אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » פיתוח אינטרנט » פתרונות ומאמרים על פיתוח אינטרנט » פרצת פרטיות בכרום מאפשרת לאתרים להקליט אתכם ללא ידיעתכם

פרצת פרטיות בכרום מאפשרת לאתרים להקליט אתכם ללא ידיעתכם

רן בר-זיק מאי 28, 2017 7:07 am 5 תגובות

הסבר על בעיה פשוטה שמאפשרת לאתרים להקליט אתכם ללא ידיעתכם דרך הדפדפן.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

האם מישהו מאזין לנו? בשנים האחרונות הולכות ומתגברות תחושות לא נעימות בקרב גולשי האינטרנט. להרבה גולשים, בעיקר משתמשי פייסבוק אבל לא רק יש הרגשה שתוכנות מסוימות מאזינות להן. כולנו יודעים שאם נחפש בגוגל או בפייסבוק מידע על יעד תיירותי מסוים, סביר להניח שהפיד שלנו יוצף במודעות לאותו יעד. אך בשנה-שנתיים האחרונות הרבה אנשים מדווחים על כך ששיחה על יעד תיירותי מסוים ליד הטלפון הסלולרי או המחשב מניבה את אותן פרסומות. הרבה מומחי אבטחה גיחכו למשמע השמועות. היכולת של מכשירים ואפליקציות להאזין כל הזמן ללא אישור מפורש מהמשתמש אמורה להיות לא קיימת. במיוחד כאשר מדובר באפליקציות/אתרים שמופעלים בדפדפן בלבד (כמו למשל רוב האתרים שאנחנו נכנסים אליהם באמצעות כרום). אך לאחר בדיקה שערכתי, מסתבר שאפילו אתרים 'תמימים' לכאורה יכולים להאזין למשתמשים שלהם ללא אינדיקציה.

התפתחויות משמעותיות בדפדפנים מאפשרים למתכנתי האתרים ליצור אינטראקציות מרהיבות עם הגולשים. מצלמות רשת ומיקרופונים, שהפכו לנפוצים מאוד בכל מחשב/טאבלט גם שותפים למהפיכה הזו. בעבר היינו צריכים להתקין תוכנות או אפליקציות כבדות על הטאבלט, הטלפון או המחשב הנייד כדי לאפשר שיחת וידאו כמו בשירות הפופולרי Google Hangouts. אבל היום ניתן לעשות שיחות וידאו ללא מאמץ על גבי הדפדפן עצמו. גוגל כרום, פיירפוקס ואדג' מאפשרות שימוש במצלמת הרשת ובמיקרופון המובנה על מנת לאפשר לכל מתכנת לבנות אתרים שיפעילו אותם. אותן חברות דפדפנים השקיעו גם מאמץ על מנת שאתר לא יוכל להקליט או לצלם משתמש ללא ידיעתו. לא רק שהמשתמש נדרש לאשר אקטיבית שימוש במצלמת הרשת ובמיקרופון. יש גם בכל הדפדפנים אינדיקציה בלשונית הדפדפן המציגה חיווי ברור למשתמש על הקלטה.

התהליך הנדרש ממפתחי אתרים כדי לגשת אל מצלמת הרשת מורכב משני צעדים. הצעד הראשון הוא השגת אישור אקטיבי מהמשתמש שהאתר רשאי לגשת אל המצלמה והמיקרופון. האישור הזה ניתן רק פעם אחת לכל אתר והוא גם דומה במאפייניו הויזואליים לאישורים אחרים שאתרים מבקשים.

סוגי הרשאות שונות לממשקים שונים. אפשר לראות שכולן זהות ומאוד גנריות. משתמשים נוטים לאשר אותן בלי לחשוב.
סוגי הרשאות שונות לממשקים שונים. אפשר לראות שכולן זהות ומאוד גנריות. משתמשים נוטים לאשר אותן בלי לחשוב.

אני מאמין שרוב המשתמשים נתקלים בבקשות האלו לא מעט פעמים. אתרים כמו פייסבוק, טוויטר ורבים נוספים מבקשים כל הזמן לקבל הרשאות על מנת להציג לנו הודעות קופצות, לקבל את המיקום שלנו או, במקרים מסוימים לקבל הרשאה להתקני הוידאו והאודיו. ברגע שאישרתם, לאתר יש יכולת לגשת למצלמה או למיקרופון שלכם. יש סיכוי סביר שנתתם ללא מעט אתרים הרשאות שונות שחלקן עלולות להיות הרשאות למצלמה או למיקרופון. אך לא אלמן ישראל. ישנה שכבת הגנה נוספת וחשובה – התרעת הקלטה. התרעת ההקלטה מאפשרת לנו לדעת בזמן אמת איזו לשונית בדפדפן יכולה להאזין לנו. כלומר, גם אם נתתם בהיסח הדעת הרשאה לאתר להשתמש במצלמת הרשת/מיקרופון שלכם תוכלו לדעת אם הוא משתמש בה באמצעות התראה ויזואלית בולטת בלשונית הדפדפן.

התרעה על שימוש בהקלטה (וידאו או אודיו) בדפדפנים שונים

אם ראיתם את ההתראה הזו, סימן שמופעלת ההקלטה של אודיו או וידאו באותה לשונית. כיביתם את הלשונית? האתר כבר לא עושה שימוש באודיו או בוידאו.
לשם המחשה, אתם מוזמנים להיכנס באמצעות כרום לקישור הבא. מדובר באפליקציה מטופשת שיצרתי במספר דקות ומשתמשת בקוד פשוט על מנת לקחת את קלט הוידאו ולהציג אותו על המסך. תראו שברגע שאתם נכנסים אל האתר, הדפדפן מבקש מכם הרשאה. לאחר מתן ההרשאה, תוכלו לראות את עצמכם באמצעות מצלמת הוידאו. בנוסף, תוכלו לראות נקודה אדומה ובולטת בלשונית.

ניתן להבחין בנקודה אדומה בולטת בלשונית הפעילה.
ניתן להבחין בנקודה אדומה בולטת בלשונית הפעילה.

אם תסגרו את הלשונית הזו ותפתחו אותה שוב, תוכלו להיווכח שהאתר לא מבקש מכם שוב הרשאה לשימוש במצלמת הוידאו אלא מייד מפעיל את המצלמה. כאמור, בקשת ההרשאה היא חד פעמית והיא יכולה להשאר ב'זכרון' הדפדפן למשך חודשים ואף שנים.

כל זה אינו חדש, אך גיליתי דרך להקליט/לצלם את המשתמש ללא מתן אישור ויזואלי בדפדפן כרום. מה שמאפשר לכל אתר שהוא שהצליח להשיג מכם הרשאה לצלם/להקליט אתכם לא ידיעתכם כלל – הישר מהדפדפן. חשוב לי להדגיש את החומרה שבעניין (לדעתי) : לא מדובר באפליקציה שאני יכול להסיר או להתקין כרצוני אלא באתר אינטרנט פשוט. כל מי שיש לו אתר אינטרנט יכול לצלם ולהקליט אתכם ללא שום חיווי מהדפדפן. אתם אפילו לא חייבים להיכנס לאתר הספציפי הזה על מנת שההקלטה תעבוד. ברגע שאתר כלשהו השיג את ההרשאה (שכאמור יכולה להינתן בהיסח הדעת) הוא יכול לצלם/להקליט אתכם בכל זמן נתון גם אם לא תיכנסו אליו. כל מה שצריך הוא הפעלת קוד פשוט.

איך זה עובד? אתם מוזמנים להיכנס לדוגמה בקישור הזה. לחיצה על הכפתור הראשון תגרום לאתר לבקש את ההרשאה. המשתמש יכול להיות רגוע, לא? תהיה לו אינדיקציה גרפית בולטת במידה והאתר יעשה שימוש בהרשאה ויקליט/יצלם את המשתמש. אך לחיצה על הכפתור השני תפתח הדמיה של פופ אפ של חלון ריגול שיבצע הקלטה של 30 שניות באמצעות המיקרופון שלכם. שימו לב שבמהלך ההקלטה אין שום חיווי חזותי כלשהו בלשונית! בסיום ההקלטה ניתן יהיה להוריד את הקובץ שלה אל המחשב שלכם ולהאזין.

כמובן שמדובר בדוגמה בלבד. בהתקפה אמיתית, החלון לא יהיה כל כך גדול וברור אלא נסתר כפופ אנדר ובמימדים קטנים מאוד. הוא יכול גם להיסגר ברגע שיהיה עליו פוקוס. כמובן שניתן גם להפעיל את מצלמת הרשת ולא רק את הקול והפלט יכול להשלח לכל מקום שהוא. זו דוגמה בלבד ולא התקפה אמיתית. הדבר המטריד הוא שהמשתמש יכול לסגור את הלשונית המקורית ועדיין החלון הקטן ימשיך להקליט ללא התראה ויזואלית כלל.

בפיירפוקס התקלה הזו לא מתקיימת כיוון שההתראה הויזואלית היא מרחפת ואינה קשורה כלל ללשונית ספציפית. בדפדפן אדג' לא ניתן עדיין לבצע הקלטה, אז הפרצה הזו לא רלוונטית. בכרום זה מאוד רלוונטי ומדובר בדפדפן הפופולרי ביותר בעולם ובישראל.

מה התגובה של גוגל או יותר נכון של כרומיום שמטפל בעניינים האלו ? ובכן. פתחתי להם באג והם אישרו אותו. ייאמר לזכותם שההתייחסות היתה מהירה מאוד. אך הטענה של המאשר היתה שמדובר בבאג של פרטיות (שמתועדף נמוך יותר) ולא של אבטחה. עד אז, אני ממליץ לכולם לשים לב היטב למי הם נתנו הרשאות. בדיקת ההרשאות לאתרים מסובכת מעט – כניסה להגדרות -> הגדרות מתקדמות -> הגדרות תוכן -> גלילה עד ל'מצלמה' ו'מיקרופון' ולחיצה על 'ניהול'. שזה די שקול לשים אותן בארון בחדר שרותים נטוש, מאחורי דלת עם שלט "זהירות נמר".

ומה קורה במובייל? כפי שגוגל עצמם ציינו, במובייל אין חיווי ויזואלי כלל, נגעת? נסעת. אישרת? אפשר להקשיב לך. אתם יכולים לבדוק את זה בעצמכם. הכנסו אל הקישור של אפליקצית הדוגמה עם כרום מהנייד. תנו אישור ותראו שאיו שום התראה ויזואלית. יותר מכך, אם תשאירו את הלשונית פתוחה, לא תוכלו לעשות שימוש במצלמה כל עוד האתר משתמש בה.

מה לעשות? האם לשרוף את כרום ולרקוד מסביב למדורה? לא. רק חשוב להיות מודעים. כאמור בדיקה ידנית של ההרשאות ומחשבה על ההרשאות שנותנים היא קריטית כיוון שמתן הרשאה לאתר כלשהו בכרום נכון לעכשיו היא בעצם מתן הרשאה גורפת לאותו אתר צילום/הקלטה שלנו ללא ידיעתנו בכל רגע נתון.


תוספת מאוחרת:
יש עוד משהו לעשות, כפי שתומר כהן כותב בפוסט התגובה שלו – לעבור לדפדפן מאובטח יותר – כמו פיירפוקס.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
אבטחה

5 תגובות

  1. תומר כהן ★ הגב מאי 28, 2017 בשעה 11:57 pm

    בפיירפוקס הבאג הזה לא קיים. תשתמשו בפיירפוקס!

  2. אמיר סימן טוב הגב מאי 29, 2017 בשעה 3:53 am

    תותח.

  3. עמית אדלר הגב מאי 30, 2017 בשעה 10:30 am

    סתם מתוך סקרנות – כמה טראפיק הפוסט הזה צבר? במיוחד לאחר הפרסום שלו ב"הארץ"… בטח קיבלת הפצצה: https://www.haaretz.co.il/captain/software/1.4130670

    שאפו 🙂

    • רן בר-זיק הגב מאי 30, 2017 בשעה 11:19 am

      אז ככה: כמות הביקורים באתר היא באיזור ה-20,000 מבקרים בחודש ממוצע. כל אחד מהם מבקר 3.89 פעמים. שוב, בחודש ממוצע (בדקתי על שלושת החודשים האחרונים). אני כותב בהארץ לא מעט פעמים אז בדרך כלל מי שקורא שם באופן סדיר מכיר את הבלוג. יש קפיצה מסוימת בכל פעם שאני מפרסם שם אבל זה נמדד במאות.
      הפרסום המסיבי הפעם היה גם במקומות אחרים ובראשם צינור לילה וערוץ 2. במקום 600 ומשהו מבקרים יומי, מספר המבקרים קפץ ל-3,000 שלשום ו-2,000 היום. מספר הדפים הנצפים רק אתמול קפץ מעל ה-10,000.
      ותודה 🙂

  4. אודי הגב מאי 30, 2017 בשעה 5:13 pm

    היי רן
    תודה רבה על העידכון

    תגיד, הפירצה שמצאת קיימת גם בכרום בסמרטפון ?
    כי בכתבה דיברת גם על המצב בסמרטפונים, ותהיתי למה בדיוק התכוונת כשדיברת על הבעיה בסמרטפונים?

    האם מדובר בבעיית כרום בסמרטפונים? או שמצאת את זה בעוד דפדנים? או אולי אפילו ברמת המערכת הפעלה ?

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד