Spyware zamiast przeglądarki. Krytyczna luka w Chromium
Autor. Shutterstock
Czy do monitorowania działalności internautów potrzebne jest zakupienie specjalnego spyware? Okazuje się, że to sposób, który nie kosztuje ani grosza. Co więcej, znajduje się na większości komputerów na świecie. Mowa bowiem o… przeglądarkach opartych na Chromium.
Od wielu lat można usłyszeć ostrzeżenia przed złośliwym oprogramowaniem, które ma na celu podglądanie działalności internautów. Cyberprzestępcy działają zarówno w sferze mobilnej, jak i stacjonarnej.
Na naszych łamach przedstawialiśmy pomysł, na jaki wpadli północnokoreańscy hakerzy, podszywający się pod pożyteczne programy na Androida. Odpowiednie funkcje pozwalające na podglądanie użytkowników były również ukryte w złośliwych aplikacjach na komputery.
Pułapka w oparciu o JavaScript
Tymczasem jak wskazują ustalenia eksperta cyberbezpieczeństwa mr.d0x, cytowanego przez Cybernews, nie są potrzebne żadne specjalne programy, aby monitorować aktywność użytkownika. Do tego celu cyberprzestępca może bowiem wykorzystać przeglądarkę opartą o Chromium.
Jak konkretnie to działa? Atakujący uruchamia na przejętym sprzęcie Chrome, Edge, Brave lub Operę w trybie bez interfejsu graficznego (headless mode) lub w bardzo małym oknie, niewidocznym dla użytkownika. Następnie wchodzi na specjalnie przygotowaną stronę, która zawiera szkodliwy kod JavaScript umożliwiający mu prowadzenie działań szpiegowskich.
Czytaj też
Podglądanie monitora i kamery
W tym punkcie haker, korzystając z wbudowanej w Chromium opcji włączenia flag, ma dwie możliwości co do dalszych czynności. Pierwszą jest komenda dotycząca przechwytywania ekranu, —auto-select-desktop-capture-source, umożliwiająca wybranie części lub całego monitora do przechwycenia.
Drugą zaś flagą jest automatyczne przechwytywanie obrazu i dźwięku za pomocą mikrofonu i kamerypodłączonych do komputera - —auto-accept-camera-and-microphone-capture. Co ważne, obie opcje są możliwe również wtedy, gdy okno przeglądarki nie jest widoczne.
W końcu, atakujący może zawrzeć w kodzie JavaScript funkcję captureScreenshot, która byłaby wykonywana co kilka sekund. Wykonane w ten sposób zrzuty ekranu zawierające widok ekranu użytkownika lub jego kamery internetowej mogą zostać przekonwertowane do Base64, a następnie przekazane na zewnętrzny serwer należący do aktora zagrożeń.
Czytaj też
Chrome z aktualizacją
Istotnym elementem jest to, że wszystkie działania wykonywane są bez jakiegokolwiek komunikatu dla użytkownika czy aktywności z jego strony. Nie ma możliwości zauważenia, że jego działania na komputerze są monitorowane. Jedynym wyjątkiem w tym kontekście jest światło przy kamerze internetowej, sygnalizujące aktywność urządzenia.
Co ciekawe, w poniedziałek przed publikacjami eksperta, Google opublikowało aktualizację dla przeglądarki Chrome dotyczącą podatności związanej z silnikiem V8 JavaScript. Opis podany przez The Register wskazuje, że w ramach ataku wykorzystywano specjalnie przygotowaną stronę internetową, zaś hakerzy mieli możliwość „ujawnienia poufnych danych lub wykonania dowolnego kodu”.
Nie wiadomo jednak, czy rzeczywiście jest to ten sam problem, co znaleziony przez mr.d0xa.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
SK@NER: Jak przestępcy czyszczą nasze konta?