هشدار مرکز ماهر: مراقب آسیب پذیری کروم باشید
دوربین و میکروفون های تعبیه شده بر روی انواع موبایل و لپتاپ جدا از کارکرد اصلی که دارند، گاها میتوانند امنیت کاربران را به خطر بیاندازند و بدون اطلاع آنها، توسط یک هکر حریم خصوصی ...
دوربین و میکروفون های تعبیه شده بر روی انواع موبایل و لپتاپ جدا از کارکرد اصلی که دارند، گاها میتوانند امنیت کاربران را به خطر بیاندازند و بدون اطلاع آنها، توسط یک هکر حریم خصوصی کاربران را نقض کنند. برخلاف تصور عمومی، هک کردن دوربین و میکروفن موبایل و لپ تاپ کار چندان غیرممکنی نیست.
حالا مرکز ماهر (سازمان فناوری اطلاعات ایران) به تازگی اعلام کرده که یک نقض طراحی UX در مرورگر محبوب گوگل کروم (که در بین کاربران ایرانی هم بسیار مورد استفاده قرار میگیرد) باعث شده که برخی سایتهای مخرب بتوانند صدا و یا تصویر کاربر را بدون هیچگونه هشدار و اعلامی ضبط کنند.
این آسیبپذیری مدتهاست که به گوگل گزارش شده اما این شرکت زیربار نا امن بودن این مروگر اینترنتی نرفته است. بر اساس اطلاعات مرکز ماهر این مشکل در نسخه 57.0.2987 مرورگر گوگل کروم و سیستم عامل ویندوز 10 نسخه 64 بیتی بیشتر مشاهده شده است.
«بهرنگ بینش»، کارشناس امنیت اطلاعات درباره چنین آسیبهایی اطلاعات بیشتری به دیجیاتو میدهد:
دراینکه این موارد خطرساز هستند شکی نیست اما این نکته را باید در نظر داشت که در اکثر موارد دسترسیها توسط خود کاربر به مرورگر و سایتها داده میشود. شاید شما هم حین استفاده از برخی سایتها دسترسیهای خاصی به گوگل کروم داده باشید. مثلا برای عموم سایتهای سفارش غذای آنلاین شما میتوانید این دسترسی را به گوگل کروم خود بدهید تا سایت مذکور از موقعیت مکانی شما (لوکیشن) آگاه شود تا بتواند رستورانهای اطرافتان را نشانتان بدهد.
وی در ادامه به پروتکل WebRTC اشاره میکند که پایه اصلی ارتباطات ویدویی و صوتی مرورگرها بر مبنای آن انجام میشود. او همچنین به فواید دسترسی مرورگر به دوربین اشاره میکند و میگوید:
البته این تکنولوژی هم مثل سایر تکنولوژیها هم زاویه روشن دارد و هم زاویه تاریک. دسترسیهای اینچنینی می تواند ویدیو چتهای گوناگون سایتهای مختلف را فعال کند و یا کارکرد بسیاری از سایتها مثل Google Hangouts را برای کاربران راحتتر بسازد. اما خطر نقض حریم خصوصی در کمین این دسترسی نیز وجود دارد؛ خطری که با همین آسیب جدید کشف شده در مرورگر کروم دیده میشود.
اﺟﺎزه کلی از کاربر برای موارد ضبط صدا و تصویر ﻓﻘﻂ ﻳﻜﺒﺎر از او پرسیده میشود که همین مساله احتمال خطای پذیرش آن را بالا میبرد. گرچه در برخی مرورگرها نمادهایی وجود دارد تا کاربر متوجه شود که صدا و تصویرش در حال ضبط شدن است.
اما آسیبی که مرکز ماهر از آن سخن میگوید مشکلی اساسی تر از حرفهای این کارشناس اطلاعات دارد. این مشکل بدون هشدار دادن به کاربر مشغول به ضبط تصاویر و صدا میشود و هیچ نشانهای هم از ضبط بصری آن به چشم نمیخورد.
بر اساس گفتههای مرکز ماهر این حملات از صفحات pop-under به کاربر وارد میشود که برعکس صفحات آزاردهنده pop-up در یک سربرگ (TAB) جداگانه باز میشوند و فهمیدن حضور آنها برای کاربر سخت است به طوری که در بسیاری از موارد متوجه ظاهر شدن آن نمیشود.
همانطور که گفته شد گوگل این مشکل را به عنوان یک آسیبپذیری از سمت مرورگر خود قبول نکرده و از همین رو تنها میتوان نکاتی را انجام دادتا شدت دچار شدن به این موضوع کمتر شود. مرکز ماهر غیرفعال کردن پروتکل WebRTC را پیشنهاد کرده که بهرنگ بینش نحوه انجام آن را به دیجیاتو در دو مرورگر محبوب ایرانیان به این شکل بیان میکند:
در مرورگر فایرفاکس باید در قسمت آدرس مرورگر عبارت about:config را بنویسیم و سپس وضعیت media.peerconnection.enabled به گزینه false تغییر دهیم. برای مرورگر کروم که بیشتر این مشکل را دارد نیز میتوان از افزونهای به نام WebRTC Network Limiter استفاده کرد که توسط آن امکان ایجاد محدودیت برای این پروتکل میسر میشود.
زدن برچسب بر روی دوربین لپتاپها هم یکی دیگر از مواردیست که کارشناسان آن را به کاربران توصیه میکنند و حتی گجتهایی برای این امر ساخته شده ولی این نکته را باید در نظر داشت که زدن این برچسبها فایدهای برای ضبط صدا ندارد و صرفا جلوگیری از ضبط تصاویر را با خود به همراه دارند. اصولا بهتر است کابران در حین وبگردی اولا از سایتهای معتبر بازدید کنند و در ثانی اگر با باز شدن بیسروصدای پنجرههای مختلفی در حین دیدن یک سایت مواجه شدند، آنها را بدون توجه به نوشتههایشان سریعا ببندند.
دیدگاهها و نظرات خود را بنویسید
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.
جالبه همش هم اسم اسرائیل
حالا فرضا بردارن عکس مارو
من برام اهمیتی نداره اسرائیل برداره...میخواد چیکار کنه
فقط داخلیا نفوذ نکنن
اونور سیخ تو پاچه ما نمیکنه اینوریا مشکلن
حریم خصوصی اینور اونور نداره
هیچکس نباید به اطلاعات خصوصی افراد دسترسی داشته باشه