Elia Tufarolo

Chrome, un bug per spiarci tutti?

Uno sviluppatore ha dimostrato come sia possibile registrare audio e video senza che vi siano indicatori visibili sulla pagina. Tuttavia il team di Chromium, per il momento, sembra sottovalutare il problema

Roma - Uno sviluppatore israeliano che lavora presso AOL, Ran Bar-Zik, ha aperto un bug di sicurezza a Chromium, progetto open source gestito da sviluppatori Google, che condivide la quasi totalità del codice e delle caratteristiche con Google Chrome. Lo sviluppatore sostiene che sia possibile effettuare registrazioni audio e video attraverso il browser - usando la tecnologia Web Real Time Communication - senza che l'utente ne abbia la percezione.

In verità, all'utente viene comunque richiesta l'autorizzazione per l'utilizzo di webcam e microfono, tuttavia il codice javascript del front-end è in grado di nascondere gli elementi grafici indicanti il fatto che ci sia una registrazione in corso.

Bar-Zik ha allegato alla segnalazione un frammento di codice, disponibile sia come proof-of-concept che al download.

Dal codice è possibile evincere come sia possibile costruire un'istanza MediaRecorder all'interno di una nuova finestra, associando alla suddetta istanza il data stream relativo alla finestra - o tab - corrente, sulla quale sono stati ottenuti dall'utente i permessi necessari alla registrazione di contenuti audio e video.
Il risultato finale consiste in un popup in grado di spiare l'utente, senza che vi siano avvisi grafici di alcun tipo: questo in quanto un popup è privo della tab-bar su cui compare il pallino rosso indicante la registrazione, che normalmente appare nel tab su cui l'utente ha accordato i permessi.

icona registrazione chrome

Il team di Chromium ha prontamente replicato allo sviluppatore, minimizzando il problema e affermando che in realtà non si tratta di un problema di sicurezza, per il fatto che l'autorizzazione deve essere comunque fornita dall'utente, e che gli elementi grafici indicanti una registrazione in corso fanno parte esclusivamente della versione desktop del browser, non essendo presenti, ad esempio, in quella mobile. In ogni caso, il team di Chromium dichiara che ci sono "lavori in corso" per migliorare la situazione in essere; al difetto, catalogato come privacy, è stata assegnata priorità 2 nelle settimane successive.

Secondo una conversazione privata con Bar-Zik riportata da Bleeping Computer, lo sviluppatore non sarebbe d'accordo con il team di Chromium: sostiene infatti che una vulnerabilità di questo tipo potrebbe portare ad attacchi ben più subdoli, creando finestre popup di dimensioni molto piccole difficilmente individuabili dall'utente, con i quali sarebbe possibile scattare una foto all'utente in pochi millisecondi, oppure sorvegliarne le attività per diverso tempo. Inoltre, un eventuale attaccante potrebbe sfruttare i vari siti che richiedono questo tipo di permesso e condurre un attacco XSS - cross-site scripting - così da non dover richiedere egli stesso le autorizzazioni necessarie.

Nonostante la gravità del bug sia mitigata dalla necessità per l'attaccante di ottenere, più o meno lecitamente, le autorizzazioni, questa è la seconda vulnerabilità rilevata su Chrome in questi ultimi giorni: risale infatti a due settimane fa la notizia di un bug con il quale sarebbe possibile rubare credenziali Windows; Google ha sì vinto la guerra dei browser, tuttavia va ricordato che la guerra è stata persa da Microsoft proprio perché ha sottovalutato per anni problematiche relative alla sicurezza (e non solo).

Elia Tufarolo

fonte Immagine
Notizie collegate
57 Commenti alla Notizia Chrome, un bug per spiarci tutti?
Ordina
  • Tanto Chrome arriva da Google, quindi spiati per spiati...
    E poi niente mi toglie dalla testa che alla fine tutti i leak finiscano nelle mani di Big Data, come lo zucchino incazzato ha ammesso, pur dandone una spiegazione politically correct.
    non+autenticato
  • - Scritto da: condom inio
    > Tanto Chrome arriva da Google, quindi spiati per
    > spiati...
    > E poi niente mi toglie dalla testa che alla fine
    > tutti i leak finiscano nelle mani di Big Data,
    > come lo zucchino incazzato ha ammesso, pur
    > dandone una spiegazione politically
    > correct.
    E sto cappero non lo vorresti_
    non+autenticato
  • - Scritto da: condom inio
    > Tanto Chrome arriva da Google, quindi spiati per
    > spiati...
    > E poi niente mi toglie dalla testa che alla fine
    > tutti i leak finiscano nelle mani di Big Data,
    > come lo zucchino incazzato ha ammesso, pur
    > dandone una spiegazione politically
    > correct.

    E quindi come la mettiamo con Android?
    O li invece va tutto bene grazie ai permessi granulari [cit.]
    maxsix
    9946
  • - Scritto da: maxsix
    > - Scritto da: condom inio
    > > Tanto Chrome arriva da Google, quindi spiati
    > per
    > > spiati...
    > > E poi niente mi toglie dalla testa che alla
    > fine
    > > tutti i leak finiscano nelle mani di Big
    > Data,
    > > come lo zucchino incazzato ha ammesso, pur
    > > dandone una spiegazione politically
    > > correct.
    >
    > E quindi come la mettiamo con Android?
    con android, nessun problema. La rogna risiede nei googldroid.
    Negli iCitofoni ovviamente il problema (della scelta) non si pone nemmeno.
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: maxsix
    > > - Scritto da: condom inio
    > > > Tanto Chrome arriva da Google, quindi
    > spiati
    > > per
    > > > spiati...
    > > > E poi niente mi toglie dalla testa che alla
    > > fine
    > > > tutti i leak finiscano nelle mani di Big
    > > Data,
    > > > come lo zucchino incazzato ha ammesso, pur
    > > > dandone una spiegazione politically
    > > > correct.
    > >
    > > E quindi come la mettiamo con Android?
    > con android, nessun problema. La rogna risiede
    > nei
    > googldroid.

    Dimmi, le rom su che kernel sono basate?
    maxsix
    9946
  • Ma vaffanculo.
    non+autenticato
  • Dimmi, cosa scegli sull'iPhone a parte se pagarlo a rate, con abbonamento o in contanti?
    non+autenticato
  • ...nel didietro te lo spingo... (verità di storia recente)

    Caro maxsix, siamo spiati costantemente da tutti quelli che vogliono e possono farlo.
    Nessun bisogno di gomblotti: l'occasione fa l'uomo ladro...
    Semplice e applicabile a qualunque cosa, senza timore di sbagliare.
    non+autenticato
  • - Scritto da: milingo
    > ...nel didietro te lo spingo... (verità di storia
    > recente)
    >
    > Caro maxsix, siamo spiati costantemente da tutti
    > quelli che vogliono e possono
    > farlo.
    > Nessun bisogno di gomblotti: l'occasione fa
    > l'uomo
    > ladro...
    > Semplice e applicabile a qualunque cosa, senza
    > timore di
    > sbagliare.

    Se vuoi essere contrariato chiedi a Sg@bbio, lui sa cosè un Gomblottaro.

    Resta il fatto però che lui e imbecille.
    non+autenticato
  • - Scritto da: Il Fuddaro Quello vero

    > Resta il fatto però che lui e imbecille.

