Chrome, un bug permette di registrare voce e video senza notifiche
Lo sviluppatore israeliano di AOL Ran Bar-Zik ha scoperto un bug presente su Google Chrome ma per Mountain View non si tratta di un grosso problema
Ran Bar-Zik, uno sviluppatore web di AOL, ha scoperto e segnalato un nuovo bug in Google Chrome che consente ai siti web di registrare audio e video senza mostrare alcuna notifica all’utente. Per fortuna per prendere possesso di questi contenuti il sito deve informare l’utente, ma non mancano i rischi.
Solitamente quando è in corso una registrazione di contenuti audio e video, Chrome mostra all’utente un’icona a forma di cerchio rosso, molto simile a quella “recording” che si trova su smartphone e tablet. Con il nuovo bug però sulla pagina non viene indicato nessun simbolo che avverte della registrazione in corso. Vista la difficoltà di capire se la registrazione è in atto o meno anche il bug è stato scoperto per caso. Bar-Zik dice di essersi accorto di questo problema mentre lavorava su un sito web che ha come codice WebRTC. WebRTC, per chi non lo conoscesse, è un protocollo per lo streaming di contenuti audio e video su Internet in tempo reale.
Caratteristiche del bug
Quando un sito web riceve questa autorizzazione è possibile eseguire un codice JavaScript che registra il contenuto audio o video. Questo processo di registrazione viene effettuato tramite l’API MediaRecorder, che è sempre basata su JavaScript. L’esperto di sicurezza informatica e sviluppatore israeliano ha informato che ha già presentato un report dettagliato sul bug a Google. Nel documento Bar-Zik ha anche inserito una prova, svolta da lui, per dimostrare agli esperti di Mountain View come funziona e come agisce il bug.
La risposta di Google
Google ha risposto in maniera piccata allo sviluppatore di AOL, specificando che: “Questa mostrata da Bar-Zik non è davvero una vulnerabilità di sicurezza, anzi. Per esempio, WebRTC su un dispositivo mobile non mostra alcun indicatore sulle pagine del browser. L’indicatore è un’icona presente solo nella versione desktop, comunque ci impegneremo per risolvere la situazione”. Bar-Zik però non è d’accordo con la valutazione di Google. Ad esempio, il ricercatore sostiene che molte persone tendono ad accettare le richieste e le autorizzazioni in Rete senza dare peso a quello che c’è scritto. In questo modo se un sito registrasse dei contenuti e poi chiedesse il permesso sotto forma di annuncio cookie o simile per gli hacker sarebbe facilissimo colpire diversi utenti a causa di questo bug. Insomma gli utenti che vogliono stare al sicuro contro questi tipi di attacchi dovrebbero prestare particolare attenzione ai permessi che concedono ai siti web.
