Cuando solemos hablar de bugs y fallas de seguridad, por lo general solemos hacer alusión a cosas que no son tan graves después de todo. Sin embargo, cada cierto tiempo, aparece una que otra eventualidad que nos hace temer un poco.
Cuando usamos Google Chrome y una página necesita tener acceso a la cámara o al audio generalmente nos pregunta (si esta con las configuraciones por defecto) y nosotros tenemos que autorizar el uso de la cámara y micrófono.
Sin embargo, un investigador de AOL llamado Ran Bar-Zik encontró un error en Chrome que permite a terceras partes grabar audio y video sin consentimiento del usuario y sin que este se dé cuenta.
Cada sitio web que trata de acceder a la webcam y el micrófono necesita contar con la autorización adecuada dentro de Google Chrome, salvo que el usuario haya bloqueado ambas cosas manualmente. Cuando estos dispositivos son activados, aparece un pequeño punto rojo en la pestaña responsable.
La falla está en el código que maneja el protocolo WebRTC y la forma en la que el navegador notifica al usuario que se está haciendo uso de la cámara y micrófono, hay que recordar que en móviles esta notificación no existe, ni en el navegador ni en el dispositivo.
Para aquellos que no lo conocen, WebRTC es el protocolo encargado de brindar soporte al streaming de audio y vídeo en tiempo real. En una situación normal, el sitio web solicita permiso al usuario, y una vez que activa los dispositivos, un pequeño punto rojo aparece en la pestaña.
Bar-Zik detectó que el código para realizar grabaciones no necesita ser ejecutado bajo la pestaña que pidió permiso en primer lugar. Lo que hace Google Chrome es habilitar el acceso a todo un dominio, por lo tanto, un simple popup en segundo plano es más que suficiente para grabar la actividad del usuario, y evitar el indicador rojo en la pestaña.
En este ejemplo, el popup es el que está grabando audio y vídeo, pero la pestaña principal no reporta nada…
Ahora la parte mala: un encargado de Chromium dijo al investigador que «esta no es una vulnerabilidad de seguridad realmente. Por ejemplo, el WebRTC en un equipo móvil no muestra un indicador en el navegador. El punto rojo es el primer mejor esfuerzo que solo funciona en escritorio, cuando tenemos un espacio disponible en la interfaz de usuario de Chrome. Dicho esto, estamos buscando maneras de mejorar esta situación».
Bar-Zik creó una prueba de concepto aquí para que todos los usuarios interesados puedan evaluar lo que sucede, y si bien ya reportó el bug a Google, la respuesta fue un poco fría.
Mountain View no ve al uso de popups para grabar contenido y rodear al indicador como un inconveniente de seguridad porque el sitio necesita sí o sí de la autorización previa del usuario, y Google Chrome ni siquiera cuenta con dicho indicador en su versión móvil, aunque admitió que la situación puede ser «optimizada». En otras palabras, lo más probable es que haya un ajuste, sin embargo, no se trata de algo urgente.
De momento aún no se ha liberado una actualización que solucione este detalle, habrá que esperar un poco para recibir la actualización, si nos preocupa que usen nuestra cámara y micrófono lo más recomendable es poner una cinta en el lugar dichos dispositivos.