هشدار مرکز ماهر: مراقب آسیب پذیری کروم باشید

دوربین و میکروفون های تعبیه شده بر روی انواع موبایل و لپتاپ جدا از کارکرد اصلی که دارند، گاها میتوانند امنیت کاربران را به خطر بیاندازند و بدون اطلاع آنها، توسط یک هکر حریم خصوصی کاربران را نقض کنند. برخلاف تصور عمومی، هک کردن دوربین و میکروفن موبایل و لپ تاپ کار چندان غیرممکنی نیست.

حالا مرکز ماهر (سازمان فناوری اطلاعات ایران) به تازگی اعلام کرده که یک نقض طراحی UX در مرورگر محبوب گوگل کروم (که در بین کاربران ایرانی هم بسیار مورد استفاده قرار می‌گیرد) باعث شده که برخی سایت‌های مخرب بتوانند صدا و یا تصویر کاربر را بدون هیچ‌گونه هشدار و اعلامی ضبط کنند.

این آسیب‌پذیری مدت‌هاست که به گوگل گزارش شده اما این شرکت زیربار نا امن بودن این مروگر اینترنتی نرفته است. بر اساس اطلاعات مرکز ماهر این مشکل در نسخه 57.0.2987 مرورگر گوگل کروم و سیستم عامل ویندوز 10 نسخه 64 بیتی بیشتر مشاهده شده است.

«بهرنگ بینش»، کارشناس امنیت اطلاعات درباره چنین آسیب‌هایی اطلاعات بیشتری به دیجیاتو می‌دهد:

دراینکه این موارد خطرساز هستند شکی نیست اما این نکته را باید در نظر داشت که در اکثر موارد دسترسی‌ها توسط خود کاربر به مرورگر و سایت‌ها داده می‌شود. شاید شما هم حین استفاده از برخی سایت‌ها دسترسی‌های خاصی به گوگل کروم داده باشید. مثلا برای عموم سایت‌های سفارش غذای آنلاین شما می‌توانید این دسترسی را به گوگل کروم خود بدهید تا سایت مذکور از موقعیت مکانی شما (لوکیشن) آگاه شود تا بتواند رستوران‌های اطرافتان را نشانتان بدهد.

وی در ادامه به پروتکل WebRTC اشاره می‌کند که پایه اصلی ارتباطات ویدویی و صوتی مرورگرها بر مبنای آن انجام می‌شود. او همچنین به فواید دسترسی مرورگر به دوربین اشاره می‌کند و می‌گوید:

البته این تکنولوژی هم مثل سایر تکنولوژی‌ها هم زاویه روشن دارد و هم زاویه تاریک. دسترسی‌های اینچنینی می تواند ویدیو چت‌های گوناگون سایت‌های مختلف را فعال کند و یا کارکرد بسیاری از سایت‌ها مثل Google Hangouts را برای کاربران راحت‌تر بسازد. اما خطر نقض حریم خصوصی در کمین این دسترسی نیز وجود دارد؛ خطری که با همین آسیب جدید کشف شده در مرورگر کروم دیده می‌شود.

اﺟﺎزه کلی از کاربر برای موارد ضبط صدا و تصویر ﻓﻘﻂ ﻳﻜﺒﺎر از او پرسیده می‌شود که همین مساله احتمال خطای پذیرش آن را بالا می‌برد. گرچه در برخی مرورگرها نمادهایی وجود دارد تا کاربر متوجه شود که صدا و تصویرش در حال ضبط شدن است.

اما آسیبی که مرکز ماهر از آن سخن می‌گوید مشکلی اساسی تر از حرف‌های این کارشناس اطلاعات دارد. این مشکل بدون هشدار دادن به کاربر مشغول به ضبط تصاویر و صدا می‌شود و هیچ نشانه‌ای هم از ضبط بصری آن به چشم نمی‌خورد.

بر اساس گفته‌های مرکز ماهر این حملات از صفحات pop-under به کاربر وارد می‌شود که برعکس صفحات آزاردهنده pop-up در یک سربرگ (TAB) جداگانه باز می‌شوند و فهمیدن حضور آنها برای کاربر سخت است به طوری که در بسیاری از موارد متوجه ظاهر شدن آن نمی‌شود.

همان‌طور که گفته شد گوگل این مشکل را به عنوان یک آسیب‌پذیری از سمت مرورگر خود قبول نکرده و از همین رو تنها می‌توان نکاتی را انجام دادتا شدت دچار شدن به این موضوع کمتر شود. مرکز ماهر غیرفعال کردن پروتکل WebRTC را پیشنهاد کرده که بهرنگ بینش نحوه انجام آن را به دیجیاتو در دو مرورگر محبوب ایرانیان به این شکل بیان می‌کند:

در مرورگر فایرفاکس باید در قسمت آدرس مرورگر عبارت about:config را بنویسیم و سپس  وضعیت media.peerconnection.enabled  به گزینه  false تغییر دهیم. برای مرورگر کروم که بیشتر این مشکل را دارد نیز می‌توان از افزونه‌ای به نام WebRTC Network Limiter استفاده کرد که توسط آن امکان ایجاد محدودیت برای این پروتکل میسر می‌شود.

زدن برچسب بر روی دوربین لپ‌تاپ‌ها هم یکی دیگر از مواردیست که کارشناسان آن را به کاربران توصیه می‌کنند و حتی گجت‌هایی برای این امر ساخته شده ولی این نکته را باید در نظر داشت که زدن این برچسب‌ها فایده‌ای برای ضبط صدا ندارد و صرفا جلوگیری از ضبط تصاویر را با خود به همراه دارند. اصولا بهتر است کابران در حین وبگردی اولا از سایت‌های معتبر بازدید کنند و در ثانی اگر با باز شدن بی‌سروصدای پنجره‌های مختلفی در حین دیدن یک سایت مواجه شدند، آن‌ها را بدون توجه به نوشته‌هایشان سریعا ببندند.