Mirá cómo un fallo en Chrome permite grabar tu webcam y micrófono sin que lo sepas

Más de una vez un sitio te habrá pedido permisos para acceder a tu webcam y micrófono, es algo que requiere de autorización especial salvo que hayas bloqueado manualmente ambos periféricos. Cuando estos dispositivos se activan, aparece un punto rojo en la pestaña responsable de esa activación. Hasta ahí todo normal, pero resulta que no lo es tanto: una investigadora de AOL descubrió un error en Google Chrome que permite saltar ese indicador visual e iniciar la grabación de audio y video sin que lo sepas.

Muchas tenemos la cámara de nuestra máquina tapada con cinta, deshabilitada desde la BIOS y configuraciones para los mics. No, esto no es paranoia, realmente dudo de que alguien me quiera espiar a mí, es seguridad e intimidad: no me interesa que nadie pueda acceder a mi vida si yo no se lo permito, y por eso dispongo medidas que eviten este tipo de situaciones. ¿Son infalibles? Para nada, pero suman.

En el universo de las notebooks, netbooks y demás portátiles la protección requiere de atención e ingenio, ya que estos dispositivos están integrados a los equipos. La única forma de libertarte 100% de las posibilidades de que te invadan es quitar esos periféricos del equipo, el asunto es que no siempre es simple hacerlo e incluso podemos dañar la máquina, eso hace que se recurran a técnicas más ‘rústicas’ como la cinta adhesiva. También es cierto que muchos servicios dan un uso legítimo al micrófono y la webcam, por ejemplo Midomi, que es una web para identificar canciones cantando. Sólo requieren que el navegador sea compatible y Chrome es uno de esos navegadores.

El conflicto que nos convoca hoy es que la versión más reciente del navegador tiene un error en el indicador visual que nos informa sobre el acceso a la webcam y al micrófono (¿viste cómo una estupidez como un punto rojo en una pestaña puede exponernos de una forma enorme?). Sí, si alguna web está usando tu mic y cámara sin tu permiso (como podría ser una web de pornografía para obtener material de personas masturbándose frente a la computadora y autoabastecer el sitio o extorsionarlas). Según publicó Ran Bar-Zik, desarrolladora de AOL, se topó con el bug mientras trabajaba en un sitio que ejecuta código WebRTC (el protocolo que se encarga de dar soporte al streaming de audio y vídeo en tiempo real). En un escenario normal, deberías autorizar la activación de los dispositivos y el puntito rojo en cuestión aparecería en la pantalla, pero Bar-Zik detectó que el código para realizar grabaciones no necesita ser ejecutado en la pestaña en que pidió permiso. En lugar de esto, Chrome habilita el acceso a todo un dominio, por lo que un simple popup en segundo plano es suficiente para grabar la actividad de una usuaria y evitar que ella vea el indicador rojo en la pestaña que lo ejecuta.

Para probar su teoría Bar-Zik realizó esta prueba de concepto (que es una forma de probar una hipótesis). Si querés, podés participar del experimento y ver con qué facilidad alguien puede apropiarse de tu vida. La hacker especializada comentó que ha advertido a Google de esta situación, pero que la respuesta fue verdaderamente preocupante, ya que la gente de Mountain View no lo ve como un inconveniente de seguridad porque el sitio en cuestión necesariamente debe solicitar autorización para acceder a los periféricos. Algo así como decirle a una vecina que deja la ventana de su casa abierta y que te contesten que nadie entrará porque la puerta está con llave, candado y pasador. Lo más interesante es que la versión Móvil de Chrome ni siquiera muestra el punto rojo, por lo que cualquiera puede estar mirándote ahora con un permiso que diste sin pensar (o pensando que se trataba de otra cosa). Advirtieron que pueden ‘optimizar’ este fallo, aunque dejaron en claro que no es una urgencia para la gigante de la trata digital de personas.

¿Qué hacer? Bueno, ponerse una web de porno (o de contactos como Chatroulette u Omegle) y filmar a todas las usuarias aprovechando este Bug puede ser un gran negocio y una forma de lograr que miles de personas luego demanden a la corporación, aunque claro, también lo harán con nosotras, por lo que si no optamos por escondernos para extorsionar a las personas, lo mejor es dejar de usar Chrome para no ser víctimas de este tipo de situaciones. Firefox no sólo es un mejor navegador, sino que además trabaja para sus usuarias.

A desinstalar, a desinstalar.

¡Happy Hacking!

-Share this page-
submit to reddit Hire a Professional Programmer

Periodista, ex directora de algunos medios, ex docente, ex trabajadora, ex uberante. Productora musical, militante social, murguera, programadora, diseñadora. Hacker. @PabloLozano13

compartí, discutí, comentá

Deja un comentario

Loading Facebook Comments ...