Clicky

Falla de Chrome permite a los sitios grabar en secreto audio/vídeo sin indicación

Chrome espía

¿Cómo pueden estar espiándote secretamente los sitios web?

¿Qué pasaría si tu computadora portátil está escuchando todo lo que se dice durante tus llamadas telefónicas u a otras personas cerca de tu computadora portátil e incluso grabase vídeo del entorno sin tu conocimiento?

¡Suena realmente aterrador! ¿No es así? Pero este escenario no sólo es posible sino que es un infierno fácil de lograr.

Una falla de diseño de UX en el navegador Chrome de Google podría permitir que sitios web maliciosos grabaran audio o vídeo sin alertar al usuario ni dar ninguna indicación visual de que el usuario esté siendo espiado.

El desarrollador de AOL, Ran Bar-Zik, informó de la vulnerabilidad a Google el 10 de abril de 2017, pero el gigante de la tecnología se negó a considerar esta vulnerabilidad como un problema de seguridad válido, lo que significa que no hay un parche oficial.

Cómo funcionan los navegadores con cámara y micrófono

aviso de grabación en el navegador

Antes de saltar a detalles de vulnerabilidad, primero debes saber que la comunicación de audio y vídeo basada en el navegador web se basa en el protocolo WebRTC (Web Real-Time Communications) - una colección de protocolos de comunicaciones que está siendo soportada por la mayoría de los navegadores web modernos para permitir la comunicación en tiempo real sobre las conexiones peer-to-peer sin el uso de plugins.

Sin embargo, para proteger la transmisión no autorizada de audio y vídeo sin el permiso del usuario, el navegador web solicita primero a los usuarios que explícitamente permitan a los sitios web utilizar WebRTC y acceder al dispositivo cámara/micrófono.

Una vez concedido, el sitio web tendrá acceso a la cámara y micrófono siempre hasta que se revoquen manualmente los permisos de WebRTC.

Para evitar que los sitios web 'autorizados' graben secretamente el flujo de audio o vídeo, los navegadores web indican a sus usuarios cuando se graba cualquier audio o vídeo.

"La activación de esta API alertará al usuario de que está siendo capturado el audio o vídeo de uno de los dispositivos", escribió Bar-Zik en un blog de Medium. "Esta indicación de grabación es la última y más importante línea de defensa".

En el caso de Google Chrome, aparece en la pestaña un icono de punto rojo, alertando a los usuarios de que está en directo la transmisión de audio o vídeo.

¿Cómo pueden estar espiándote secretamente los sitios web?

ventana headless

El investigador descubrió que si cualquier sitio tiene autorizados pop-ups en una ventana utilizando un código JavaScript, puede iniciar la grabación de audio y vídeo en secreto, sin el icono de punto rojo, no dando ninguna indicación en el navegador que está sucediendo el streaming.

"Abra una ventana headless y active el MediaRecorder desde esa ventana, pero en Chrome no habrá indicación de registro visual", dijo Bar-Zik. Esto ocurre porque Chrome no ha sido diseñado para mostrar una indicación de punto rojo en las ventanas headless, lo que permite a los desarrolladores de sitios "explotar una pequeña manipulación UX para activar la API MediaRecorder sin alertar a los usuarios".

Bar-Zik también proporcionó un código de prueba de concepto (PoC) para cualquier persona que descargue, junto con un sitio web de demostración que pide al usuario permiso para usar WebRTC, lanza un pop-up y luego graba 20 segundos de audio sin dar cualquier indicación visual.

Todo lo que necesitas es hacer clic en dos botones para permitir que el sitio web utilice WebRTC en el navegador. La demo registra el audio durante 20 segundos y luego proporciona un enlace de descarga para el archivo grabado.

"Un ataque real no será muy obvio, por supuesto. Puede utilizar muy pequeño pop-under y enviar los datos a cualquier lugar y cerrarlo cuando el usuario se centra en él. Puede usar la cámara por milisegundos para obtener su imagen", dijo Bar-Zik. "En Mobile, no hay tal indicación visual".

La falla notificada afecta a Google Chrome, pero también puede afectar a otros navegadores web.

No es un defecto, dice Google. ¡Así que no hace falta parche!

Bar-Zik informó a Google el 10 de abril de 2017 sobre el problema de seguridad, pero la compañía no considera esto como una vulnerabilidad de seguridad válida. Sin embargo, está de acuerdo en encontrar maneras de "mejorar la situación" en el futuro.

"Esto no es realmente una vulnerabilidad de seguridad - por ejemplo, WebRTC en un dispositivo móvil no muestra en el navegador ningún indicador en absoluto", respondió al informe del investigador un miembro de Chromium. "La cuestión es el mejor esfuerzo primero que sólo funciona en el escritorio cuando tenemos espacio disponible de Chrome UI. Dicho esto, estamos buscando maneras de mejorar esta situación".

Google considera esto una vulnerabilidad de seguridad o no, pero el error es seguramente un problema de privacidad, que podría ser explotado por los hackers para lanzar potencialmente ataques más sofisticados.

Con el fin de permanecer en el lado más seguro, simplemente desactiva WebRTC que se puede hacer fácilmente si no lo necesitas. Pero si necesitas la función, permite que sólo los sitios web de confianza utilicen WebRTC y busca cualquier otra ventana que pueda generar después de eso.

Las fugas de Edward Snowden también revelaron el Nervio Óptico - el proyecto de la NSA para capturar imágenes de la cámara web cada 5 minutos de usuarios aleatorios de Yahoo. En sólo seis meses, fueron capturadas 1,8 millones de imágenes de usuarios y almacenadas en los servidores del gobierno en 2008.

A raíz de estas preocupaciones de privacidad, incluso el CEO de Facebook, Mark Zuckerberg, y el ex director del FBI, James Comey, admitieron que pusieron cinta adhesiva en las cámaras de sus computadoras portátiles sólo para estar en el lado más seguro.

Aunque poner una cinta sobre la cámara web no detendría a los piratas informáticos ni a las agencias de espionaje del gobierno grabar la voz, al menos les impediría ver o capturar las transmisiones visuales en vivo.

Jesus_Caceres