Publication d’un code d’exploitation d’ecoute dans Chrome

Le développeur de la bibliothèque JavaScript de reconnaissance vocale annyang a publié un code d'exploitation d'un bogue au sein du navigateur Chrome de Google qui pourrait permettre à un site malveillant d'utiliser le micro de l'ordinateur pour espionner les conversations longtemps après que l'utilisateur a quitté un site.

Tal Ater, le développeur établi en Israël, a déclaré qu'il avait pris la décision de publier ce code suite à la décidsion de Google de ne pas diffuser un correctif pour cette vulnérabilité alors que Google avait admis qu'il s'agissait d'un problème.

Dans un billet publié sur son site personnel, Tal Ater indique qu'il avait signalé le problème à Google le 11 septembre et que 13 jours plus tard, la société lui avait annoncé qu'un correctif était prêt ; il apprit qu'il avait également droit à une récompense de 30 000 dollars américains dans le cadre du Chromium Reward Panel.

Toutefois, plus d'un mois plus tard, Tal Ater indique que Google n'a toujours pas diffusé le correctif et lui a expliqué que le problème était analysé par l'organisation de normalisation W3C. La W3c a actualisé en novembre ses spécifications des API vocale pour le Web et certains éléments indiquent que ce comportement n'est pas forcément en contravention avec la norme.

Un porte-parole de Google a déclaré dans un courrier électronique : "La sécurité de nos utilisateurs demeure notre principale priorité et cette fonction a été développée dans le respect de la sécurité et de la vie privée."

http://www.youtube.com/watch?v=s5D578JmHdU

Lors d'une démonstration (cf. ci-dessus) du code d'exploitation développé par Tal Ater, on peut voir un utilisateur de Chrome qui visite un site malveillant à l'aide des capacités de reconnaissance vocale du navigateur. Pour que le code d'exploitation fonctionne, l'utilisateur doit autoriser le site Web à utiliser le microphone. Le site développé pour la démonstration est une application de liste de tâches. Une fois que l'utilisateur a fini de travailler avec la liste, la commande de désactivation du micro est donnée. Le point rouge clignotant dans l'onglet de Chrome disparaît, ce qui fait croire à l'utilisateur que la reconnaissance vocale a été désactivée.

Mais le code d'exploitation démontre que cela n'est pas le cas.

"Tant que Chrome n'est pas fermé, rien de ce qui est dit à proximité de l'ordinateur n'est privé" peut ont apprendre dans la démonstration.

La démo se poursuit et on voit l'utilisateur qui ferme la fenêtre du site autorisé à utiliser la reconnaissance vocale et qui accède à un autre site. Rien n'indique que l'enregistrement audio est activé, mais Tal Ater indique que le navigateur est à l'écoute.

Une fenêtre pop-under masquée qui se présente sous la forme d'une bannière de publicité est dévoilée alors qu'elle enregistre le texte audio et l'envoie à Google où ce texte est analysé automatiquement avant d'être renvoyé au site malveillant explique Tal Ater. Toutefois, Google a rectifié le code dans la version actuelle de Chrome et les publicités pop-under sont obligées d'apparaître devant la fenêtre principale.

La démonstration explique : "Ce que vous voyez ici transforme en réalité Google Chrome en un outil d'espionnage. La confidentialité au bureau ou chez vous n'est plus garantie, même si vous n'utilisez pas l'ordinateur. Tout ce que vous dites à proximité de l'ordinateur peut être entendu par des individus malveillants."

Tal Ater a expliqué que le code d'exploitation pouvait être programmé de telle sorte qu'il s'active uniquement lorsque certains mots clés sont prononcés. Il précise également que bien que la majorité des sites utilise la reconnaissance vocale via HTTPS, Chrome se souviendra que l'utilisateur a autorisé le site à utiliser le micro et lui permettra d'écouter à nouveau lorsque l'utilisateur reviendra sur ce site. Avec le code d'exploitation de Tal Ater, le témoin dans Chrome ne clignotera pas et l'utilisateur n'aura aucune idée que ses conversations sont audibles.

"Au moment de cliquer sur le bouton pour lancer ou arrêter la reconnaissance vocale, vous ne verrez pas que ce site est peut-être ouvert également dans une autre fenêtre cachée derrière la fenêtre principale. Cette fenêtre peut attendre la fermeture du site principal et commencer l'écoute sans demander l'autorisation" explique Tal Ater sur son site. "Cela peut se produire dans une fenêtre que vous n'avez jamais vue, dans laquelle vous n'avez jamais cliqué et dont vous ignoriez même l'existence. Et comme si cela ne suffisait pas, même si vous remarquez cette fenêtre (qui peut être présentée comme une bannière normale), Chrome n'affiche aucun indicateur qui pourrait signaler que la reconnaissance vocale est activée dans cette fenêtre. Ces indications apparaissent uniquement dans les onglets Chromes normaux.

http://threatpost.com/chrome-eavesdropping-exploit-published/103798

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *