Falla en Google Chrome permite a sitios maliciosos tomar control de tu Webcam y microfono

¿Qué pensarías si tu laptop estuviese escuchando todo lo que hablas durante tus llamadas de teléfono o lo que dicen tú y otras personas al estar alrededor e incluso pudiese grabar vídeos del entorno sin tu conocimiento?

¡Suena bastante aterrador! ¿O no? Pero no es sólo posible, sino que también extremadamente fácil de conseguir.

Una falla en el diseño de experiencia de usuario de Google Chrome podría permitir a sitios maliciosos grabar audio o vídeo sin alertar al usuario o dar cualquier señal visual de lo que está sucediendo.

El desarrollador de AOL Ran Bar-Zik reportó la vulnerabilidad a Google el 10 de abril del 2017, pero gigante de la tecnología no consideró esta falla un error de seguridad importante, lo que significa que no hay ningún parche oficial en camino

¿Cómo funcionan las cámaras web y micrófonos en los exploradores?

Antes de ir con los detalles de la vulnerabilidad, primero necesitas saber que la comunicación de audio y vídeo de los navegadores confía en el protocolo WebRTC (Web Real-Time Communications) – una colección de protocolos de comunicación que es soportada por la mayoría de los navegadores modernos para habilitar la comunicación en tiempo real sobre conexiones per-to-peer sin el uso de plugins.

Sin embargo, para proteger al usuario de que se transmita audio y vídeo sin autorización del este, el navegador primero pide explícitamente que se le de permisos al sitio web para usar WebRTC y acceder a la cámara y micrófono del dispositivo.

Una vez autorizado, la página accederá a tu webcam y micrófono hasta que remuevas manualmente los permisos WebRTC.

Como medida de seguridad extra para que los sitios previamente autorizados no puedan grabar audio o vídeo de forma secreta, los exploradores web avisan al usuario mediante un elemento en su interfaz cuando este está siendo grabado.

“Activar esta API alertará al usuario que el audio o el vídeo de su dispositivo está siendo capturado”, Escribió Bar-zik en su blog. “Este aviso es la última y la más importante línea de defensa.”

En el caso de Google Chrome, un icono de un punto rojo aparece en la pestaña.

¿Cómo los sitios web pueden espiarte?

El investigador descubrió que cualquier sitio web autorizado usa un código JavaScript para lanzar una ventana sin la parte de arriba, que pueda empezar a grabar audio y vídeo secretamente, sin el punto rojo y sin dar indicaciones en el navegador de que se está llevando a cabo la transmisión.

“El sitio malintencionado abre una ventana sin cabeza y activa el recolector de multimedia de esa ventana, al menos en Chrome no habría ningún tipo de indicativo visual de esto,” dijo Bar-Zik.

Esto pasa porque Chrome no está diseñado para mostrar el indicador del punto rojo en una ventana sin la interfaz de arriba, permitiendo a los desarrolladores web “explotar” la pequeña falla en la interfaz para espiar a los usuarios.”

Bar-Zik también proporcionó una Prueba de concepto (PoC) en forma de código que todos pueden descargar, junto con un website de prueba, que pide el permiso del usuario para usar WebRTC, lanza una ventana emergente y graba 20 segundos de audio sin dar ninguna señal visible.

Todo lo que necesita hacer el usuario es hacer clic en 2 botones para permitirle al sitio web usar WebRTC en el navegador. La prueba graba su audio por 20 segundos y luego suministra un link de descarga del archivo grabado previamente.

“Un ataque real no será tan obvio por supuesto, puede usar una pop-up muy pequeña abajo, subir los datos a cualquier lado y que esta se esconda cuando el usuario pasa el cursor cerca de ella.
Puede usar la cámara por milisegundos y tomarte una foto,” dijo Bar-Zik. “En dispositivos móviles ni siquiera hay indicadores visuales”

La falla reportada afecta a Google Chrome, pero quizás también pueda afectar a otros navegadores web.

NO ES UNA FALLA, dice Google; ¡No habrá un parche pronto!

Bar-Zik reportó el error a Google el 10 de abril, pero la compañía no la considera una vulnerabilidad de seguridad valida. Sin embargo, se comprometen a encontrar maneras de “mejorar la situación” en el futuro.

“No es una vulnerabilidad real – por ejemplo, el protocolo WebRTC en dispositivos móviles no muestra ningún indicador,” respondió un miembro de Chromium a los investigadores.

“El punto rojo es un buen primer esfuerzo pero sólo funciona en las versiones de escritorio cuando la interfaz de usuario de Chrome tiene espacio suficiente. Eso se sabe, estamos buscando maneras de solventarlo.”

Google Podrá considerar esto una vulnerabilidad o no, pero el bug es ciertamente un problema para la privacidad, el cual podría ser aprovechado por hackers para potencialmente lanzar ataques más sofisticados.

Para mantenerte en el lado seguro, simplemente desactiva WebRTC, lo cual puede ser muy fácil si no lo necesitas. Pero si lo requieres, sólo dale permisos a sitios en los que confías y estate atento a cualquier otra ventana que aparezca abajo o arriba de la página.

Las filtraciones de Edward Snowden también revelaron Optic Nerve, un proyecto de la NSA para capturar imágenes de la Webcam de usuarios aleatorios de Yahoo cada 5 minutos, en sólo 5 meses 1.8 millones de fotos fueron tomadas y almacenadas en servidores del gobierno en 2008.

A raíz de estas preocupaciones de privacidad, incluso el CEO de Facebook, Mark Zuckerberg, y el ex director del FBI, James Comey, admitieron que ponen cinta adhesiva en la camara de sus computadoras portátiles sólo para estar más seguros.

Aunque poner teipe sobre tu cámara web no detendrá a los hackers ni a las agencias de espionaje del gobierno para que graben tu voz, al menos, les impediría ver o capturar fotos de tu entorno.