Google è finita nella bufera per quello che sembra essere, a tutti gli effetti, un bug di Chrome. Anche se Big G ha una visione diversa della cosa. Uno sviluppatore di Aol, Ran Bar-Zik, ha scoperto che un sito Web può registrare di nascosto sia l’audio sia il video senza che nessun simbolo appaia nelle tabi di Chrome. Quindi, all’insaputa degli utenti. “Dopo aver ottenuto i permessi audiovideo per Webrtc (tecnologia che consente ai browser di effettuare chiamate, ndr)”, ha scritto lo sviluppatore sul blog di Chromium, “il codice Js della pagina può registrare senza mostrare il puntino rosso nella scheda”. In estrema sintesi, il sito potrebbe avviare l’operazione in qualsiasi momento: è sufficiente che la tab del browser rimanga aperta. Una cosa preoccupante, ma come detto per Google non si tratta di un bug.
Questo perché, secondo il colosso californiano, è l’utente a dare inizialmente il permesso a Chrome per accedere a microfono e videocamera: senza questo via libera, nessuna registrazione sarebbe possibile. Una spiegazione debole, anche perché gli utenti meno esperti potrebbero facilmente cadere in qualche trabocchetto.
Il punto centrale della discussione è l’assenza di indicatori, che facciano capire al navigante il processo in corso da parte del browser di Big G. Bar-Zik ha realizzato un proof of concept in cui mostra come potrebbe verificarsi un attacco da parte di malintenzionati, tramite l’utilizzo di un semplice popup ed eventuali altre vulnerabilità Xss presenti sui siti. La situazione è al momento in stallo, in quanto il gruppo di Mountain View non vuole classificare il report dello sviluppatore come bug.
“Webrtc, quando è attiva sui dispositivi mobili, non mostra nessun segnale”, è la tesi di Google. “Il punto rosso rappresenta uno sforzo aggiuntivo che però funziona solo su desktop, con l’interfaccia utente di Chrome”. Pur disconoscendo la vulnerabilità, l’azienda si è comunque impegnata a “cercare dei modi per migliorare la situazione”. Al momento l’unica cosa da fare è verificare sempre i permessi concessi ai browser, in modo da evitare di trovarsi in circostanze poco piacevoli.