зачем гуглу доступ к веб камере

Скажите «сыр» своему Google Chrome

Если ты не хочешь фотографироваться, то Google Chrome все равно может этого захотеть. Без твоего ведома. Сам.

Наглядное подтверждение тому, сколь изобретательными и изощренными могут быть хакеры, пришло на прошлой неделе в виде новости о нехитром трюке, который позволяет фотографировать пользователей Chrome во время веб-браузинга.

Как известно, Adobe Flash может использовать микрофон и веб-камеру компьютера, предварительно спрашивая разрешения у пользователя. Выяснилось, в Chrome можно замаскировать этот запрос наложенной сверху картинкой, разместив над кнопкой «Разрешить» элемент, на который захочет нажать пользователь – в демонстрационном примере это кнопка Play. Один клик мышкой – и фото готово! При включении веб-камеры на многих ноутбуках включается световой индикатор, но реагировать на него уже поздно – фото не только сделано, но и отправлено. Под ударом – пользователи Windows 7/8, Mac OS, некоторых разновидностей Linux.

Фотография затем может быть отправлена на сервер злоумышленникам и сохранена для любых целей, например, мошенничества с кражей «цифровой личности». Аналогичным образом можно включить и микрофон, что пройдет уже без видимых эффектов и позволит скрытно записывать разговоры пользователя.

Об использовании данной недоработки Chrome в реальных атаках нам неизвестно, но простота и эффективность трюка заставляет еще раз задуматься о том, насколько строгим должно быть ограничение доступа к сенсорам компьютера или мобильного устройства, и как мало контролируют пользователи дальнейшее распространение личной информации. Эта проблема стоит наиболее остро в случае смартфонов, но и «безобидный» веб-браузер на компьютере может рассказать о владельце многое. Кроме отслеживания ваших путешествий в сети, заинтересованные сайты могут узнать точное местоположение компьютера, и, как теперь выясняется, получить доступ к данным о физическом мире вокруг, то есть фото и видео. Запретить следить за собой в сети довольно сложно, а вот с местоположением и веб-камерой с микрофоном разобраться проще – эти функции нужны настолько редко, что их можно безболезненно отключить в «Продвинутых» настройках Chrome до того момента, когда они реально потребуются.

Источник

Как запретить Chrome включать микрофон и камеру

Реверс малвари

На этой неделе разразился большой скандал по поводу бага-фичи Chrome, которая позволяет веб-сайту прослушивать пользователя даже после того, как пользователь закрыл соответствующую вкладку в браузере. После получения разрешения на включение микрофона и/или камеры веб-сайт может открыть невидимое всплывающее окно на заднем фоне, на котором тоже активированы микрофон и камера. Таким образом, если пользователь даже закрыл первое окно, где давал разрешение, всплывающее окно незаметно продолжит прослушку.

Более того, если вы однажды дали разрешение сайту включать камеру и микрофон, то это разрешение сохранится навсегда, так что в следующий раз он может начать прослушку без спросу.

Некоторые считают, что такое поведение браузера является нелогичным и может ввести в заблуждение пользователей. Компания Google оспаривает эту позицию и считает, что все в порядке и соответствует стандартам W3C. Да и вообще, это очень удобная фича, например, для запуска видеочатов в отдельных окнах.

Так или иначе, но пользователям Chrome имеет смысл изменить настройки безопасности в браузере.

Алгоритм действий следующий.

1. В адресной строке набираем chrome://settings/contentExceptions#media-stream.

2. Появится окошко со списком исключений для записывающих устройств, где указаны все хосты, которым разрешено активировать камеру и микрофон.

3. Удалить из списка сайты, которые не вызывают доверия.

4 (по желанию). Зайти в настройки содержания страницы и указать пункт «Не предоставлять сайтам доступ к камере и микрофону» вместо стандартного «Спрашивать, если сайт пытается получить доступ к камере или микрофону».

Источник

Скрытая активация камеры браузерами: Большой Брат или технологический просчёт?

Меня зовут Вадим, и я один из технических консультантов и, по совместительству, системный администратор «РосКомСвободы».

Но данный пост будет не обо мне. Он будет историей о подозрительной (с точки зрения приватности в контексте мобильных телефонов) ситуации, с которой мы недавно столкнулись.
Он мог бы быть в стиле «А-а-а-а-а-а! Смотрите, Большой брат (Google) следит за нами», но я, всё же, попробую провести какой-никакой анализ и выдвинуть правдоподобные гипотезы о том, почему может происходить то, что произошло.

Заранее прошу прощения, если кому-то не нравится формат а-ля «журнал >

Итак. К нам обратился один из наших читателей, утверждая, что при входе на наш сайт (на котором, весьма иронично, сейчас в топе висит плитка нашей кампании против распознавания лиц — BanCam) у него активируется фронтальная камера.

