Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Ukryty moduł w Chrome włącza po cichu audio capture

18 czerwca 2015, 07:54 | W biegu | komentarzy 14

Ciekawe odkrycie opublikowane w bugtrackerze Debiana. Jeden z użytkowników zgłosił fakt, że po upgrade przeglądarka dociąga w tle a następnie ładuje moduł, dla którego nie ma dostępnych źródeł:

After upgrading chromium to 43, I noticed that when it is running and immediately after the machine is on-line it silently starts downloading „Chrome Hotword Shared Module” extension, which contains a binary without source code. There seems no opt-out config

Dalej okazało się. że moduł ten nie jest widoczny na liście rozszerzeń, a jego szczegóły konfiguracyjne pokazują taką ciekawą rzecz:

chrome://voicesearch

...
Audio Capture Allowed	Yes
...

…co dalej słusznie jest komentowane:

The fact that Audio Capture Allowed is set to yes, and that both the extension and the shared module are marked as “enabled” are definitely bothering me.

…oraz łączone z funkcjonalnościąOK Google’. Opis buga można też znaleźć w bugtrackerze chromium.

OK Google, usuń mi wszystkie szpiegujące dodatki :P

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Dziekuje za info…

    [root@wishmasus andrzejl]# pacman -R -c -n chromium
    checking dependencies…

    Packages (1) chromium-43.0.2357.125-2

    Total Removed Size: 170.35 MiB

    :: Do you want to remove these packages? [Y/n]
    (1/1) removing chromium [##########################################] 100%
    [root@wishmasus andrzejl]# rm -Rf /home/andrzejl/.config/chromium/
    [root@wishmasus andrzejl]# rm -Rf /home/andrzejl/.cache/chromium/
    [root@wishmasus andrzejl]#

    Pozdrawiam.

    Andrzej

    Odpowiedz
    • Ale już chyba spaczowali ;-) W końcu jest to zgłoszone jako bug i w chromium i w debianie :P

      Odpowiedz
      • Uzywam Firefoxa. Chrome / Chromium trzymam na dysku tylko do testow jesli w Firefoxie cos nie trybi i proboje zweryfikowac czy to strona czy przegladarka ale do tego rownie dobrze moge wykorzystac w3m albo inne cudo.

        We don’t need no stinking google products… ;)

        Pozdrawiam.

        Andrzej

        Odpowiedz
    • Itachi

      Mowa jest o Chrome, a nie Chromium…

      Odpowiedz
      • Tak, ale np. za Ubuntu: „Chromium serves as a base for Google Chrome, which is Chromium rebranded (name and logo) with very few additions such as usage tracking and an auto-updater system.”
        Zaczęło się od Chromium i niekoniecznie od security ale od tematu, że opensource nie powinien ładować / dociągać binarek i ich uruchamiać. I tu się położyła cała idea Linuksa (czy Debiana dokładniej).

        Odpowiedz
        • kez87

          To Debian z obowiązkowym systemd jeszcze jest bezpieczny ? Na pewno ?

          Ale Google nie jest złe.”Don’t be evil” no nie ? :P :D

          Odpowiedz
  2. marcin

    To nie do końca binarka tylko Native Client, co oznacza, że nie może sobie robić czego chce w systemie, a cała komunikacja idzie przez przeglądarkę.

    Odpowiedz
    • Wiesz, trochę się z tym zamieszania zrobiło. Na tym linkowanym bugtrackerze debiana niektórzy nawet sugerują że się powinno ogłosić coś w rodzaju kompromitacji repo debiana / Debian Security Announce. Choć to chyba już przesada.

      Jeden z cytatów:

      „Since no one really know which binaries have been downloaded there and
      what they actually do, and since it cannot be excluded that it was
      actually executed, such systems are basically to be considered
      compromised.”

      Odpowiedz
  3. Grzegorz

    Chciałem mieć Flasha, ale chyba „pomęczę” się z FF.

    root@debian:~# apt-get purge chromium
    Czytanie list pakietów… Gotowe
    Budowanie drzewa zależności
    Odczyt informacji o stanie… Gotowe
    Następujące pakiety zostaną USUNIĘTE:
    chromium*
    0 aktualizowanych, 0 nowo instalowanych, 1 usuwanych i 1 nieaktualizowanych.
    Po tej operacji zostanie zwolnione 149 MB miejsca na dysku.
    Kontynuować? [T/n] T
    (Odczytywanie bazy danych … 167564 pliki i katalogi obecnie zainstalowane.)
    Usuwanie pakietu chromium (43.0.2357.65-1~deb8u1) …
    Czyszczenie z plików konfiguracyjnych pakietu chromium (43.0.2357.65-1~deb8u1) …
    Przetwarzanie wyzwalaczy pakietu desktop-file-utils (0.22-1)…
    Przetwarzanie wyzwalaczy pakietu mime-support (3.58)…
    Przetwarzanie wyzwalaczy pakietu man-db (2.7.0.2-5)…
    Przetwarzanie wyzwalaczy pakietu hicolor-icon-theme (0.13-1)…
    Przetwarzanie wyzwalaczy pakietu menu (2.1.47)…

    Odpowiedz
    • Karol

      Zainstaluj sobie freshplayerplugin i będziesz miał w firefoksie najnowszego flasha.

      Odpowiedz
  4. Adam

    Brzydko bo brzydko ale może warto wspomnieć, że moduł nie jest aktywny dopóki się go nie aktywuje…

    Odpowiedz
    • Ja bym tam 100% pewności nie miał, że to takie 'grzeczne’, szczególnie patrząc na te komentarze debianowe. Ludzie z Chrome/Chromium uspokajają, ale mi brakuje jeszcze pełnej analizy / pokazania co ta binarka rzeczywiście robi / bez żadnego opuszczania niewygodnych części / itp.

      I też ten cięty kolega z debian bugtrakera pisze:
      „And I guess no one can prove that this blob didn’t contain any rootkit,
      and even if – the rootkit’ed version may have been just distributed to
      certain people.”

      i w kolejnym poście:

      „Well, as I’ve said,.. no one can really tell what it is, since it’s a
      blob,… and even if one would assume that someone could correctly
      reverse engineer it, or reproducibly build it from public sources,
      there’s absolutely no guarantee that malicious software might have been
      just distributed to selected people.”

      Odpowiedz
    • Google lubi „wymuszać” aktywację niektórych rzeczy. ;-/ Poza tym, sprawa jest o tyle ciekawa, że nie dotyka tego jednego modułu w tym jednym programie. Chodzi ogólnie o sposób aktualizacji/dystrybucji oprogramowania (pluginy to oprogramowanie), który widzimy. W zgłoszeniu błędu w Debianie już zostały wskazane kolejne potencjalnie niebezpieczne miejsca w Chromium. Wspomniany jest też Firefox i OpenH246.

      W każdym razie dobrze, że wyszło.

      Odpowiedz
  5. To, że coś ma „Audio Capture Allowed Yes” jeszce nie oznacza, że nagrywa co mu się podoba i to bez zgody użytkownika. Więc nie popadajmy przedwcześnie w paranoję.

    Odpowiedz

Odpowiedz