info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

گوگل کروم از شما بدون اجازه فیلم و صدا می‌گیرد!

خلاصه: گروهی از محققین امنیتی یک ضعف امنیتی روی گوگل کروم یافته‌اند که به وب‌سایت‌ها اجازه می‌دهد بدون اطلاع کاربر اقدام به ضبط صدا و تصویر کاربر کنند. این ضعف امنیتی به گوگل گزارش شده ولی به زعم این غول دنیای تکنولوژی این ضعف امنیتی اهمیت چندانی نداشته و اقدام به رفع سریع آن نکرده است. 

چه حسی خواهید داشت اگر بدانید لپ‌تاپ شما بدون اطلاع شما همه صداهای محیط اطراف را ضبط می‌کند و اقدام به ضبط فیلم از روی وب‌کم لپ‌تاپ شما می‌کند؟! قطعا حس ترسناکی خواهد بود؛ اما نه تنها این سناریو امکان‌پذیر است بلکه پیاده سازی آن هم ساده است!

یک ضعف امنیتی در مرورگر گوگل کروم وجود دارد که به سایت‌ها اجازه می‌دهد که بدون آگاه کردن کاربر اقدام به ضبط صدا و تصویر از میکروفون و وب‌کم دستگاه کنند و از این طریق اقدام به جاسوسی کنند.

برنامه‌نویس شرکت AOL این آسیب‌پذیری را در ۱۰ آوریل به گوگل گزارش داده اما گوگل این مساله را مهم ندانسته و اقدام به وصله سریع آن نخواهد کرد.

قبل از اینکه به بیان آسیب‌پذیری بپردازیم بهتر است که ابتدا به نحوه استفاده از صدا و تصویر در مرورگر‌‌ها بپردازیم. مرورگر‌ها بر مبنای یک مجموعه پروتکل برای ارتباط همزمان به نام WebRTC امکان ارتباط همزمان دوطرفه را بدون استفاده از پلاگین فراهم می‌کنند. با این‌ حال برای اینکه بدون اجازه کاربر این ارتباط برقرار نشود، مرورگر ابتدا از کاربر سوال می‌کند که این اجازه برای استفاده از WebRTC به وب‌سایت داده شود. ار به یک وب‌سایت این اجازه داده شود برای دفعات بعدی این سوال پرسیده نمی‌شود مگر اینکه کاربر این اجازه را به صورت دستی لغو کند.

برای اینکه وب‌سایت‌هایی هم که تاییدیه استفاده از این پروتکل را دارند امکان ضبط صدا و تصویر مخفیانه نداشته باشند در زمانی که صدا و تصویر ضبط می‌شود به کاربر اطلاع داده می‌شود. به عنوان مثال در مرورگر گوگل‌کروم کنار اسم سایت یک دایره قرمز رنگ به نمایش گذاشته می‌شود.

محققان دریافته‌اند که اگر یک سایت که تاییدیه استفاده از WebRTC را از کاربر دریافت کرده، یک پنجره بدون سرامد باز کند می‌تواند بدون اینکه نشان قرمز به نمایش درآید اقدام به ضبط صدا و تصویر کند. این مساله به این دلیل اتفاق می‌افتد که گوگل کروم امکان قرار دادن آیکون ضبط را کنار اسم سایت بدون سرامد ندارد.

همانطور که قبلا اشاره شد، این ضعف امنیتی به گوگل گزارش شده ولی گوگل این مساله را به عنوان آسیب‌پذیری جدی تلقی نکرده اما گفته که در آینده  این حالت را بهبود می‌دهد. اما مستقل از قبول کردن گوگل، این مساله می‌تواند یک خطر جدی برای کاربران باشد و به هکرها این امکان را دهد که حملات پیچیده‌تری علیه کاربران انجام دهند.

ساده‌ترین راه برای دفع این خطر غیرفعال کردن WebRTC در صورت استفاده نکردن از آن است. اگر از این قابلیت استفاده می‌کنید مطمین شوید که تنها به وب‌سایت‌های مورد اعتماد و درست این اجازه را داده‌اید.

مساله جاسوسی از وب‌کم و میکروفون دستگاه‌ها و تهیه عکس را افشاگر معروف، اسنودن، به آن پرداخته بود و ادعا کرده بود که سازمان ملی امنیت امریکا، NSA، هر ۵ دقیقه به صورت تصادفی از کاربران یاهو عکس می‌گیرد و بیان کرده بود تنها در طول ۶ ماه حدود ۱.۸ میلیون عکس جمع‌آوری شده بوده است. همچنین یکی از اعضای بازنشسته FBI توصیه نموده که برای جلوگیری از جاسوسی روی وب‌کم خود چسب بچسبانید! تصویر مارک زاکربرگ، مالک فیس‌بوک که روی وب‌کم لپ‌تاپ خود چسب چسبانده بود نیز نشان دهنده نگرانی افراد فعال در حوزه آی‌تی نسبت به جاسوسی از وب‌کم است.

مطالب مرتبط

تحت نظارت وف ایرانی