¿Qué pensarías si tu laptop estuviese escuchando todo lo que
hablas durante tus llamadas de teléfono o lo que dicen tú y otras personas al
estar alrededor e incluso pudiese grabar vídeos del entorno sin tu conocimiento?
¡Suena bastante aterrador! ¿O no? Pero no es sólo posible,
sino que también extremadamente fácil de conseguir.
Una falla en el diseño de experiencia de usuario de Google
Chrome podría permitir a sitios maliciosos grabar audio o vídeo sin alertar al
usuario o dar cualquier señal visual de lo que está sucediendo.
El desarrollador de AOL Ran Bar-Zik reportó la
vulnerabilidad a Google el 10 de abril del 2017, pero gigante de la tecnología
no consideró esta falla un error de seguridad importante, lo que significa que
no hay ningún parche oficial en camino
¿Cómo funcionan las cámaras web y micrófonos en los exploradores?
Sin embargo, para proteger al usuario de que se transmita
audio y vídeo sin autorización del este, el navegador primero pide
explícitamente que se le de permisos al sitio web para usar WebRTC y acceder a
la cámara y micrófono del dispositivo.
Una vez autorizado, la página accederá a tu webcam y
micrófono hasta que remuevas manualmente los permisos WebRTC.
Como medida de seguridad extra para que los sitios
previamente autorizados no puedan grabar audio o vídeo de forma secreta, los
exploradores web avisan al usuario mediante un elemento en su interfaz cuando
este está siendo grabado.
“Activar esta API alertará al usuario que el audio o el vídeo de su dispositivo está siendo capturado”, Escribió Bar-zik en su blog. “Este aviso es la última y la más importante línea de defensa.”En el caso de Google Chrome, un icono de un punto rojo aparece en la pestaña.
¿Cómo los sitios web pueden espiarte?
El investigador descubrió que cualquier sitio web autorizado
usa un código JavaScript para lanzar una ventana sin la parte de arriba, que
pueda empezar a grabar audio y vídeo secretamente, sin el punto rojo y sin dar
indicaciones en el navegador de que se está llevando a cabo la transmisión.
“El sitio malintencionado abre una ventana sin cabeza y activa el recolector de multimedia de esa ventana, al menos en Chrome no habría ningún tipo de indicativo visual de esto,” dijo Bar-Zik.
Esto pasa porque Chrome no está diseñado para mostrar el
indicador del punto rojo en una ventana sin la interfaz de arriba, permitiendo
a los desarrolladores web “explotar” la pequeña falla en la interfaz para
espiar a los usuarios.”
Bar-Zik también proporcionó una Prueba de concepto (PoC) en
forma de código que todos pueden descargar, junto con un website de prueba, que
pide el permiso del usuario para usar WebRTC, lanza una ventana emergente y graba 20 segundos de audio sin dar ninguna señal visible.
Todo lo que necesita hacer el usuario es hacer clic en 2
botones para permitirle al sitio web usar WebRTC en el navegador. La prueba
graba su audio por 20 segundos y luego suministra un link de descarga del
archivo grabado previamente.
“Un ataque real no será tan obvio por supuesto, puede usar una pop-up muy pequeña abajo, subir los datos a cualquier lado y que esta se esconda cuando el usuario pasa el cursor cerca de ella.
Puede usar la cámara por milisegundos y tomarte una foto,” dijo Bar-Zik. “En dispositivos móviles ni siquiera hay indicadores visuales”
La falla reportada afecta a Google Chrome, pero quizás
también pueda afectar a otros navegadores web.
NO ES UNA FALLA, dice Google; ¡No habrá un parche pronto!
Bar-Zik reportó el error a Google el 10 de abril, pero la
compañía no la considera una vulnerabilidad de seguridad valida. Sin embargo,
se comprometen a encontrar maneras de “mejorar la situación” en el futuro.
“No es una vulnerabilidad real – por ejemplo, el protocolo WebRTC en dispositivos móviles no muestra ningún indicador,” respondió un miembro de Chromium a los investigadores.
“El punto rojo es un buen primer esfuerzo pero sólo funciona en las versiones de escritorio cuando la interfaz de usuario de Chrome tiene espacio suficiente. Eso se sabe, estamos buscando maneras de solventarlo.”
Google Podrá considerar esto una vulnerabilidad o no, pero
el bug es ciertamente un problema para la privacidad, el cual podría ser aprovechado
por hackers para potencialmente lanzar ataques más sofisticados.
Para mantenerte en el lado seguro, simplemente desactiva
WebRTC, lo cual puede ser muy fácil si no lo necesitas. Pero si lo requieres,
sólo dale permisos a sitios en los que confías y estate atento a cualquier otra
ventana que aparezca abajo o arriba de la página.
Las filtraciones de Edward Snowden también revelaron Optic
Nerve, un proyecto de la NSA para capturar imágenes de la Webcam de usuarios
aleatorios de Yahoo cada 5 minutos, en sólo 5 meses 1.8 millones de fotos
fueron tomadas y almacenadas en servidores del gobierno en 2008.
A raíz de estas preocupaciones de privacidad, incluso el CEO
de Facebook, Mark Zuckerberg, y el ex director del FBI, James Comey, admitieron
que ponen cinta adhesiva en la camara de sus computadoras portátiles sólo para estar más
seguros.
Aunque poner teipe sobre tu cámara web no detendrá a los hackers
ni a las agencias de espionaje del gobierno para que graben tu voz, al menos,
les impediría ver o capturar fotos de tu entorno.
Sign up here with your email
ConversionConversion EmoticonEmoticon