Uno sviluppatore israeliano che lavora presso AOL, Ran Bar-Zik, ha aperto un bug di sicurezza a Chromium, progetto open source gestito da sviluppatori Google, che condivide la quasi totalità del codice e delle caratteristiche con Google Chrome. Lo sviluppatore sostiene che sia possibile effettuare registrazioni audio e video attraverso il browser – usando la tecnologia Web Real Time Communication – senza che l’utente ne abbia la percezione.

In verità, all’utente viene comunque richiesta l’autorizzazione per l’utilizzo di webcam e microfono, tuttavia il codice javascript del front-end è in grado di nascondere gli elementi grafici indicanti il fatto che ci sia una registrazione in corso.

Bar-Zik ha allegato alla segnalazione un frammento di codice, disponibile sia come proof-of-concept che al download .

Dal codice è possibile evincere come sia possibile costruire un’istanza MediaRecorder all’interno di una nuova finestra, associando alla suddetta istanza il data stream relativo alla finestra – o tab – corrente, sulla quale sono stati ottenuti dall’utente i permessi necessari alla registrazione di contenuti audio e video .

Il risultato finale consiste in un popup in grado di spiare l’utente , senza che vi siano avvisi grafici di alcun tipo: questo in quanto un popup è privo della tab-bar su cui compare il pallino rosso indicante la registrazione, che normalmente appare nel tab su cui l’utente ha accordato i permessi.

Il team di Chromium ha prontamente replicato allo sviluppatore, minimizzando il problema e affermando che in realtà non si tratta di un problema di sicurezza, per il fatto che l’autorizzazione deve essere comunque fornita dall’utente, e che gli elementi grafici indicanti una registrazione in corso fanno parte esclusivamente della versione desktop del browser, non essendo presenti, ad esempio, in quella mobile. In ogni caso, il team di Chromium dichiara che ci sono “lavori in corso” per migliorare la situazione in essere; al difetto, catalogato come privacy , è stata assegnata priorità 2 nelle settimane successive.

Secondo una conversazione privata con Bar-Zik riportata da Bleeping Computer , lo sviluppatore non sarebbe d’accordo con il team di Chromium: sostiene infatti che una vulnerabilità di questo tipo potrebbe portare ad attacchi ben più subdoli , creando finestre popup di dimensioni molto piccole difficilmente individuabili dall’utente, con i quali sarebbe possibile scattare una foto all’utente in pochi millisecondi, oppure sorvegliarne le attività per diverso tempo. Inoltre, un eventuale attaccante potrebbe sfruttare i vari siti che richiedono questo tipo di permesso e condurre un attacco XSS – cross-site scripting – così da non dover richiedere egli stesso le autorizzazioni necessarie.

Nonostante la gravità del bug sia mitigata dalla necessità per l’attaccante di ottenere, più o meno lecitamente, le autorizzazioni, questa è la seconda vulnerabilità rilevata su Chrome in questi ultimi giorni: risale infatti a due settimane fa la notizia di un bug con il quale sarebbe possibile rubare credenziali Windows ; Google ha sì vinto la guerra dei browser , tuttavia va ricordato che la guerra è stata persa da Microsoft proprio perché ha sottovalutato per anni problematiche relative alla sicurezza (e non solo).