Noticias y Alertas
Header

Chrome puede escuchar lo que dices

enero 29th, 2014 | Posted by kwelladm in Noticias

Un desarrollador ha anunciado una vulnerabilidad en el navegador Google Chrome  que podría permitir a un atacante remoto escuchar todas las conversaciones que se  produzcan en el entorno del ordenador. Conversaciones, reuniones, llamadas,  etc. podrían quedar al alcance de cualquier atacante remoto.

El  desarrollador web Tal Ater (@talater) descubrió el problema mientras trabajaba con annyang (una conocida librería JavaScript de reconocimiento  de voz). Una página maliciosa puede activar el micrófono del ordenador  sin conocimiento del usuario (video) y escuchar cualquier cosa que se diga  en su entorno, incluso después de haber cerrado el sitio.
Cuando un  sitio web, necesita acceder al micrófono, Chrome requiere la autorización del  usuario. Un cuadro de diálogo aparece sobre el navegador y tras aceptar la  petición, se muestra un icono en esa pestaña para mostrar que el micrófono se  encuentra activo. Al cerrar la pestaña, visitar otro sitio o incluso cerrar la  ventana principal del navegador (no el proceso), se supone que el uso del  micrófono queda cortado, pero tal y como ha demostrado Tal Alter esto no es así.  Un sitio malicioso podría emplear una ventana pop-under para mantener el  micrófono activo incluso después de haber cerrado la ventana principal del  navegador.

Las ventanas pop-under, a diferencia de las pestañas normales  no muestran el estado del micrófono, y el atacante podrá seguir escuchando todo  el tiempo que la ventana pop-under permanezca abierta.

El problema, según  explica su descubridor, reside en el uso de los permisos https del sitio. Chrome  recuerda cuando se han aplicado permisos de micrófono a un sitio https, por lo  que no requiere una nueva aprobación cada vez que se visite dicho sitio. Esto  puede permitir a un atacante abrir una ventana pop-under y continuar usando el  micrófono sin el permiso del usuario (y sin su conocimiento).

El  desarrollador confirma que reportó el problema al equipo de seguridad de Google  el 13 de septiembre, el 19 sus ingenieros habían identificado los problemas y  sugerido correcciones. El 24 de septiembre, ya tenían disponible un parche para  solucionar el fallo y finalmente le reconocen como nominado para el Panel de  Recompensas.

Pero cuatro meses después la solución todavía no ha llegado  a los escritorios. Según Google, el problema está en que el grupo de estándares  no ha decidido cual debe ser el comportamiento correcto del navegador ante este  problema. Sin embargo, el W3C, la organización encargada de mantener los  estándares web, ya definió el comportamiento adecuado para evitar este problema  en su especificación de la “Web Speech API”, en octubre de 2012.

Por ello, el descubridor ha publicado sus descubrimientos incluyendo el código del exploitque aprovecha este  problema. Como recomendación de seguridad, se puede consultar la configuración  de permisos para cada sitio web, desde Chrome accediendo a chrome://settings/contentExceptions#media-stream. También se puede bloquear completamente el acceso al micrófono desde chrome://settings/content, en la sección  “Multimedia” seleccionando “No permitir que los sitios accedan a mi  cámara ni a mi micrófono“.

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario