Google が「脆弱性ではない」と主張する Chrome の「欠陥」

2017.06.26

昨年、動画配信される映画を不正コピーできる脆弱性が Google Chrome で発見されたことを覚えていらっしゃるでしょうか。


今回の問題は、私たちユーザーがハッカーの映画の出演者になってしまう可能性があります。皆さんは映画『サンセット大通り』の女優のようにクローズアップを撮られる準備はできているでしょうか? なぜなら、インジケーターランプが点灯することなく、こっそり音声と動画を記録できてしまう「欠陥」が Google Chrome に存在しているからです。




BleepingComputer(リンク先:英語) の報告によると、AOL の Web 開発者 Ran Bar-Zik 氏が WebRTC コードを実行する Web サイトを調査していた際にこの問題を発見しました。ただし、Google 側はこれはセキュリティ上の脆弱性ではないと述べています。


WebRTC は、インターネット上で P2P (ピアツーピア) 接続を介してリアルタイムで音声/動画のコンテンツをストリーミングするためのプロトコルです。


「これはセキュリティ上の欠陥ではない」という人は、ユーザーがサイトにアクセスを許可していなければ、そのサイトは音声や動画にアクセスできない、と主張します。Bar-Zik 氏が説明(リンク先:英語)しているように、音声/動画をストリーミングする許可を得たサイトは、音声/動画コンテンツを記録する JavaScript コードを実行し、そのコンテンツを WebRTC ストリームの他の参加者に送信することができます。


JavaScript が実行されるタブは、許可が与えられたタブと同じである必要もありません。WebRTC が記録中であることを示す赤い点が表示されない別のタブでも記録が可能です。したがって、許可が与えられた後は、サイトはいつでも (ハッカーの要求に応じて) ユーザーを盗聴することができます。


BleepingComputer によると、この記録処理は JavaScript ベースの MediaRecorder API を介して実行されます。


Bar-Zik 氏がこの問題を Google に報告したところ、同日中に回答がありました。Google の主張は、記録中であることを示す赤い丸と点のアイコンが表示されない Chrome バージョンがあるため、攻撃を阻止するにはアクセス許可のポップアップを使用する必要がある、というものでした。Google の回答は以下のとおりです。


これは実際にはセキュリティ上の脆弱性ではありません。たとえば、モバイルデバイス上の WebRTC は、ブラウザにインジケーターを一切表示しません。赤い点は、Chrome の UI スペースに空きがある場合にデスクトップ上でのみ表示可能な最善策です。しかし、Google は現在この状況を改善する方法を検討中です。


Bar-Zik 氏は Google の回答に納得しておらず、許可を求めるポップアップが次々表示されることにうんざりして [OK] をクリックしてしまうユーザーを騙すのは極めて簡単だ、と語っています。


Bar-Zik 氏は「実際の攻撃はユーザーには分かりにくい方法で実行されるものだ」と語っています。BleepingComputer の記事を以下に引用します。


たとえば、Bar-Zik 氏は、攻撃者が非常に小さなポップアップを使用して、攻撃コードを起動する可能性があると主張しています。そのコードによって、カメラが 1 ミリ秒の間にユーザーの画像を撮影したり、ユーザーの動きや近くの音声を数時間記録したりする可能性があります。


ユーザーがツールバーに表示されているポップアップに気付かなければ、攻撃者が音声や動画のコンポーネントにアクセスしていることをユーザーに視覚的に知らせるインジケーターは他にありません。最も巧妙な攻撃シナリオは、ポップアップが平凡な広告を装っている場合です。ユーザーが広告のポップアップを閉じなかった場合、攻撃者はユーザーの PC を監視し続けることができます。


Bar-Zik 氏によれば、攻撃者は記録許可を不正に取得するために Web サイトを作成する必要さえありません。すでに音声と動画へのアクセスが許可されている正規の Web サイトで、クロスサイトスクリプティング (XSS) の脆弱性を悪用するだけで済みます。


Bar-Zik 氏がユーザーには影響を及ぼさないデモ(リンク先:英語)を公開しているので、欠陥か欠陥ではないのかは各自の判断にお任せします。このデモは、ユーザーに許可を要求し、ユーザーが [OK] をクリックするとポップアップを表示し、20 秒間音声を記録し、記録したファイルのダウンロードリンクを表示するものです。


PoC (概念実証) コードは、こちらからもダウンロードできます。


引用元

おすすめの記事はこちら