Skip to main content

Cyber Spionaggio – L’exploit di Chrome che consente ai siti web di registrare segretamente audio e video dai vostri pc

Cosa potrebbe succedere se il tuo computer potesse ascoltare tutto ciò che viene detto durante le tue telefonate o addirittura se potesse registrare video del tuo ambiente a tua insaputa?

Suona davvero spaventoso! Non è vero? Ma questo scenario, oltre ad essere possibile, di fatto già avviene.

Un difetto del design UX nel browser Chrome di Google potrebbe consentire a siti Web dannosi di registrare audio o video senza dare alcuna indicazione visiva che l’utente venga ‘spiato’.

Lo sviluppatore di AOL, Ran Bar-Zik, ha segnalato la vulnerabilità a Google il 10 aprile 2017, ma il gigante tecnologico ha rifiutato di considerare questa vulnerabilità un problema di sicurezza valido, il che significa che non esiste ancora una patch ufficiale.

Come agiscono i browser su fotocamera e microfono

Prima di descrivere i dettagli della vulnerabilità, è utile chiarire alcuni aspetti. La comunicazione audio-video sul browser web è basata sul protocollo WebRTC (Web Real-Time Communications) – una raccolta di protocolli supportati dai più moderni browser Web, in grado di abilitare in tempo reale comunicazioni su connessioni peer-to-peer senza l’utilizzo di plugin.

Tuttavia, per proteggere lo streaming di audio e video non autorizzati, il browser web richiede all’utente innanzitutto di consentire esplicitamente ai siti Web l’utilizzo di WebRTC e di accedere alla fotocamera / microfono del dispositivo.
Una volta concesso, il sito web avrà accesso alla fotocamera e al microfono per sempre finché non vengano revocate manualmente le autorizzazioni di WebRTC.

Per evitare che i siti web “autorizzati” registrino segretamente il flusso audio o video, i browser web indicano ai propri utenti quando è in corso una registrazione.

“L’attivazione di questa API avvisa l’utente che il sito sta acquisendo audio o video dal dispositivo in uso”, ha scritto Bar-Zik. “Questa indicazione è la più importante linea di difesa”.

Nel caso di Google Chrome, sulla scheda viene visualizzata un’icona, il famoso punto rosso, il quale avverte l’utente della registrazione in corso.

In che modo i siti web spiano segretamente gli utenti

Il ricercatore ha scoperto che qualsiasi sito non autorizzato potrebbe, tramite codice JavaScript, far apparire una finestra pop-up priva di barra di intestazione (e quindi sprovvista dei classici pulsanti di ridimensionamento e chiusura),  in grado di  registrare audio e video segretamente.

Ciò accade perché Chrome non è stato progettato per visualizzare l’icona del punto rosso sulle finestre prive d’intestazione, consentendo così agli sviluppatori di siti di “sfruttare la piccola manipolazione UX per attivare l’API MediaRecorder senza avvisare gli utenti”.
Bar-Zik ha anche fornito un codice di prova (PoC) insieme a un sito web demo che chiede all’utente l’autorizzazione per utilizzare WebRTC, lancia un pop-up e registra 20 secondi di audio senza darne alcuna indicazione visiva.

Non è un difetto, dice Google; Quindi nessuna patch veloce!

Bar-Zik ha riferito il problema di sicurezza a Google il 10 aprile 2017, ma la società non lo considera come una vulnerabilità valida. Tuttavia, accetta di trovare modi per “migliorare la situazione” in futuro.

“Questa non è una vulnerabilità di sicurezza. Ad esempio, WebRTC su un dispositivo mobile non mostra alcuna indicazione nel browser”, un membro di Chrome ha risposto al rapporto del ricercatore. “Detto questo, stiamo guardando i modi per migliorare questa situazione”.

Che Google lo consideri o meno una vulnerabilità, il bug è sicuramente un problema di privacy che potrebbe essere sfruttato dagli hacker per lanciare potenzialmente attacchi più sofisticati.

Per essere sicuri, si consiglia di disattivare semplicemente WebRTC. Nel caso si necessiti di tale funzionalità, è utile consentire WebRTC solo ai siti web attendibili e fare attenzione ad eventuali pop-up.


    Iscriviti alla newsletter

    Rimani sempre aggiornato sulle ultime news.

    Ai sensi del Regolamento UE n. 2016/679 in materia di Protezione dei Dati Personali. Leggi l'informativa sulla Privacy policy.

    Sei sotto attacco?