24/06/2013

Powiedz „Cheese” do swojego Chrome’a

Zagrożenia

Nowo wykryta luka w popularnej przeglądarce umożliwia robienie zdjęć nieświadomym użytkownikom.

30_say_cheese_to_chrome

W zeszłym tygodniu mieliśmy okazję zobaczyć kolejny dowód sporej inwencji hakerów – prosty trik umożliwiający niektórym osobom robienie zdjęć użytkownikom najpopularniejszej przeglądarki, jaką jest obecnie Google Chrome.

Jak pewnie wiecie, Adobe Flash może wykorzystywać mikrofon oraz kamerę internetową do interakcji z użytkownikiem, lecz najpierw musi uzyskać na to zgodę. Wygląda na to, że w Chromie możliwe jest ominięcie tych zabezpieczeń i potajemne zrobienie zdjęcia – wystarczy nałożyć obrazek na komunikat z prośbą o zgodę na użycie kamery. Jak widać na poniższym zrzucie ekranu, można w tym celu zastosować grafikę z przyciskiem „Odtwórz”.

Jedno kliknięcie myszą i Twoje zdjęcie jest gotowe do wysłania na serwer cyberprzestępców. Większość laptopów jest wyposażona w specjalną diodę zaświecającą się w momencie uruchamiania kamery internetowej, lecz nawet jeśli to zauważysz – i tak będzie już za późno. Najbardziej narażonymi platformami są Windows 7, 8, OS X oraz kilka wersji Linuksa.

Wprawdzie zdjęcia użytkowników nie są wartościowym łupem, ale mogą posłużyć cyberprzestępcom np. do zidentyfikowania tożsamości użytkownika sprzętu. Co więcej, można także potajemnie włączyć mikrofon, co ułatwi atakującym dyskretne nagrywanie rozmów ofiar.

Nie mamy jeszcze informacji na temat wykorzystania tego błędu przeglądarki Chrome, lecz prostota i efektywność tego ataku powinna skłonić nas do zastanowienia się nad swobodnym przepływem informacji prywatnych. Użytkownicy nie mogą przecież przewidzieć, kto, kiedy oraz w jakim zakresie gromadzi ich informacje, a także do czego użyje ich w późniejszym czasie. Większy problem jest z aplikacjami na smartfony.

Tutaj zwykłe przeglądanie internetu wiąże się z czymś więcej niż tylko z ryzykiem wycieku Twojej historii surfowania – strony trzecie mogą odczytać Twoją dokładną lokalizację przy pomocy kamery oraz mikrofonu. Dość trudno jest przeglądać strony internetowe z zachowaniem prawdziwej prywatności, lecz nieco łatwiej jest kontrolować dane związane ze swoim położeniem oraz kamerę. Ponieważ funkcje te są rzadko wykorzystywane, można je wyłączyć przy pomocy ustawień „Zaawansowane” przeglądarki Google Chrome. Jeśli napotkacie (zapewne raz w miesiącu lub nawet raz w roku) stronę wymagającą tych narzędzi, będziecie potrzebować zaledwie 10 sekund, aby tymczasowo włączyć lokalizację/kamerę i wyłączyć je