פרצת פרטיות בכרום מאפשרת לאתרים להקליט אתכם ללא ידיעתכם

הסבר על בעיה פשוטה שמאפשרת לאתרים להקליט אתכם ללא ידיעתכם דרך הדפדפן.
ניתן להבחין בנקודה אדומה בולטת בלשונית הפעילה.

האם מישהו מאזין לנו? בשנים האחרונות הולכות ומתגברות תחושות לא נעימות בקרב גולשי האינטרנט. להרבה גולשים, בעיקר משתמשי פייסבוק אבל לא רק יש הרגשה שתוכנות מסוימות מאזינות להן. כולנו יודעים שאם נחפש בגוגל או בפייסבוק מידע על יעד תיירותי מסוים, סביר להניח שהפיד שלנו יוצף במודעות לאותו יעד. אך בשנה-שנתיים האחרונות הרבה אנשים מדווחים על כך ששיחה על יעד תיירותי מסוים ליד הטלפון הסלולרי או המחשב מניבה את אותן פרסומות. הרבה מומחי אבטחה גיחכו למשמע השמועות. היכולת של מכשירים ואפליקציות להאזין כל הזמן ללא אישור מפורש מהמשתמש אמורה להיות לא קיימת. במיוחד כאשר מדובר באפליקציות/אתרים שמופעלים בדפדפן בלבד (כמו למשל רוב האתרים שאנחנו נכנסים אליהם באמצעות כרום). אך לאחר בדיקה שערכתי, מסתבר שאפילו אתרים 'תמימים' לכאורה יכולים להאזין למשתמשים שלהם ללא אינדיקציה.

התפתחויות משמעותיות בדפדפנים מאפשרים למתכנתי האתרים ליצור אינטראקציות מרהיבות עם הגולשים. מצלמות רשת ומיקרופונים, שהפכו לנפוצים מאוד בכל מחשב/טאבלט גם שותפים למהפיכה הזו. בעבר היינו צריכים להתקין תוכנות או אפליקציות כבדות על הטאבלט, הטלפון או המחשב הנייד כדי לאפשר שיחת וידאו כמו בשירות הפופולרי Google Hangouts. אבל היום ניתן לעשות שיחות וידאו ללא מאמץ על גבי הדפדפן עצמו. גוגל כרום, פיירפוקס ואדג' מאפשרות שימוש במצלמת הרשת ובמיקרופון המובנה על מנת לאפשר לכל מתכנת לבנות אתרים שיפעילו אותם. אותן חברות דפדפנים השקיעו גם מאמץ על מנת שאתר לא יוכל להקליט או לצלם משתמש ללא ידיעתו. לא רק שהמשתמש נדרש לאשר אקטיבית שימוש במצלמת הרשת ובמיקרופון. יש גם בכל הדפדפנים אינדיקציה בלשונית הדפדפן המציגה חיווי ברור למשתמש על הקלטה.

התהליך הנדרש ממפתחי אתרים כדי לגשת אל מצלמת הרשת מורכב משני צעדים. הצעד הראשון הוא השגת אישור אקטיבי מהמשתמש שהאתר רשאי לגשת אל המצלמה והמיקרופון. האישור הזה ניתן רק פעם אחת לכל אתר והוא גם דומה במאפייניו הויזואליים לאישורים אחרים שאתרים מבקשים.

סוגי הרשאות שונות לממשקים שונים. אפשר לראות שכולן זהות ומאוד גנריות. משתמשים נוטים לאשר אותן בלי לחשוב.
סוגי הרשאות שונות לממשקים שונים. אפשר לראות שכולן זהות ומאוד גנריות. משתמשים נוטים לאשר אותן בלי לחשוב.

