באג בכרום מאפשר לצלם אתכם ללא ידיעתכם

באג חדש-ישן בדפדפן כרום מאפשר להאקרים לעשות שימוש במצלמת האינטרנט המחוברת למחשב, ללא ידיעת המשתמש

camerashutterstock600200

לפני שלושה חודשים (בתחילת חודש מרץ) התקיים כנס CanSecWest 2013 השנתי, במהלכו הציעה גוגל פרסים להאקרים שיגלו באגים בכרום. למשתתפים בכנס הוצעו פרסים בשווי של עד מיליון דולרים, אך נראה שבאג אחד, שקיים כבר למעלה משנתיים אף אחד לא טרח לתקן: האקרים מסוגלים לצלם תמונות ממצלמת האינטרנט של המשתמשים, ישירות דרך הדפדפן וללא הסכמה מצידם.

חייכו, אל תחייכו, למי אכפת? אנחנו מצלמים

איגור חומקוב, מומחה האבטחה אשר הציף (שוב) את קיומו של הבאג מדגים למשתמשים באמצעות תחבולות HTML ו-CSS כיצד  להבהיר את השכבה בפלאש בה מוצגת תיבת הדו-שיח השואלת את המשתמש אם ברצונו לאשר או לדחות את הבקשה של אתר האינטרנט להשתמש במצלמה, כך שעל כפתור ה-Allow מוצג כפתור בצורה של Play. לאחר שהמשתמש לוחץ על Play, ההאקר יכול להשתמש במצלמה של המשתמש כאוות נפשו.

הטכניקה הזו, המכונה Clickjacking תוקנה לכאורה על ידי חברת אדובי “ללא עדכון מוצר או פעולה אחרת הנדרשת על ידי המשתמש”, אך בדפדפן הכרום בגירסא 27.0.1453.110, האחרונה בגירסאת Stable שזמינה להורדה לכלל המשתמשים, הבאג קיים ועובד ללא לאות. לצורך ההמחשה, הדוגמא הטובה ביותר בה ניתן לחשוב על שימוש בבאג הזה, הוא כמובן אתר פורנו המציג סדרה מתחלפת של תמונות אירוטיות או סרטון וידאו המתנגן לכאורה, ומזמין את המשתמש ללחוץ על כפתור ה-Play, כאשר לאחר הלחיצה הרשות להשתמש במצלמה ניתנת והמשתמש עלול להיתפס בפוזות מביכות ביותר.

לצורך ההדגמה, חומקוב פירסם בבלוג שלו אתר אינטרנט (זהירות: האתר כולל תמונות מתחלפות של בחורות בבקיני למי שעשוי למצוא את התוכן פוגעני) דרכו ניתן להתרשם מהבאג המטריד, כאשר בכניסה לאתר ניתן לראות תמונות מתחלפות של בחורות נאות, ולחיצה על כפתור הפליי תפעיל את המצלמה ללא רשותו של המשתמש, תצלם אותו ותציג את התמונה באתר. חומקוב מבהיר כי הוא אמנם היה שמח לאחסן את התמונות של המשתמשים ולדרוש דולר אחד תמורת הסרתן מהשרת – אך החליט להימנע מכך ולא לאחסן את התמונות של המשתמשים בכלל.

כך תוכלו לחסום אתרי אינטרנט משימוש במצלמה

בדף ייעודי בתמיכה האינטרנטית של גוגל, בענקית החיפוש ממליצים לבצע את הצעדים הבאים בכדי למנוע מאתרי אינטרנט שונים לגשת למצלמה שלכם. למרבה הצער, ניסינו את הצעדים הנ”ל בגירסא 27 של כרום, אך הבאג עדיין שריר וקיים.

מקור: צילום מסך

מקור: צילום מסך

בכדי להתגונן מפני הבאג בכל זאת, ניתן לבצע מספר פעולות. הראשונה, היא כמובן לעבור לדפדפן אחר, כגון Firefox, ולהפעיל תוסף כגון NoScript, עם הרשאות מיוחדות עבור אתרים שאתם בוטחים בהם. השנייה, הפחות מומלצת, היא לעדכן את גירסאת ה-Chrome שברשותכם לאחת מגירסאות ה-Nightly או ה-Canary, אשר מכילות את מיטב הפיצ’רים האחרונים שהוכנסו על ידי צוות הפיתוח של Chrome ונראה ששם הבאג תוקן, אך קחו בחשבון שמדובר בגירסאות Experimental לחלוטין ויכול מאוד להיות שיתגלו באגים במהלך השימוש בדפדפן, או קריסות מפעם לפעם.

לבסוף, הפתרון הכי פשוט הוא לכסות את מצלמת האינטרנט שלכם ולחסום פיזית את העדשה.

באמצעות ידיעה שפורסמה גם בפורבס ישראל.

התמונה בראש הפוסט והתמונה הראשית בדף הבית באדיבות Shutterstock.

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

3 תגובות על "באג בכרום מאפשר לצלם אתכם ללא ידיעתכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
נועם
Guest

תודה על אזהרת הצניעות בקשר לאתר! יש לך לב טוב

איתי
Guest

יש עוד דרך לדעת כשדבר כזה קורה – לדאוג שתוכנת המצלמה תופעל אוטומטית בכל פעם שהמצלמה מופעלת. כך, ברגע שמישהו מפעיל לך את המצלמה, התוכנה נפתחת ואתה יודע שמישהו מנסה להשתמש בה.
בדקתי את זה כרגע על האתר של חומקוב וזה עובד נפלא.

Ayla
Guest

תודה רבה לך הן על אזהרת הצניעות (למרות שאני אישה, אני יכולה להעריך את ההתחשבות שלך באחר) וכן על ההסבר הברור והמהיר שאפילו מי שלא לגמרי מבין במחשבים יכול לבצע.
תודה רבה!!!

wpDiscuz

תגיות לכתבה: