mikrofonu. Uważaj też na wszystkie wyskakujące okienka. Nie zaszkodzi też korzystać z zasłonki na kamerkę.

Niebezpiecznikowa, otwierana zaślepka na kamerkę

Niebezpiecznikowa, otwierana zaślepka na kamerkę

Takie zaślepki na kamerki jak te powyżej rozdajemy wszystkim uczestnikom naszych szkoleń, ale zawsze mamy je przy sobie także na konferencjach na których mamy prelekcję oraz podczas prowadzenia cyberwykładów w Waszych firmach — więc jeśli bierzecie lub będziecie brali w nich udział, podejdźcie do naszego pracownika i poproście o taki gadżet :)

Rekomendacją niech będzie to, że nawet Papież Franciszek z takiej zaślepki korzysta, a założymy się, że większość z Was ma jednak więcej do ukrycia niż żyjąca bez żadnego grzechu głowa Kościoła ;)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

38 komentarzy

Dodaj komentarz
  1. http://imgur.com/a/5cQ3N
    Coś jednak nie halo…

  2. Może chcecie wysłać parę takich zaślepek pocztą :>

  3. Sam ratuje się plastrem od czasu, kiedy córka odpaliła jakąś grę www z kamerką. W domu nie korzystam z kamerki, zatem plaster w zupełności wystarcza. W pracy kamerka jest niestety bardziej przydatna (skanowanie kodów QR), ale za to nie korzystam z Chrome ;)

    • Z ciekawości, telewizor i smartphona (z obu stron) też obkleiłeś? :)

    • W tv nie mam kamery, a z użyciem telefonu ograniczam się do minimum ;) Niecałe półtora rok u temu używałem jeszcze Myphone Hammer :D

    • PS. Ale tel mam przynajmniej słusznej (w pewien sposób dbającej o prywatność) marki ;) Sieć już niestety nie słuszna…

    • PS. Ale przynajmniej telefon mam słusznej (dbającej w pewien sposób o prywatność) marki ;) Gorzej z siecią, ta już mniej “słuszna…

    • Ja tam na wszelki wypadek wszystko co kupuje obklejam taśmą :)
      Mam wszystko poobklejane, telewizor, lodówkę, pralkę, itp…
      Dodatkowy pozytyw jest tego typu, że nic się nie brudzi, nic się nie kurzy :D

    • K 2017.06.16 13:35
      Co CI da oklejenie ? Mikrofon też okleisz :)
      Tylko sprzętowe rozwiązania albo zakup cegły za 30 zł :)
      Moje rozwiązanie które stosuje to :
      Fizyczne rozpięcie , ucięcie przewodu od kamerki, rozlutowanie układu , mikrofonu , czytnika linii papilarnych , , wifi ,bluetooth ,a w telefonie GPS :) Co nie zapewnia i tak 100% bezpieczeństwa bo system nafaszerowany śmieciami ^^

    • @hasmi a z glinianki czasami wychodzisz?

      Napisałem jasno co, gdzie i dlaczego oklejam. Doczytaj, zadaj jeszcze raz pytanie, bo niby co za laptop dla dzieci miałbym kupić za 30zł? ;)

    • K 2017.06.18 10:13 |
      W Niemczech na wystawkach, giełdach dostaniesz to po cenie złomowej od turka, albo nawet za free bezpośrednio od Niemca bo oni wyrzucają wszystko co jest delikatnie uszkodzone.
      No przecież, po to się zalepia między innymi :), chyba że komuś nie przeszkadza komp w sypialni podczas upojnych chwil z …. bestią ^^

    • K 2017.06.18 10:13 |
      ps., naklejka ci nic nie da bo czasem lubi się odkleić i nie zagwarantuje twojemu dziecku prywatności , bo co prawda obrazu nie będzie ,ale dźwięk może zbierać z otoczenia.

    • Było naprawdę wiele przypadków gdzie ktoś przejął kontrolę nad laptopem w sypialni nagrywając intymne chwile z dziewczyną . To tak po za tematem … dlaczego ja to nie zaklejam tylko fizycznie się tego pozbywam.

    • @hasmi sam dźwięk w przypadku dziecka mnie nie przeraża. Co do pozostałych sytuacji to może jestem dziwny, ale czasami wyłączam laptopa ;)

    • K 2017.06.18 20:01
      dziecko jest bardzo rozmowne gdy się bawi . Poczytaj o lalkach barbie – jakie informacje od takich maluchów można wyciągnąć po analizie i dlaczego mikrofon lepiej usunąć :)

  4. Gdzie można kupić takie zaślepki na kamerkę?

    • W kazdym sklepie z zaslepkami ;)

    • W sklepie z dewocjonaliami.

  5. Tylko czekać aż to ktoś wykorzysta :D
    Ja na przykład robię przed telefonem tylko te rzeczy które chcę by inni widzieli… No i w sumie chyba nie ma problemu.

  6. Cytat: “nawet Papież Franciszek z takiej zaślepki korzysta, a założymy się, że większość z Was ma jednak więcej do ukrycia niż żyjąca bez żadnego grzechu głowa Kościoła ;)”

    Grzeszy jak wszyscy inni, bo jest tylko człowiekiem, i do spowiedzi też chodzić musi :)
    Ale ciekawe w tablecie papieża jest to, że jego zasłona na kamerę to gadżet z herbem Watykanu: https://twitter.com/jdormansteele/status/817075512925388802

  7. A nie prościej wyłączyć dostęp do kamerki i mikrofonu w ustawieniach BIOS-u zamiast zaklejać kamerkę? Wtedy – teoretycznie – żadna aplikacja nie powinna móc nas podsłuchać?

    • Dla chcącego, nic trudnego. BIOS da się zaprogramować z poziomu systemu. Najlepiej zrób sobie pstryczek do odpięcia zasilania. Ale prostsza jest zaślepka.

    • Czasem kamera jest potrzebna i nikt nie będzie uruchamiał ponownie komputera żeby zmienić ustawienia w biosie

  8. Dlatemu mimo zdziwienia moich klientów odmawiam rozmów na skype, fejsie i innych komunikatroach o interesach to raz… Dwa kamerę mam odinstalowana i wyłączona i dodatkowo zaklejoną :P przezorny zawsze zabezpieczony a szczególnie przed zdalnym silentinstall na Lenovo :P trzy i chyba to jest najważniejszy punk… czyli zdrowy rozsądek… prawda jest taką że z serwerów, telefonów, dysków, hubów, folderów, katalogów… nic by nie znikało jak by ktoś tam ciągle czegoś nie wkładał :) czy z punktu widzenia logiki coś wam to mówi ? :P

    Następna sprawa ale nie wiem ile w tym prawdy i jakie jest prawdopodobieństwo że ktoś się za to zabrał, a mianowicie zaaaaa….. : Przekształcenie laptopa/notebooka w urządzenie sensoryczne jako support do włamów video ..

  9. Nawet Cukiergóra ma zaślepke na kamere ;P

  10. Był taki niepoprawny politycznie telefon jak Ericsson k700 i miał niemożliwą do złamania kamerkę. Jednak pojawia się proste pytanie: czym mamy sobie zapchać mikrofon, albo gdzie jest ta dziurka, która zatkać by nie udostępniać audio?

  11. Kamerkę można sobie zakryć zawsze zwykłą kartką samoprzylepną. I jak tu nie lubić Papieża Franciszka :D

    • Niby można ale są urządzenia które działają na tym samym sterowniku np kamera dioda i mikrofon :) jak zalepisz oczko od kamery to ktoś będzie ślepy ale nie głuchy ;) a wiadomo że mowa jest srebrem a milczenie złotem :D

      Stąd moja wspominka na temat opracowywania sensora (coś na wzór akcji z telefonem w Mrocznym Rycerzu) :P Tylko nie mogę teraz nigdzie tego znaleźć więc może tylko cyfrowa plota była :)