אני מאמין שרוב המשתמשים נתקלים בבקשות האלו לא מעט פעמים. אתרים כמו פייסבוק, טוויטר ורבים נוספים מבקשים כל הזמן לקבל הרשאות על מנת להציג לנו הודעות קופצות, לקבל את המיקום שלנו או, במקרים מסוימים לקבל הרשאה להתקני הוידאו והאודיו. ברגע שאישרתם, לאתר יש יכולת לגשת למצלמה או למיקרופון שלכם. יש סיכוי סביר שנתתם ללא מעט אתרים הרשאות שונות שחלקן עלולות להיות הרשאות למצלמה או למיקרופון. אך לא אלמן ישראל. ישנה שכבת הגנה נוספת וחשובה – התרעת הקלטה. התרעת ההקלטה מאפשרת לנו לדעת בזמן אמת איזו לשונית בדפדפן יכולה להאזין לנו. כלומר, גם אם נתתם בהיסח הדעת הרשאה לאתר להשתמש במצלמת הרשת/מיקרופון שלכם תוכלו לדעת אם הוא משתמש בה באמצעות התראה ויזואלית בולטת בלשונית הדפדפן.

התרעה על שימוש בהקלטה (וידאו או אודיו) בדפדפנים שונים

אם ראיתם את ההתראה הזו, סימן שמופעלת ההקלטה של אודיו או וידאו באותה לשונית. כיביתם את הלשונית? האתר כבר לא עושה שימוש באודיו או בוידאו.
לשם המחשה, אתם מוזמנים להיכנס באמצעות כרום לקישור הבא. מדובר באפליקציה מטופשת שיצרתי במספר דקות ומשתמשת בקוד פשוט על מנת לקחת את קלט הוידאו ולהציג אותו על המסך. תראו שברגע שאתם נכנסים אל האתר, הדפדפן מבקש מכם הרשאה. לאחר מתן ההרשאה, תוכלו לראות את עצמכם באמצעות מצלמת הוידאו. בנוסף, תוכלו לראות נקודה אדומה ובולטת בלשונית.

ניתן להבחין בנקודה אדומה בולטת בלשונית הפעילה.
ניתן להבחין בנקודה אדומה בולטת בלשונית הפעילה.

אם תסגרו את הלשונית הזו ותפתחו אותה שוב, תוכלו להיווכח שהאתר לא מבקש מכם שוב הרשאה לשימוש במצלמת הוידאו אלא מייד מפעיל את המצלמה. כאמור, בקשת ההרשאה היא חד פעמית והיא יכולה להשאר ב'זכרון' הדפדפן למשך חודשים ואף שנים.

כל זה אינו חדש, אך גיליתי דרך להקליט/לצלם את המשתמש ללא מתן אישור ויזואלי בדפדפן כרום. מה שמאפשר לכל אתר שהוא שהצליח להשיג מכם הרשאה לצלם/להקליט אתכם לא ידיעתכם כלל – הישר מהדפדפן. חשוב לי להדגיש את החומרה שבעניין (לדעתי) : לא מדובר באפליקציה שאני יכול להסיר או להתקין כרצוני אלא באתר אינטרנט פשוט. כל מי שיש לו אתר אינטרנט יכול לצלם ולהקליט אתכם ללא שום חיווי מהדפדפן. אתם אפילו לא חייבים להיכנס לאתר הספציפי הזה על מנת שההקלטה תעבוד. ברגע שאתר כלשהו השיג את ההרשאה (שכאמור יכולה להינתן בהיסח הדעת) הוא יכול לצלם/להקליט אתכם בכל זמן נתון גם אם לא תיכנסו אליו. כל מה שצריך הוא הפעלת קוד פשוט.

איך זה עובד? אתם מוזמנים להיכנס לדוגמה בקישור הזה. לחיצה על הכפתור הראשון תגרום לאתר לבקש את ההרשאה. המשתמש יכול להיות רגוע, לא? תהיה לו אינדיקציה גרפית בולטת במידה והאתר יעשה שימוש בהרשאה ויקליט/יצלם את המשתמש. אך לחיצה על הכפתור השני תפתח הדמיה של פופ אפ של חלון ריגול שיבצע הקלטה של 30 שניות באמצעות המיקרופון שלכם. שימו לב שבמהלך ההקלטה אין שום חיווי חזותי כלשהו בלשונית! בסיום ההקלטה ניתן יהיה להוריד את הקובץ שלה אל המחשב שלכם ולהאזין.

