Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ukryty moduł w Chrome włącza po cichu audio capture
Ciekawe odkrycie opublikowane w bugtrackerze Debiana. Jeden z użytkowników zgłosił fakt, że po upgrade przeglądarka dociąga w tle a następnie ładuje moduł, dla którego nie ma dostępnych źródeł:
After upgrading chromium to 43, I noticed that when it is running and immediately after the machine is on-line it silently starts downloading „Chrome Hotword Shared Module” extension, which contains a binary without source code. There seems no opt-out config
Dalej okazało się. że moduł ten nie jest widoczny na liście rozszerzeń, a jego szczegóły konfiguracyjne pokazują taką ciekawą rzecz:
chrome://voicesearch
... Audio Capture Allowed Yes ...
…co dalej słusznie jest komentowane:
The fact that Audio Capture Allowed is set to yes, and that both the extension and the shared module are marked as “enabled” are definitely bothering me.
…oraz łączone z funkcjonalnością ’OK Google’. Opis buga można też znaleźć w bugtrackerze chromium.
OK Google, usuń mi wszystkie szpiegujące dodatki :P
–ms
Dziekuje za info…
[root@wishmasus andrzejl]# pacman -R -c -n chromium
checking dependencies…
Packages (1) chromium-43.0.2357.125-2
Total Removed Size: 170.35 MiB
:: Do you want to remove these packages? [Y/n]
(1/1) removing chromium [##########################################] 100%
[root@wishmasus andrzejl]# rm -Rf /home/andrzejl/.config/chromium/
[root@wishmasus andrzejl]# rm -Rf /home/andrzejl/.cache/chromium/
[root@wishmasus andrzejl]#
Pozdrawiam.
Andrzej
Ale już chyba spaczowali ;-) W końcu jest to zgłoszone jako bug i w chromium i w debianie :P
Uzywam Firefoxa. Chrome / Chromium trzymam na dysku tylko do testow jesli w Firefoxie cos nie trybi i proboje zweryfikowac czy to strona czy przegladarka ale do tego rownie dobrze moge wykorzystac w3m albo inne cudo.
We don’t need no stinking google products… ;)
Pozdrawiam.
Andrzej
Mowa jest o Chrome, a nie Chromium…
Tak, ale np. za Ubuntu: „Chromium serves as a base for Google Chrome, which is Chromium rebranded (name and logo) with very few additions such as usage tracking and an auto-updater system.”
Zaczęło się od Chromium i niekoniecznie od security ale od tematu, że opensource nie powinien ładować / dociągać binarek i ich uruchamiać. I tu się położyła cała idea Linuksa (czy Debiana dokładniej).
To Debian z obowiązkowym systemd jeszcze jest bezpieczny ? Na pewno ?
Ale Google nie jest złe.”Don’t be evil” no nie ? :P :D
To nie do końca binarka tylko Native Client, co oznacza, że nie może sobie robić czego chce w systemie, a cała komunikacja idzie przez przeglądarkę.
Wiesz, trochę się z tym zamieszania zrobiło. Na tym linkowanym bugtrackerze debiana niektórzy nawet sugerują że się powinno ogłosić coś w rodzaju kompromitacji repo debiana / Debian Security Announce. Choć to chyba już przesada.
Jeden z cytatów:
„Since no one really know which binaries have been downloaded there and
what they actually do, and since it cannot be excluded that it was
actually executed, such systems are basically to be considered
compromised.”
Chciałem mieć Flasha, ale chyba „pomęczę” się z FF.
root@debian:~# apt-get purge chromium
Czytanie list pakietów… Gotowe
Budowanie drzewa zależności
Odczyt informacji o stanie… Gotowe
Następujące pakiety zostaną USUNIĘTE:
chromium*
0 aktualizowanych, 0 nowo instalowanych, 1 usuwanych i 1 nieaktualizowanych.
Po tej operacji zostanie zwolnione 149 MB miejsca na dysku.
Kontynuować? [T/n] T
(Odczytywanie bazy danych … 167564 pliki i katalogi obecnie zainstalowane.)
Usuwanie pakietu chromium (43.0.2357.65-1~deb8u1) …
Czyszczenie z plików konfiguracyjnych pakietu chromium (43.0.2357.65-1~deb8u1) …
Przetwarzanie wyzwalaczy pakietu desktop-file-utils (0.22-1)…
Przetwarzanie wyzwalaczy pakietu mime-support (3.58)…
Przetwarzanie wyzwalaczy pakietu man-db (2.7.0.2-5)…
Przetwarzanie wyzwalaczy pakietu hicolor-icon-theme (0.13-1)…
Przetwarzanie wyzwalaczy pakietu menu (2.1.47)…
Zainstaluj sobie freshplayerplugin i będziesz miał w firefoksie najnowszego flasha.
Brzydko bo brzydko ale może warto wspomnieć, że moduł nie jest aktywny dopóki się go nie aktywuje…
Ja bym tam 100% pewności nie miał, że to takie 'grzeczne’, szczególnie patrząc na te komentarze debianowe. Ludzie z Chrome/Chromium uspokajają, ale mi brakuje jeszcze pełnej analizy / pokazania co ta binarka rzeczywiście robi / bez żadnego opuszczania niewygodnych części / itp.
I też ten cięty kolega z debian bugtrakera pisze:
„And I guess no one can prove that this blob didn’t contain any rootkit,
and even if – the rootkit’ed version may have been just distributed to
certain people.”
i w kolejnym poście:
„Well, as I’ve said,.. no one can really tell what it is, since it’s a
blob,… and even if one would assume that someone could correctly
reverse engineer it, or reproducibly build it from public sources,
there’s absolutely no guarantee that malicious software might have been
just distributed to selected people.”
Google lubi „wymuszać” aktywację niektórych rzeczy. ;-/ Poza tym, sprawa jest o tyle ciekawa, że nie dotyka tego jednego modułu w tym jednym programie. Chodzi ogólnie o sposób aktualizacji/dystrybucji oprogramowania (pluginy to oprogramowanie), który widzimy. W zgłoszeniu błędu w Debianie już zostały wskazane kolejne potencjalnie niebezpieczne miejsca w Chromium. Wspomniany jest też Firefox i OpenH246.
W każdym razie dobrze, że wyszło.
To, że coś ma „Audio Capture Allowed Yes” jeszce nie oznacza, że nagrywa co mu się podoba i to bez zgody użytkownika. Więc nie popadajmy przedwcześnie w paranoję.