Un desarrollador ha anunciado una vulnerabilidad en
el navegador Google Chrome que podría permitir a un atacante remoto escuchar todas
las conversaciones que se produzcan en el entorno del ordenador. Conversaciones, reuniones, llamadas, etc. podrían
quedar al alcance de cualquier atacante remoto.
El desarrollador web Tal Ater (@talater) descubrió el problema mientras trabajaba
con annyang (una conocida librería
JavaScript de reconocimiento de voz). Una
página maliciosa puede activar el micrófono del ordenador sin conocimiento del
usuario y escuchar cualquier cosa que se diga en su entorno, incluso después
de haber cerrado el sitio.
Cuando un sitio web, necesita acceder
al micrófono, Chrome requiere la autorización del usuario. Un cuadro de diálogo
aparece sobre el navegador y tras aceptar la petición, se muestra un icono en esa
pestaña para mostrar que el micrófono se encuentra activo. Al cerrar la pestaña,
visitar otro sitio o incluso cerrar la ventana principal del navegador
(no el proceso), se supone que el uso del micrófono
queda cortado, pero tal y como ha demostrado Tal Alter esto no es así. Un sitio malicioso podría emplear una
ventana pop-under para mantener el micrófono activo incluso después de haber
cerrado la ventana principal del navegador.
Las ventanas pop-under, a
diferencia de las pestañas normales no muestran el estado del micrófono, y el
atacante podrá seguir escuchando todo el tiempo que la ventana pop-under
permanezca abierta.
El problema, según explica su
descubridor, reside en el uso de los permisos https del sitio. Chrome recuerda
cuando se han aplicado permisos de micrófono a un sitio https, por lo que no
requiere una nueva aprobación cada vez que se visite dicho sitio. Esto puede
permitir a un atacante abrir una ventana pop-under y continuar usando el micrófono
sin el permiso del usuario (y sin su conocimiento).
El desarrollador confirma que
reportó el problema al equipo de seguridad de Google el 13 de septiembre, el 19
sus ingenieros habían identificado los problemas y sugerido correcciones. El 24
de septiembre, ya tenían disponible un parche para solucionar el fallo y finalmente le
reconocen como nominado para el Panel de Recompensas.
Pero cuatro meses después la
solución todavía no ha llegado a los escritorios. Según Google, el problema está
en que el grupo de estándares no ha decidido cual debe ser el comportamiento
correcto del navegador ante este problema. Sin embargo, el W3C, la organización
encargada de mantener los estándares web, ya definió el comportamiento adecuado
para evitar este problema en su especificación de la "Web Speech API",
en octubre de 2012.
Por ello, el descubridor ha publicado
sus descubrimientos incluyendo el código del exploit
que aprovecha este problema. Como recomendación de seguridad, se puede
consultar la configuración de permisos para cada sitio web, desde Chrome
accediendo a chrome://settings/contentExceptions#media-stream.
También se puede bloquear completamente el acceso al micrófono desde chrome://settings/content,
en la sección "Multimedia" seleccionando
"No permitir que los sitios accedan
a mi cámara ni a mi micrófono".
Más información:
Chrome Bugs Allow Sites to Listen to Your
Private Conversations
Código fuente del exploit
Antonio Ropero
Twitter: @aropero