7 november 2014 12:50

Chrome en Firefox maken webcamspionage eenvoudig

Hackers kunnen Firefox en Mozilla uitbuiten. De browsers zijn onvoldoende beveiligd tegen afluisterpraktijken via WebRTC.

Europese beveiligingsonderzoekers tikken Mozilla en Google op de vingers voor de lakse manier waarop hun browsers omgaan met toestemmingen gegeven door gebruikers.

Zowel Chrome als Firefox maakt gebruik van toestemmingen die een gebruiker moet geven voor apps die gebruikmaken van WebRTC. WebRTC is een project waarmee communicatie met de browser in real time mogelijk is met eenvoudige JavaScript-API’s. De relevante permissies zijn echter erg breed en kunnen zonder al te veel moeite uitgebuit worden.

Met WebRTC kan bijvoorbeeld een videochat-applicatie ingebouwd worden in een webpagina zonder dat daar een afzonderlijke plug-in voor nodig is. Om de toepassing te kunnen gebruiken moet de gebruiker eerst toestemming geven, zodat de applicatie in kwestie aan de camera of de microfoon kan.

[related_article id=”158901″]

Die toestemming geldt echter voor een hele server. Als de server waarop een betrouwbare app draait ook een exemplaar met minder goede bedoelingen huisvest, kan die laatste genieten van de toestemming die je aan de eerste applicatie gaf. Een hacker hoeft een gebruiker alleen maar te overtuigen zijn applicatie te gebruiken. Zo krijgt hij mogelijk toegang tot je webcam of microfoon, ook al zal dat voor de gebruiker niet meteen duidelijk zijn.

Permanent
Bovendien geldt een toestemming in het geval van Chrome voor onbepaalde tijd, als ze gegeven is via https. Een webtoepassing die ooit betrouwbaar was kan evolueren naar een versie die stiekem webcamfoto’s neemt, zonder dat daarvoor opnieuw toestemming nodig is.

Vooral op smartphones, waar het systeem ook gebruik wordt, kan de lakse beveiliging problemen opleveren. Op een mobiel besturingssysteem is het immers niet altijd duidelijk welke apps draaien op de achtergrond. Als die apps om de één of andere reden kwade bedoelingen krijgen, wordt je mogelijk afgeluisterd zonder dat je er weet van hebt.

Safari en Internet Explorer zijn niet kwetsbaar, omdat ondersteuning voor WebRTC nog niet is ingebouwd in de browsers. De onderzoekers suggereren dat Google en Mozilla het permissiesysteem voor WebRTC herbekijken, zodat misbruik minder uitnodigend wordt.