Google nie widzi problemu w tym, że strony internetowe nas podsłuchują. Jak się przed tym bronić?

Obecność wszelkiej maści czujników, mikrofonów i kamer w urządzeniach komputerowych to z jednej strony wygoda dla użytkownika i dodatkowe możliwości, a z drugiej bardzo łakomy kąsek dla wszelkiej maści cyberprzestępców. Nie jest też tajemnicą, że w dzisiejszych czasach software wypuszczany nawet przez największe firmy technologiczne świata jest dziurawy jak sito, bo zamiast poświęcić odpowiednią ilość czasu na testy bezpieczeństwa, skupiają się ona na wyprzedzeniu konkurencji. Stwarza to ogromne pole do nadużyć.

Dlaczego o tym przypominam? Otóż w zeszłym tygodniu badacze odkryli “lukę” w przeglądarce Chrome, która może pozwolić dowolnej stronie internetowej na podsłuchiwanie użytkownika przez mikrofon umieszczony w jego komputerze lub laptopie. Z pewnością nie jest to ani pierwszy, ani ostatni atak przechwytujący prywatne rozmowy, więc warto wiedzieć jak zabezpieczyć się przed nim na przyszłość - tym bardziej, że samo Google zamiata problem pod dywan i nie uznaje tego za coś wartego uwagi.

Muszę przyznać, że w sumie rozumiem tutaj podejście Google. Jak informuje serwis LifeHacker, problem polega na tym, że przeglądarka zakłada, po jednorazowym udzieleniu przez użytkownika witrynie internetowej pozwolenia na korzystanie z mikrofonu, że następnym razem to pozwolenie zostanie udzielone ponownie. Chrome nie zawraca więc głowy kolejnym monitem.

Google, poniekąd słusznie, twierdzi że skoro użytkownik zgody udzielił, to nie ma problemu i sam jest sobie winien. Firma z Mountain View zaznacza też, że takie działanie przeglądarki jest zgodne ze stardardami wytyczonymi przez W3C (World Wide Web Consortium). Jednakże chociaż rozumiem tutaj Google i stojące za decyzją o zignorowaniu problemu argument, to sprawa nie jest taka jednoznaczna. Trzeba pamiętać, że najsłabszym ogniwem na linii użytkownik-komputer-internet jest człowiek. Kto z nas będzie pamiętał po roku, której stronie internetowej udzielił pozwolenia na korzystanie z mikrofonu? No właśnie.

Cyberprzestępcy mogą to wykorzystać na kilka różnych sposobów. Pozwolenie udzielane jest dla całej domeny, więc jeśli skorzystamy z, dajmy na to, śmiesznej stronki podkładającej nasz głos pod "memowe" wideo, to za jakiś czas każdy najmniejszy chowający się w tle pop-up pochodzący z tej domeny może nagrywać audio z mikrofonu, a nawet wideo z wbudowanej w laptopa kamery. Nagrywanie może być też aktywowane w momencie wykrycia słów kluczowych. To niebezpieczne? A jakże. Niech tylko taka szemarana strona usłuszy coś w rodzaju: “Hej kochanie, to jakie miałeś to hasło do banku?”.

Pierwszą linią obrony przed każdym atakiem komputerowym jest oczywiście zdrowy rozsądek. Nie należy dawać zezwoleń na używanie mikrofonu i kamery witrynom, do których nie mamy zaufania, a jeśli już takimi je nieopatrznie obdarzyliśmy, to trzeba zwracać uwagę na chowające się w tle pop-upy, diodę przy obiektywie kamery w laptopie i pasek Omnibox w Chrome, który informuje o aktywnym nagrywaniu. Można też oczywiście wymontować mikrofon z obudowy laptopa i zakleić kamerkę taśmą klejącą, ale to takie wylewanie dziecka z kąpielą.

Warto skorzystać za to z rozwiązań typowo software’owych. W Chrome pod adresem chrome://settings/contentExceptions#media-stream można znaleźć pełną listę stron, którym udzieliliśmy pozwolenie na korzystanie z mikrofonu i kamery. Jeśli znalazł się tutaj adres URL, którego nie rozpoznajemy, warto go na wszelki wypadek usunąć - w końcu później w razie potrzeby można uprawnienia nadać ponownie.

Dość radykalnym krokiem, który zminimalizuje ryzyko jest zablokowanie możliwości korzystania z peryferiów wszystkim witrynom. Aby tego dokonać trzeba udać się do menu pod adresem chrome://settings/content i w sekcji Multimedia zaznaczyć checkbox “Nie pozwalaj stronom na dostęp do mojej kamery i mikrofonu”. Niestety, to rozwiązanie nie jest idealne, ponieważ tym samym wyłączymy możliwość np. wyszukiwania głosowego, a w przypadku udostępnienia w stabilnym wydaniu Chrome usługi Google Now nie będziemy mogli ze swoją przeglądarką rozmawiać.

Niestety, biorąc pod uwagę to, że w przyszłych wydaniach przeglądarki Google może pojawić się jakaś faktycznie groźna, hipotetyczna luka, stuprocentowej pewności ochrony nie mamy. Trzeba też pamiętać, co zauważa autor wspomnianego wcześniej postu w serwisie LifeHacker, że te ustawienia nie są tożsame z ustawieniami dostępu do mikrofonu i kamery wtyczki Adobe Flash - ale w jej przypadku domyślnym ustawieniem jest “Zawsze pytaj”, przez co niebezpieczeństwo podsłuchiwania i podglądania użytkownika jest minimalne.

Niestety, w przyszłości tego typu problemów będzie tylko więcej, a ochrona przed nimi - coraz trudniejsza. Trend polegający na umożliwianiu obsługi głosowej urządzeń komputerowych takich jak komputery, tablety i smartfony, a w przyszłości nawet “inteligentnej galanterii”, nasila się. A ponieważ wymaga on stałego nasłuchiwania użytkownika przez wbudowane mikrofony, to my, jako użytkownicy produktów końcowych, jesteśmy cały czas na widelcu.

Obyśmy tylko nie doczekali czasów, kiedy urządzenia elektroniczne będą pozwalać na przeglądanie internetu z naszego domu… i na odwrót.