  12. Ok ale co z mikrofonami wbudowanymi w laptopy i telefony? Obraz to jedno ale co zrobić z dźwiękiem? Zaślepka wtedy nie wystarcza. Nie ma więc żadnego rozwiązania na ten problem? Poza tym jak Google może twierdzić, że to nie jest poważny błąd skoro pozwala podłuchiwać użytkowników ich przeglądarki? Możliwość podsłuchiwanie kogoś nie jest ważnym problemem? Chyba że Google samo już tak robi od jakiegoś czasu…

    • Pójść do komputerowego dłubka, żeby poprzecinał przeowdziki?

    • Google twierdzi, że błąd nie jest poważny, bo wykorzystuje de facto słabość w cudzej stronie a nie samej przeglądarki. Tym samym to nie przeglądarka, ale czyjaś strona przez XSS umożliwia podsłuch. Chrome na to pozwala, bo pozwala korzystać (po wcześniejszej zgodzie użytkownika) z kamery stronie która ma XSSa. Tak wynika z artykułu.
      Dlatego nie jest to ważny problem dla Googla: ich część działa jak trzeba. Zabezpieczanie użytkowników przed nie ich (nie Googla) błędami nie jest priorytetem (chyba się wszyscy zgodzą, że nawet Google nie zabezpieczy całego cyber-świata).

      A mikrofony… Zastanawia mnie czy wyłączenie ich z poziomu OS wystarcza, czy trzeba by odłączać je sprzętowo (może wlutować pstryczek-wyłączniczek) by mieć względną pewność?

    • Jeżeli wyłączasz coś z poziomu systemu to możesz z tego samego poziomu to włączyć – może tak to ujmę ;) Nie wiem jak z innymi firmami i czy to nie jest przypadkiem usługa Windowsa ale Lenovo ma coś takiego jak silentinstall co umożliwia instalowanie aplikacji wewnętrznych Lenovo bez wiedzy użytkownika :)

      Mój przykład np: w ciągu jednego dnia odinstalowywałem sterownik kamery jak i aplikacje easyCam oraz sam sprzęt z 10 razy :) :D

  13. Zaklejanie kamerki to nie powód do żartów. Najlepszym przykładem są właśnie nagrania z sypialni. Jak ktoś sobie chce jaja robić z pytaniami o zaklejanie lodówki – to niech pomyśli, co by zrobił gdyby znalazł filmik ze swojej sypialni na YouTube. A komentarze pod nim? Strach to czasem czytać! I jak? Dalej to jest paranoja?

  14. Zaślepki? nic rewolucyjnego już od dawna, od ok 2-3 lat o ile się nie mylę są sprzedawane chodźby takie gumowe grube coś nakładane na ramkę chyba firmy feo oraz mniejsze okrągłe które mam od dawna HIDE A CAM, wymyślono to już dawno i od dawna się to sprzedaje. Te mniejsze mogę polecić tych dużych gumowych niestety nie testowałem. Są jeszcze plastikowe, ale to moim zdaniem nie warte uwagi.

  15. Kamerkę i mikrofon w BIOSie się wyłączy i spokój :P

    • A potem jak potrzebujesz na chwilę to będziesz grzebał dopiero w BIOSie? Sposób skuteczny, o ile nie używasz Skayp-a:))

  16. IMHO bez sensu to zaklejanie o ile masz diode przy kamerce. Wtedy widać kiedy działa. A jak ktoś przejmie system na tyle by wyłączyć tą diodę to znaczy że ma taka kontrolę, że to co widzi będzie najmniejszym zmartwieniem użytkownika.

    • Poza tym jak ktoś nosi komputer po całym domu, bo “tak mu wyskoczyło, żeby zrobić coś takiego na ekranie” to jest to szczyt głupoty i niech się potem nie dziwi, ze filmy z sypialni znajdują się na FB. Żadne zabezpieczenia nie pomogą – gdy ludzie nie myślą!

Odpowiadasz na komentarz Mhm

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: