UlisesII
Forer@ Senior
Sin verificar
Chrome puede escuchar lo que dices
----------------------------------
Un desarrollador ha anunciado una vulnerabilidad en el navegador Google
Chrome que podría permitir a un atacante remoto escuchar todas las
conversaciones que se produzcan en el entorno del ordenador.
Conversaciones, reuniones, llamadas, etc. podrían quedar al alcance de
cualquier atacante remoto.
El desarrollador web Tal Ater (@talater) descubrió el problema mientras
trabajaba con annyang (una conocida librería JavaScript de
reconocimiento de voz). Una página maliciosa puede activar el micrófono
del ordenador sin conocimiento del usuario y escuchar cualquier cosa que
se diga en su entorno, incluso después de haber cerrado el sitio.
Cuando un sitio web, necesita acceder al micrófono, Chrome requiere la
autorización del usuario. Un cuadro de diálogo aparece sobre el
navegador y tras aceptar la petición, se muestra un icono en esa pestaña
para mostrar que el micrófono se encuentra activo. Al cerrar la pestaña,
visitar otro sitio o incluso o incluso cerrar la ventana principal del
navegador (no el proceso)., se supone que el uso del micrófono queda
cortado, pero tal y como ha demostrado Tal Alter esto no es así. Un
sitio malicioso podría emplear una ventana pop-under para mantener el
micrófono activo incluso después de haber cerrado la ventana principal
del navegador.
Las ventanas pop-under, a diferencia de las pestañas normales no
muestran el estado del micrófono, y el atacante podrá seguir escuchando
todo el tiempo que la ventana pop-under permanezca abierta.
https://www.youtube.com/watch?v=s5D578JmHdU
El problema, según explica su descubridor, reside en el uso de los
permisos https del sitio. Chrome recuerda cuando se han aplicado
permisos de micrófono a un sitio https, por lo que no requiere una nueva
aprobación cada vez que se visite dicho sitio. Esto puede permitir a un
atacante abrir una ventana pop-under y continuar usando el micrófono sin
el permiso del usuario (y sin su conocimiento).
El desarrollador confirma que reportó el problema al equipo de seguridad
de Google el 13 de septiembre, el 19 sus ingenieros habían identificado
los problemas y sugerido correcciones. El 24 de septiembre, ya tenían
disponible un parche para solucionar el fallo y finalmente le reconocen
como nominado para el Panel de Recompensas.
Pero cuatro meses después la solución todavía no ha llegado a los
escritorios. Según Google, el problema está en que el grupo de
estándares no ha decidido cual debe ser el comportamiento correcto del
navegador ante este problema. Sin embargo, el W3C, la organización
encargada de mantener los estándares web, ya definió el comportamiento
adecuado para evitar este problema en su especificación de la "Web
Speech API", en octubre de 2012.
Por ello, el descubridor ha publicado sus descubrimientos incluyendo el
código del exploit que aprovecha este problema. Como recomendación de
seguridad, se puede consultar la configuración de permisos para cada
sitio web, desde Chrome accediendo a
chrome://settings/contentExceptions#media-stream. También se puede
bloquear completamente el acceso al micrófono desde
chrome://settings/content, en la sección "Multimedia" seleccionando "No
permitir que los sitios accedan a mi cámara ni a mi micrófono".
Opina sobre esta noticia:
https://unaaldia.hispasec.com/2014/01/chrome-puede-escuchar-lo-que-dices.html
----------------------------------
Un desarrollador ha anunciado una vulnerabilidad en el navegador Google
Chrome que podría permitir a un atacante remoto escuchar todas las
conversaciones que se produzcan en el entorno del ordenador.
Conversaciones, reuniones, llamadas, etc. podrían quedar al alcance de
cualquier atacante remoto.
El desarrollador web Tal Ater (@talater) descubrió el problema mientras
trabajaba con annyang (una conocida librería JavaScript de
reconocimiento de voz). Una página maliciosa puede activar el micrófono
del ordenador sin conocimiento del usuario y escuchar cualquier cosa que
se diga en su entorno, incluso después de haber cerrado el sitio.
Cuando un sitio web, necesita acceder al micrófono, Chrome requiere la
autorización del usuario. Un cuadro de diálogo aparece sobre el
navegador y tras aceptar la petición, se muestra un icono en esa pestaña
para mostrar que el micrófono se encuentra activo. Al cerrar la pestaña,
visitar otro sitio o incluso o incluso cerrar la ventana principal del
navegador (no el proceso)., se supone que el uso del micrófono queda
cortado, pero tal y como ha demostrado Tal Alter esto no es así. Un
sitio malicioso podría emplear una ventana pop-under para mantener el
micrófono activo incluso después de haber cerrado la ventana principal
del navegador.
Las ventanas pop-under, a diferencia de las pestañas normales no
muestran el estado del micrófono, y el atacante podrá seguir escuchando
todo el tiempo que la ventana pop-under permanezca abierta.
https://www.youtube.com/watch?v=s5D578JmHdU
El problema, según explica su descubridor, reside en el uso de los
permisos https del sitio. Chrome recuerda cuando se han aplicado
permisos de micrófono a un sitio https, por lo que no requiere una nueva
aprobación cada vez que se visite dicho sitio. Esto puede permitir a un
atacante abrir una ventana pop-under y continuar usando el micrófono sin
el permiso del usuario (y sin su conocimiento).
El desarrollador confirma que reportó el problema al equipo de seguridad
de Google el 13 de septiembre, el 19 sus ingenieros habían identificado
los problemas y sugerido correcciones. El 24 de septiembre, ya tenían
disponible un parche para solucionar el fallo y finalmente le reconocen
como nominado para el Panel de Recompensas.
Pero cuatro meses después la solución todavía no ha llegado a los
escritorios. Según Google, el problema está en que el grupo de
estándares no ha decidido cual debe ser el comportamiento correcto del
navegador ante este problema. Sin embargo, el W3C, la organización
encargada de mantener los estándares web, ya definió el comportamiento
adecuado para evitar este problema en su especificación de la "Web
Speech API", en octubre de 2012.
Por ello, el descubridor ha publicado sus descubrimientos incluyendo el
código del exploit que aprovecha este problema. Como recomendación de
seguridad, se puede consultar la configuración de permisos para cada
sitio web, desde Chrome accediendo a
chrome://settings/contentExceptions#media-stream. También se puede
bloquear completamente el acceso al micrófono desde
chrome://settings/content, en la sección "Multimedia" seleccionando "No
permitir que los sitios accedan a mi cámara ni a mi micrófono".
Opina sobre esta noticia:
https://unaaldia.hispasec.com/2014/01/chrome-puede-escuchar-lo-que-dices.html