Дело в том, что он является обладателем телефона из нового поколения телефонов без «чёлок», у которых фронтальная камера вынесена в отдельный «выезжающий» лоток. Который, собственно, и выезжает при обращении к камере.

Как вы, наверное, догадываетесь, моими первыми мыслями были подозрения о том, что нас каким-то чудом, не смотря на все «охранные механизмы», которые я выстраивал, всё-таки взломали и «протроянили».

Однако расследование показало, что с нашим сайтом всё в порядке.

После проведения вышеупомянутого расследования и обсуждения его выводов в техническом чате «РосКомСвободы» я вспомнил о том, что я уже сталкивался на нескольких форумах в интернете с тем, что через баннерные сети (при открытии форума с Android-телефона) «подсовывались» «троянские» apk-пакеты (видимо, в надежде что пользователь установит их, думая, что это официальный клиент данного форума).

Обдумав данную мысль, я предложил попробовать попроверять «трекеры», которые попали в список разрешённых (данный читатель использует Firefox и установленный в нём аддон uBlock).

Немного углубившись в раскопки, я обнаружил, что запросы к google.com провоцируют не только гугловые трекеры (aka «аналитика»), но даже и обычное «встраивание» видео с ютуба на странице. Воспроизводимость выезда камеры на kod.ru тоже попадала в данную теорию (как выяснилось, на тестируемой странице тоже было видео с ютуба).

Для того, чтобы еще более точно подтвердить эту теорию я нагуглил рандомный блогопост а-ля «как вставить ютуб-видео в блог, видео-инструкция» с встроенным видео, и на нём ситуация тоже воспроизвелась.

Окей, копаем дальше.

Поковырявшись в браузерных инструментах отладки я нашёл, что с www.google.com (именно с www ) грузится странный и до ужаса обфусцированный (да так, что ни один испробованный мной деобфускатор из поисковой выдачи не справился) скрипт, у которого даже имя и то обфусцировано (зная гугл, могу предположить, что через некоторое время этот скрипт пропадёт, а на его место будет поставлен скрипт с другим (но столь же нечитабельным) именем. Так что, вот его код, на всякий случай).

Беглый просмотр скрипта не показывает наличия тут упоминаний камеры, а погружаться в отладку ещё глубже и интерпретировать что он там делает — нет времени и возможности (хотя, если кто-то из вас, читателей, хочет — можете заняться).

Итак, попытка номер один: захожу на тестируемые сайты, и… ничего!

Закрадывается мысль, что проблема, похоже, всё-таки, где-то на стороне юзера.

Параллельно с этим процессом, мы обсуждаем ситуацию в вышеупомянутом техническом чате «РосКомСвободы». Спустя некоторое время от одного из участников поступает мнение, что, мол, мобильные браузеры хитрые: они не всегда запрашивают глобальные права на доступ к камере, и если они не предоставлены, то в некоторых случаях они могут и не спрашивать!

Иду в настройки приложения и вижу что, да, у меня для Firefox не выставлены разрешения на камеру. Включаю, проверяю ещё раз, и вижу простыню на пару «экранов» с подобным:

Ага! Обращение к камере, значит, всё же есть!
Более того, сразу после строки с «get device info» идёт явное открытие девайса камеры:

Проверяю то же самое с Chrome, и всё воспроизводится: если права на камеру отобрать, то в логе «молчание ягнят», а если выдать — тоже, как и с «рыжиком» появляется простыня про доступ к камере.

Значит, получается проблема:
а) не локальная для юзера,
б) не специфичная для браузера.

Что интересно, при всех этих событиях ни один из этих браузеров не пытался и словом обмолвиться о запросе разрешений на доступ к камере от какого-либо сайта из участвовавших в тесте (да и, впрочем, от ютуба и google.com — тоже).

В свете вышеописанного у меня родились две гипотезы:

Браузеры же исповедуют тут логику: «при инициализации Camera API, если доступа к камере нет, то не делаем ничего (даже не запрашиваем его, пока не возникнет реальная необходимость) а если есть — инициализируем камеры и проверяем что за девайсы там у нас и что они умеют» (для чего, видимо, и происходит «открытие» девайса).

Вендор же телефона у юзера, похоже, не стал особо углубляться в изобретение софтверных костылей над камерой и решил проблему просто (за что ему, кстати, респект): при обращении к камере — она выезжает. При открытии девайса и обмене с ним данными — моргает диод.

Итого, получается, что проблема не так уж и фатальна, как казалась в начале, и, хотелось бы надеяться, снимков никто не делает (хотя это, всё же, до сих пор «не точно», т.к. моей компетенции в познании исходных кодов Android’а недостаточно для того чтобы однозначно гарантировать в каком случае простыня обращений к камере в logcat говорит о сделанном снимке, а в каком — просто о светских беседах приложения с девайсом).

Однако, тем не менее, сам факт того, что открытие любой веб-страницы, на которой будет iframe с встроенным видео с YouTube’а приводит к обращению к камере (и даже каким-то переговорам с девайсом) всё равно довольно печален в контексте приватности и, как мне кажется, всё же стоит обсуждения сообществом.

P.S. На английском данный пост опубликован на Medium.

UPD: спасибо хабравчанам berez и ksil за пакет орфографических правок (а то при вычитке и переписывании разных кусков текста, как это водится, «исправляя одни баги, привнесли пучок других»)

Источник

Как отключить прослушку микрофона в Google Chrome

На днях снова компания Google вместе со своим браузером Chrome оказалась в центре скандальных новостей. То, что Хром следит за пользователями и тихонько «сливает» информацию куда надо, было известно уже давно, но вот те факты, которые были выяснены на днях, переходят уж всякие рамки…

Однако и это еще не всё! Как оказалось, если Вы хоть однажды дали разрешение сайту включать камеру и микрофон, то это разрешение сохранится навсегда, так что в следующий раз он активирует их без спросу и начнет фоновую прослушку!

Решение других распространенных проблем с Chrome (выбор пользователей):

Как это происходит на самом деле, Вы можете увидеть из этого видео. Правда оно на английском, но общий смысл будет понятен даже тем, кто не знает языка.

Пользователи указали Google на незаконную прослушку, однако представители компании заявляют, что все в порядке и мол соответствует стандартам W3C, да и вообще это крайне удобно для запуска видеочатов.

Оставлять все так как есть либо нет – Ваше полное право. Для тех, кто не доволен данной ситуацией и предпочитает, чтобы за ним не шпионили, дадим инструкцию, как отключить камеру и микрофон в браузере Google Chrome. Итак, в адресной строке браузера наберите
chrome://settings/contentExceptions#media-stream

В открывшемся окошке будут перечислены все хосты, которым Вы разрешили активировать камеру и микрофон. Удалите те из них, которые Вам незнакомы, вызывают подозрение, либо все.

Отметьте пункт «Не предоставлять сайтам доступ к камере и микрофону», если Вы хотите полностью исключить возможность прослушки. Если же собираетесь по-прежнему пользоваться микрофоном и камерой на некоторых сайтах, отметьте пункт «Спрашивать, если сайт пытается получить доступ к камере или микрофону».

Источник

Как разрешить или заблокировать доступ к камере и микрофону в Chrome

Браузер Chrome позволяет легко настроить доступ к веб-камере и микрофону на вашем компьютере. Ниже вы найдете шаги, чтобы разрешить или заблокировать доступ к камере и микрофону в браузере Chrome.

Разрешить или заблокировать доступ к камере и микрофону в Chrome

Как вы, наверное, заметили, браузер Google Chrome предлагает вам разрешить или заблокировать каждый раз, когда веб-сайт пытается получить доступ к камере или микрофону на компьютере.

В зависимости от вашего ответа (да или нет) Chrome добавит этот конкретный веб-сайт в свой разрешенный или заблокированный список.

Позже вы всегда можете вернуться и удалить сайт из списка разрешенных или заблокированных в браузере Chrome.

Если вы не удалите веб-сайт из списка «Разрешить», он по-прежнему будет иметь доступ к веб-камере или микрофону на компьютере.

Другой вариант — просто выйти из приглашения «Разрешить или заблокировать». Когда вы сделаете это, Chrome заблокирует доступ веб-сайту к камере/микрофону, но не добавит веб-сайт в свой черный список.

1. Разрешить или заблокировать доступ к камере и микрофону в браузере Chrome

Рекомендуемая настройка в браузере Chrome — заставить браузер запрашивать ваш ответ или разрешение всякий раз, когда веб-сайт пытается получить доступ к веб-камере или микрофону на компьютере.

1. Откройте браузер Chrome на компьютере

После этой настройки Chrome автоматически запросит ответ, когда любой веб-сайт пытается получить доступ к камере или микрофону на компьютере.

2. Блокируйте доступ к камере в Chrome для определенных сайтов

Также возможно заблокировать доступ определенных веб-сайтов к веб-камере на компьютере.

Этот метод особенно полезен, если вы уже предоставили веб-сайту доступ к камере на своем компьютере и теперь хотите заблокировать доступ.

Теперь этому конкретному веб-сайту будет запрещен доступ к встроенной веб-камере на вашем ноутбуке или к камере, подключенной к вашему настольному компьютеру.

3. Блокируйте доступ к микрофону в Chrome для определенных сайтов

Точно так же вы можете запретить доступ к микрофону на вашем компьютере определенным веб-сайтам.

Теперь этому конкретному веб-сайту будет запрещен доступ к микрофону на вашем компьютере.

Браузер Chrome будет по-прежнему препятствовать доступу веб-сайта к микрофону на компьютере, пока вы не отключите настройку.

Источник