Infos

Publication d’un code d’exploitation d’ecoute dans Chrome

Le développeur de la bibliothèque JavaScript de reconnaissance vocale annyang a publié un code d'exploitation d'un bogue au sein du navigateur Chrome de Google qui pourrait permettre à un site malveillant d'utiliser le micro de l'ordinateur pour espionner les conversations longtemps après que l'utilisateur a quitté un site.

Tal Ater, le développeur établi en Israël, a déclaré qu'il avait pris la décision de publier ce code suite à la décidsion de Google de ne pas diffuser un correctif pour cette vulnérabilité alors que Google avait admis qu'il s'agissait d'un problème.

Dans un billet publié sur son site personnel, Tal Ater indique qu'il avait signalé le problème à Google le 11 septembre et que 13 jours plus tard, la société lui avait annoncé qu'un correctif était prêt ; il apprit qu'il avait également droit à une récompense de 30 000 dollars américains dans le cadre du Chromium Reward Panel.

Toutefois, plus d'un mois plus tard, Tal Ater indique que Google n'a toujours pas diffusé le correctif et lui a expliqué que le problème était analysé par l'organisation de normalisation W3C. La W3c a actualisé en novembre ses spécifications des API vocale pour le Web et certains éléments indiquent que ce comportement n'est pas forcément en contravention avec la norme.

Un porte-parole de Google a déclaré dans un courrier électronique : "La sécurité de nos utilisateurs demeure notre principale priorité et cette fonction a été développée dans le respect de la sécurité et de la vie privée."

http://www.youtube.com/watch?v=s5D578JmHdU

Lors d'une démonstration (cf. ci-dessus) du code d'exploitation développé par Tal Ater, on peut voir un utilisateur de Chrome qui visite un site malveillant à l'aide des capacités de reconnaissance vocale du navigateur. Pour que le code d'exploitation fonctionne, l'utilisateur doit autoriser le site Web à utiliser le microphone. Le site développé pour la démonstration est une application de liste de tâches. Une fois que l'utilisateur a fini de travailler avec la liste, la commande de désactivation du micro est donnée. Le point rouge clignotant dans l'onglet de Chrome disparaît, ce qui fait croire à l'utilisateur que la reconnaissance vocale a été désactivée.

Mais le code d'exploitation démontre que cela n'est pas le cas.

"Tant que Chrome n'est pas fermé, rien de ce qui est dit à proximité de l'ordinateur n'est privé" peut ont apprendre dans la démonstration.

La démo se poursuit et on voit l'utilisateur qui ferme la fenêtre du site autorisé à utiliser la reconnaissance vocale et qui accède à un autre site. Rien n'indique que l'enregistrement audio est activé, mais Tal Ater indique que le navigateur est à l'écoute.

Une fenêtre pop-under masquée qui se présente sous la forme d'une bannière de publicité est dévoilée alors qu'elle enregistre le texte audio et l'envoie à Google où ce texte est analysé automatiquement avant d'être renvoyé au site malveillant explique Tal Ater. Toutefois, Google a rectifié le code dans la version actuelle de Chrome et les publicités pop-under sont obligées d'apparaître devant la fenêtre principale.

La démonstration explique : "Ce que vous voyez ici transforme en réalité Google Chrome en un outil d'espionnage. La confidentialité au bureau ou chez vous n'est plus garantie, même si vous n'utilisez pas l'ordinateur. Tout ce que vous dites à proximité de l'ordinateur peut être entendu par des individus malveillants."

Tal Ater a expliqué que le code d'exploitation pouvait être programmé de telle sorte qu'il s'active uniquement lorsque certains mots clés sont prononcés. Il précise également que bien que la majorité des sites utilise la reconnaissance vocale via HTTPS, Chrome se souviendra que l'utilisateur a autorisé le site à utiliser le micro et lui permettra d'écouter à nouveau lorsque l'utilisateur reviendra sur ce site. Avec le code d'exploitation de Tal Ater, le témoin dans Chrome ne clignotera pas et l'utilisateur n'aura aucune idée que ses conversations sont audibles.

"Au moment de cliquer sur le bouton pour lancer ou arrêter la reconnaissance vocale, vous ne verrez pas que ce site est peut-être ouvert également dans une autre fenêtre cachée derrière la fenêtre principale. Cette fenêtre peut attendre la fermeture du site principal et commencer l'écoute sans demander l'autorisation" explique Tal Ater sur son site. "Cela peut se produire dans une fenêtre que vous n'avez jamais vue, dans laquelle vous n'avez jamais cliqué et dont vous ignoriez même l'existence. Et comme si cela ne suffisait pas, même si vous remarquez cette fenêtre (qui peut être présentée comme une bannière normale), Chrome n'affiche aucun indicateur qui pourrait signaler que la reconnaissance vocale est activée dans cette fenêtre. Ces indications apparaissent uniquement dans les onglets Chromes normaux.

http://threatpost.com/chrome-eavesdropping-exploit-published/103798

Publication d’un code d’exploitation d’ecoute dans Chrome

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception