مرکز ماهر در مورد آسیب پذیری مرورگر کروم هشدار داد
یکی از روش های مورد استفاده ی هکرها برای دستیابی به حریم خصوصی کاربران، استفاده از دوربین لپ تاپ، تلفن همراه و تبلت است. بسیاری گمان می کنند که هک کردن دوربین این دستگاه ها کار ساده ای نیست و عموماً اتفاق نمی افتد. این در حالی است که هک کردن کاربران از این طریق آن چنان غیر ممکن هم نیست.
گویا آی تی – اخیراً مرکز ماهر سازمان فناوری اطلاعات ایران اعلام کرده است که به علت وجود یک نقص طراحی UX در مرورگر کروم، بعضی از سایت ها قادر هستند تا صدا و تصویر کاربران را بدون هیچ گونه علامت یا هشداری ضبط کرده و مورد سوءاستفاده قرار دهند.
بنا به گزارش مرکز ماهر این نقص در نسخه ی ۵۷٫۰٫۲۹۸۷ مرورگر گوگل کروم و در ویندوز ۱۰ نسخه ی ۶۴ بیتی بیشتر مشاهده شده است.
این نقص مدت ها پیش به اطلاع گوگل رسیده اما گوگل آن را نپذیرفته است.
بهرنگ بینش کارشناس امنیت اطلاعات در این باره می گوید که اگر چه این گونه نقایص می توانند خطرساز باشند، اما در اکثر مواقع این کاربران هستند که به مرورگرها و سایت ها اجازه می دهند که به اطلاعاتشان دسترسی داشته باشند. ممکن است شما هم دسترسی های خاصی به مرورگر کروم در حین استفاده از سایت های مختلف داده باشید. به عنوان نمونه در هنگام استفاده از سایت های سفارش آنلاین غذا می توان این امکان را به مرورگر کروم داد تا آن سایت را از موقعیت مکانی شما مطلع کند.
بینش به پروتکل WebRTC اشاره کرد و آن را پایه ی اصلی ارتباطات ویدئویی و صوتی مرورگرها معرفی کرد.
وی علاوه بر این، اشاره به برخی فواید دسترسی مرورگرها به دوربین دستگاه های هوشمند داشت و گفت که این دسترسی ها می تواند باعث فعال شدن ویدئوچت های سایت های گوناگون شود و همچنین کارکرد برخی از وب سایت ها نظیر Google Hangouts را راحت تر سازد.
اجازه برای دسترسی به امکان ضبط صدا و تصویر تنها یک بار از کاربران خواسته می شود و همین امر سبب می شود که احتمال بروز خطای کاربران در دادن این اجازه زیاد باشد. البته بعضی از مرورگرها دارای نمادهای ویژه ای هستند که در صورت ضبط شدن صدا و تصویر مخاطب او را آگاه می سازد.
این در حالی است که مرورگر کروم بدون هیچ گونه علامت و هشداری صدا و تصویر کاربران را ضبط می کند و کاربران به هیچ عنوان متوجه استفاده ی این مرورگر برای ضبط صدا و تصویر خود نمی شوند.
مرکز ماهر در هشدار خود در این باره اضافه می کند که حملات ذکر شده از طریق صفحه های pop-under صورت می گیرد. این صفحات در یک سربرگ جدا باز می شوند و در بسیاری از موارد کاربر متوجه باز شدن این صفحات نمی گردد.
همان طور که گفته شد گوگل این نقص را به صورت رسمی نپذیرفته و از این رو تنها کاری که می توان انجام داد، در نظر گرفتن برخی نکات برای افزایش امنیت در برابر آن است. مرکز ماهر به کاربران توصیه می کند که پروتکل WebRTC را غیر فعال نمایند.
برای غیر فعال کردن این پروتکل بایستی در قسمت آدرس مرورگر عبارت about:config را تایپ کرده و پس از آن وضعیت media.peerconnection.enabled را به گزینه ی false تغییر داد.
برای مرورگر کروم می توان از افزونه ی WebRTC Network limiter استفاده کرد و از طریق آن برای این پروتکل محدودیت ایجاد نمود.
یکی دیگر از راه های مفید برای مقابله با این آسیب، زدن برچسب روی دوربین لپ تاپ هاست. این امر اگر چه می تواند جلوی ضبط تصویر را بگیرد، اما قادر به جلوگیری از ضبط کردن صدا نیست.
در مجموع بهتر است کاربران تنها از وب سایت های معتبر دیدن کنند و در صورتی که به هنگام وبگردی متوجه باز شدن پنجره های نامرتبط شدند، آن ها را بدون توجه زیاد به محتوایشان سریعاً ببندند.