    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: Risposta al commento
    > - Scritto da: Il Fuddaro Quello vero
    >
    > > Resta il fatto però che lui e imbecille.
    >
    > [img]http://pad.mymovies.it/filmclub/2006/09/003/l

    E parla tu dai testa di minchio.Sorride dai non fare il timido..
    non+autenticato
  • Chrome è una merda, come i pezzenti che lo usano e arricchiscono google
    non+autenticato
  • - Scritto da: Nameless
    > Chrome è una merda, come i pezzenti che lo usano
    > e arricchiscono
    > google

    questo e piu che giusto.
    non+autenticato
  • Tutti i complottari qua sopra hanno letto per bene di cosa si tratta vero?
  • - Scritto da: Garson Pollo
    > Tutti i complottari qua sopra hanno letto per
    > bene di cosa si tratta
    > vero?

    troppo occupati a darsi addosso, invece di lavorare
    non+autenticato
  • titolo di un articolo con punto di domanda, risposta = "NO".

    https://en.wikipedia.org/wiki/Betteridge%27s_law_o...
    non+autenticato
  • - Scritto da: Garson Pollo
    > Tutti i complottari qua sopra hanno letto per
    > bene di cosa si tratta
    > vero?

    E tu che sei un pollo fritto leggi bene bene per tuttii noi, ti va.
    non+autenticato
  • E se invece ti mandassi a fare in culo?
    In allegria eh.
  • Ma rispondi ai troll?
    non+autenticato
  • A volte.
    Trovo che sia utile per sfogare gli istinti primordialiA bocca aperta
  • Possibile che ogni cinque anni circa, spunta fuori che su Chrome possono spiarti e nessuno fa nulla a riguardo? Una cosa analoga successe anni fa con l'audio, ora audio e video. A questo punto l'unica soluzione possibile, è quella di scendere tutti in piazza ed urlare: onstàh! Onestàh! Onestàh! Perché qui c'è lo zampino del PD.
    non+autenticato
  • fai come zuckerberg, dalle foto si vede che appiccica dello scotch nero sulla camera, semplicemente la tappi
    non+autenticato
  • - Scritto da: capitan farlock
    > fai come zuckerberg, dalle foto si vede che
    > appiccica dello scotch nero sulla camera,
    > semplicemente la
    > tappi
    e per il microfono?
    non+autenticato
  • - Scritto da: Movimeto cinque Insinna
    > Possibile che ogni cinque anni circa, spunta
    > fuori che su Chrome possono spiarti e nessuno fa
    > nulla a riguardo?
    aiutati che dio t'aiuta (dio download, s'intende)
    : pija firefox e disabilita webrtc

    (se la tua religione te lo vieta..... in chrome potresti usare webrtc-network-limiter o probabilmente anhce uBlock )
    non+autenticato
  • Per decenni ci siam sempre preoccupati solo di vulnerabilità volte ad ottenere un qualche tipo di accesso ad un sistema e ai dati da esso gestiti, vulnerabilità diciamo "da intercettazione ambientale" sono una relativa novità quindi non mi stupisce non siano ancora granché valutate nel design di un software. Sinceramente non mi spaventa troppo questa vulnerabilità, sappiamo da tempo che un microfono è un problema "generico" come una webcam e persino, in misura minore, una cassa (che si può "usare" da microfono).

    Forse il team di Chromium se n'è preoccupato poco, forse ha cose più gravi da gestire prima, ma 'somma per questa volta non urlerei allo scandalo Sorride
    non+autenticato
  • - Scritto da: xte
    > Per decenni ci siam sempre preoccupati solo di
    > vulnerabilità volte ad ottenere un qualche tipo
    > di accesso ad un sistema e ai dati da esso
    > gestiti, vulnerabilità diciamo "da
    > intercettazione ambientale" sono una relativa
    > novità quindi non mi stupisce non siano ancora
    > granché valutate nel design di un software.
    > Sinceramente non mi spaventa troppo questa
    > vulnerabilità, sappiamo da tempo che un microfono
    > è un problema "generico" come una webcam e
    > persino, in misura minore, una cassa (che si può
    > "usare" da
    > microfono).
    >
    > Forse il team di Chromium se n'è preoccupato
    > poco, forse ha cose più gravi da gestire prima,
    > ma 'somma per questa volta non urlerei allo
    > scandalo
    > Sorride

    Tutte cose che si possono tranquillamente disabilitare lato client.
    Non vedo il problema.

    Sfido chiunque ad accedere al mio sistema cercando di prelevare informazioni con la telecamera o col microfono: non ci sono!
  • - Scritto da: panda rossa
    > - Scritto da: xte
    > > Per decenni ci siam sempre preoccupati solo
    > di
    > > vulnerabilità volte ad ottenere un qualche
    > tipo
    > > di accesso ad un sistema e ai dati da esso
    > > gestiti, vulnerabilità diciamo "da
    > > intercettazione ambientale" sono una relativa
    > > novità quindi non mi stupisce non siano
    > ancora
    > > granché valutate nel design di un software.
    > > Sinceramente non mi spaventa troppo questa
    > > vulnerabilità, sappiamo da tempo che un
    > microfono
    > > è un problema "generico" come una webcam e
    > > persino, in misura minore, una cassa (che si
    > può
    > > "usare" da
    > > microfono).
    > >
    > > Forse il team di Chromium se n'è preoccupato
    > > poco, forse ha cose più gravi da gestire
    > prima,
    > > ma 'somma per questa volta non urlerei allo
    > > scandalo
    > > Sorride
    >
    > Tutte cose che si possono tranquillamente
    > disabilitare lato
    > client.
    > Non vedo il problema.
    >
    > Sfido chiunque ad accedere al mio sistema
    > cercando di prelevare informazioni con la
    > telecamera o col microfono: non ci
    > sono!

    Togli la scheda di rete e via il problema alla radice!
    non+autenticato
  • - Scritto da: Il Fuddaro
    > - Scritto da: panda rossa
    > > - Scritto da: xte
    > > > Per decenni ci siam sempre preoccupati
    > solo
    > > di
    > > > vulnerabilità volte ad ottenere un
    > qualche
    > > tipo
    > > > di accesso ad un sistema e ai dati da
    > esso
    > > > gestiti, vulnerabilità diciamo "da
    > > > intercettazione ambientale" sono una
    > relativa
    > > > novità quindi non mi stupisce non siano
    > > ancora
    > > > granché valutate nel design di un
    > software.
    > > > Sinceramente non mi spaventa troppo
    > questa
    > > > vulnerabilità, sappiamo da tempo che un
    > > microfono
    > > > è un problema "generico" come una
    > webcam
    > e
    > > > persino, in misura minore, una cassa
    > (che
    > si
    > > può
    > > > "usare" da
    > > > microfono).
    > > >
    > > > Forse il team di Chromium se n'è
    > preoccupato
    > > > poco, forse ha cose più gravi da gestire
    > > prima,
    > > > ma 'somma per questa volta non urlerei
    > allo
    > > > scandalo
    > > > Sorride
    > >
    > > Tutte cose che si possono tranquillamente
    > > disabilitare lato
    > > client.
    > > Non vedo il problema.
    > >
    > > Sfido chiunque ad accedere al mio sistema
    > > cercando di prelevare informazioni con la
    > > telecamera o col microfono: non ci
    > > sono!
    >
    > Togli la scheda di rete e via il problema alla
    > radice!

    Naturalmente.
    Le macchine che non richiedono la rete non hanno la scheda di rete.

    Solo i fessi pagano per dell'hardware che non utilizzano.
  • - Scritto da: panda rossa
    > Solo i fessi pagano per dell'hardware che non
    > utilizzano.
    Quindi non facevi prima a dire: io, panda rossa, sono fesso, ho un cervello ma non lo uso
    non+autenticato
  • - Scritto da: Il Fuddaro
    > - Scritto da: panda rossa
    > > Solo i fessi pagano per dell'hardware che non
    > > utilizzano.
    > Quindi non facevi prima a dire: io, panda rossa,
    > sono fesso, ho un cervello ma non lo
    > uso

    Non devi mica pensare che siccome tu non usi il cervello, gli altri siano tutti come te.
  • - Scritto da: panda rossa
    > - Scritto da: Il Fuddaro
    > > - Scritto da: panda rossa
    > > > Solo i fessi pagano per dell'hardware
    > che
    > non
    > > > utilizzano.
    > > Quindi non facevi prima a dire: io, panda
    > rossa,
    > > sono fesso, ho un cervello ma non lo
    > > uso
    >
    > Non devi mica pensare che siccome tu non usi il
    > cervello, gli altri siano tutti come
    > te.

    Si ma dovresti dire tutti senza cervello come te, tre ... puntini tre.
    non+autenticato
  • - Scritto da: alcuno che sa
    > - Scritto da: panda rossa
    > > - Scritto da: Il Fuddaro
    > > > - Scritto da: panda rossa
    > > > > Solo i fessi pagano per dell'hardware
    > > che
    > > non
    > > > > utilizzano.
    > > > Quindi non facevi prima a dire: io, panda
    > > rossa,
    > > > sono fesso, ho un cervello ma non lo
    > > > uso
    > >
    > > Non devi mica pensare che siccome tu non usi il
    > > cervello, gli altri siano tutti come
    > > te.
    >
    > Si ma dovresti dire tutti senza cervello come te,
    > tre ... puntini
    > tre.

    verissimo si capisce benissimo che e ... che posta col nick del fuddaro.
    non+autenticato
  • - Scritto da: mommobye
    > - Scritto da: alcuno che sa
    > > - Scritto da: panda rossa
    > > > - Scritto da: Il Fuddaro
    > > > > - Scritto da: panda rossa
    > > > > > Solo i fessi pagano per
    > dell'hardware
    > > > che
    > > > non
    > > > > > utilizzano.
    > > > > Quindi non facevi prima a dire: io, panda
    > > > rossa,
    > > > > sono fesso, ho un cervello ma non lo
    > > > > uso
    > > >
    > > > Non devi mica pensare che siccome tu non usi
    > il
    > > > cervello, gli altri siano tutti come
    > > > te.
    > >
    > > Si ma dovresti dire tutti senza cervello come
    > te,
    > > tre ... puntini
    > > tre.
    >
    > verissimo si capisce benissimo che e ... che
    > posta col nick del
    > fuddaro.

    Quei due fanno a gara a chi è più coglione
    non+autenticato
  • - Scritto da: esatta mente
    > - Scritto da: mommobye
    > > - Scritto da: alcuno che sa
    > > > - Scritto da: panda rossa
    > > > > - Scritto da: Il Fuddaro
    > > > > > - Scritto da: panda rossa
    > > > > > > Solo i fessi pagano per
    > > dell'hardware
    > > > > che
    > > > > non
    > > > > > > utilizzano.
    > > > > > Quindi non facevi prima a
    > dire: io,
    > panda
    > > > > rossa,
    > > > > > sono fesso, ho un cervello ma
    > non
    > lo
    > > > > > uso
    > > > >
    > > > > Non devi mica pensare che siccome
    > tu non
    > usi
    > > il
    > > > > cervello, gli altri siano tutti
    > come
    > > > > te.
    > > >
    > > > Si ma dovresti dire tutti senza
    > cervello
    > come
    > > te,
    > > > tre ... puntini
    > > > tre.
    > >
    > > verissimo si capisce benissimo che e ... che
    > > posta col nick del
    > > fuddaro.
    >
    > Quei due fanno a gara a chi è più coglione

    Forse per il fatto che ti hanno beccato caro tre puntini?
    L'unico imbecille da farlo lo credo pure io saresti soltanto tu, visto che posti pure robe porno demenziali e porno gay, oltre alla merdaccia varia.
    non+autenticato
  • - Scritto da: panda rossa
    ..
    > Non vedo il problema.
    >
    > Sfido chiunque ad accedere al mio sistema
    > cercando di prelevare informazioni con la
    > telecamera o col microfono: non ci
    > sono!
    il problema è quando Chrome è su uno smartphone, non puoi disabilitare il microfono
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)