כמובן שמדובר בדוגמה בלבד. בהתקפה אמיתית, החלון לא יהיה כל כך גדול וברור אלא נסתר כפופ אנדר ובמימדים קטנים מאוד. הוא יכול גם להיסגר ברגע שיהיה עליו פוקוס. כמובן שניתן גם להפעיל את מצלמת הרשת ולא רק את הקול והפלט יכול להשלח לכל מקום שהוא. זו דוגמה בלבד ולא התקפה אמיתית. הדבר המטריד הוא שהמשתמש יכול לסגור את הלשונית המקורית ועדיין החלון הקטן ימשיך להקליט ללא התראה ויזואלית כלל.

בפיירפוקס התקלה הזו לא מתקיימת כיוון שההתראה הויזואלית היא מרחפת ואינה קשורה כלל ללשונית ספציפית. בדפדפן אדג' לא ניתן עדיין לבצע הקלטה, אז הפרצה הזו לא רלוונטית. בכרום זה מאוד רלוונטי ומדובר בדפדפן הפופולרי ביותר בעולם ובישראל.

מה התגובה של גוגל או יותר נכון של כרומיום שמטפל בעניינים האלו ? ובכן. פתחתי להם באג והם אישרו אותו. ייאמר לזכותם שההתייחסות היתה מהירה מאוד. אך הטענה של המאשר היתה שמדובר בבאג של פרטיות (שמתועדף נמוך יותר) ולא של אבטחה. עד אז, אני ממליץ לכולם לשים לב היטב למי הם נתנו הרשאות. בדיקת ההרשאות לאתרים מסובכת מעט – כניסה להגדרות -> הגדרות מתקדמות -> הגדרות תוכן -> גלילה עד ל'מצלמה' ו'מיקרופון' ולחיצה על 'ניהול'. שזה די שקול לשים אותן בארון בחדר שרותים נטוש, מאחורי דלת עם שלט "זהירות נמר".

ומה קורה במובייל? כפי שגוגל עצמם ציינו, במובייל אין חיווי ויזואלי כלל, נגעת? נסעת. אישרת? אפשר להקשיב לך. אתם יכולים לבדוק את זה בעצמכם. הכנסו אל הקישור של אפליקצית הדוגמה עם כרום מהנייד. תנו אישור ותראו שאיו שום התראה ויזואלית. יותר מכך, אם תשאירו את הלשונית פתוחה, לא תוכלו לעשות שימוש במצלמה כל עוד האתר משתמש בה.

מה לעשות? האם לשרוף את כרום ולרקוד מסביב למדורה? לא. רק חשוב להיות מודעים. כאמור בדיקה ידנית של ההרשאות ומחשבה על ההרשאות שנותנים היא קריטית כיוון שמתן הרשאה לאתר כלשהו בכרום נכון לעכשיו היא בעצם מתן הרשאה גורפת לאותו אתר צילום/הקלטה שלנו ללא ידיעתנו בכל רגע נתון.


תוספת מאוחרת:
יש עוד משהו לעשות, כפי שתומר כהן כותב בפוסט התגובה שלו – לעבור לדפדפן מאובטח יותר – כמו פיירפוקס.

פוסטים נוספים שכדאי לקרוא

תמונה של הבית הלבן עם מחשוב ענן וטקסט: FEDRAMP
פתרונות ומאמרים על פיתוח אינטרנט

FedRAMP & FIPS מבוא למתחילים

פרק מיוחד, לצד הקלטה של פרק של עושים תוכנה על אחת התקינות החשובות ביותר עבור חברות שסביר להניח שלא הכרתם

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

גלילה לראש העמוד