USD 65.99 ЕВРО 74.9

Google и Mozilla необходимо ограничить способность браузеров следить за пользователями

Экономика

Исследователи предупреждают, что веб-сайты и приложения, сообщающиеся через WebRTC, могут иметь более широкий доступ к микрофонам и камерам компьютеров, чем пользователи осознают.

Производителям браузеров необходимо предупреждать пользователей, когда веб-сайты и приложения могут их смотреть и слушать, говорят европейские исследователи в области безопасности.

В настоящее время, Chrome и Firefox полагаются на «грубые разрешения» для предоставления сайту доступа к камере и микрофону пользователей для связи через WebRTC, говорят исследователи из финансируемой Евросоюзом группы Strews.

«Браузеры обеспечивают лишь грубые разрешения, но просят их при старте конкретного приложения, что может привести пользователя к убеждению, что он дал специальное разрешение, хотя на самом деле он дал широкий круг разрешений», сообщается в докладе.

«Разрешения касаются сервера, так что если тот же сервер предлагает другое, вредоносное приложение, пользователь может быть введен в заблуждение и открыть его. При этом, приложение будет автоматически иметь доступ к камере и микрофону».

WebRTC позволяет встраивать видео-чат в веб-сайты и приложения без использования плагинов, и аналитики Gartner предсказывают, что это «значительно нарушит» рынок голосовых услуг в ближайшие годы.

Сайты и приложения, использующие WebRTC, сохраняют разрешение на доступ к микрофону и камере, пока браузер не будет закрыт в Firefox и, если страница использует HTTPS в Chrome.
Исследователи опасаются, что эти разрешения предоставляют возможности для слежки за пользователями без их ведома, особенно с планшета или телефона, где приложения работают в фоновом режиме.

«На мобильном устройстве может быть не так очевидно определить, что браузер запущен, или как его остановить. Таким образом, пользователь может остановить веб-приложение (закрыть окно или жестом свайпа убрать его с экрана), но браузер может быть на самом деле запущен, и разрешение остается в силе», говорится в докладе.

Chrome предоставляет постоянное разрешение на сайтах и приложениях для доступа к микрофон и камеру, если веб-страница отображается через HTTPS. Такая перспектива тоже беспокоит исследователей.

«В случае Chrome, разрешения являются постоянными (если приложение загружается через ссылку HTTPS) и, таким образом, остаются в силе, когда пользователь возвращается позже, чтобы снова использовать приложение. Приложение может эволюционировать в нечто, что не понравится пользователю, или доменное имя может измениться и приложение будет заменено на совершенно другое».

В докладе также подчеркиваются преимущества WebRTC для тех, кто озабочен «всеобъемлющим мониторингом», поскольку эта технология позволяет прямую связь между браузерами, и эта связь будет зашифрована по умолчанию — посредством Datagram Transport Layer Security (DTLS).

Тем не менее, модель разрешений в Chrome и Firefox достаточно открыта для злоупотреблений.
«Если … вы озабочены персональной свободой от всепроникающего контроля, то вы должны быть обеспокоены WebRTC, так как это означает, что браузеры по умолчанию включают в себя возможность слушать и наблюдать пользователей, а также используют модель разрешений, которая, скорее всего, не понятна многими пользователям», говорится в докладе.

«Кроме того, WebRTC-медиа, хотя и защищены с помощью DTLS, часто не могут быть общаться только между двумя браузерами, но между браузером и одним или более серверами, на которых используется обычный LI (Legal Intercept), значит перехват можно реализовать».
Кроме того, поскольку WebRTC предназначен для обеспечения прямой связи браузера с браузером, какой браузер будет отправлять видео и аудио пользователя, определяется на стороне сервера.

Встроенная поддержка WebRTC пока не доступна в Internet Explorer и Safari.

Google и Mozilla пока не прокомментировали данный доклад.