Normaal gesproken als een website video of audio opneemt, verschijnt er een rood opname-icoontje in de desbetreffende tab. De bug zorgt er echter voor dat deze niet altijd zichtbaar is. Bar-Zik ontdekte dat de code die het opnameproces start, niet per se in de originele tab hoeft te draaien waarin de gebruiker toestemming heeft gegeven.

Malafide gebruikers kunnen daar misbruik van maken door een pop-up-scherm te openen waarin de code kan worden uitgevoerd om media op te nemen. Het opname-icoontje blijft in de (onderliggende) tab en kan op deze manier dus worden "verstopt".

De ontwikkelaar heeft na een aantal tests een bug gemeld bij Google, een demonstratie gemaakt en een Proof of concept (zip) gemaakt.

Google ziet deze bug niet als beveiligingslek omdat gebruikers nog steeds toestemming moeten geven als websites daadwerkelijk video en audio willen opnemen. Bovendien is het opname-icoontje niet aanwezig in alle versies van Chrome (de mobiele versie van Chrome heeft deze functie bijvoorbeeld niet).

"Dit is niet echt een beveiligings-kwetsbaarheid, WebRTC op mobiele apparaten geeft helemaal geen indicator weer. Het icoontje is een best-effort [oplossing] die alleen werkt op de desktop als er Chrome-UI-ruimte beschikbaar is. Wij zullen kijken naar een oplossing om deze situatie te verbeteren," aldus Google.

Op de volgende pagina: Misbruik?

UI-moeheid

Bar-Zik is het echter niet eens met Google's aanpak. De ontwikkelaar claimt dat veel gebruikers tegenwoordig UI-moe zijn en daardoor vaak toestemming geven (en vensters weg klikken) zonder te lezen waar ze nou eigenlijk toestemming voor geven.

Als een gebruiker een website "per ongeluk" toestemming heeft gegeven om toegang te krijgen tot audio en video-componenten, kunnen er geavanceerdere aanvallen worden uitgevoerd. Malafide website kunnen bijvoorbeeld zeer kleine pop-ups maken waarin de aanvalscode wordt uitgevoerd.

Deze code kan bijvoorbeeld de camera een milliseconde inschakelen om een foto te maken van een gebruiker of, als het slachtoffer de pop-up niet doorheeft, urenlang video opnemen. Aanvallers zouden bijvoorbeeld een pop-up kunnen vermommen als een advertentie. Als de gebruiker dat venster niet snel sluit, kunnen aanvallers gebruikers makkelijk en lang in de gaten houden.

Daarnaast zouden aanvallers ook misbruik kunnen maken van eerder gegeven toestemming op andere sites. Met behulp van cross-scripting (XSS)-kwetsbaarheden is het makkelijker malafide code uit te voeren.

Doordat deze bug niet wordt aangemerkt als beveiligingsprobleem, zal het lang(er) duren voordat het wordt opgelost. De beste manier om te voorkomen dat malafide websites misbruik maken van je microfoon en camera is door zelf in de gaten te houden welke privileges je geeft aan sites en goed lezen wat voor toestemming je geeft. Bar-Zik geeft op bleepingcomputer een uitgebreidere uitleg van dit probleem.