Webová kamera získala na své důležitosti zvlášť pro práci z domova a vzdálených pracovišť. To ale dělá z malého hardwaru zajímavý cíl pro útočníky.
Z protipandemických omezení těžilo i rozšíření pro prohlížeč Chrome, které se nazývá Screencastify. Pomáhalo uživatelům s připojením a podle údajů Google si jej stáhlo více než deset milionů uživatelů.
Nástroj ale měl závažnou bezpečnostní chybu, kterou byli dotčeni uživatelé na celém světě. Objevil ji bezpečnostní expert Wladimir Palant, a to už v únoru 2022. Problém skutečně byl rychle opraven, ale zdaleka není ještě odstraněn.
Screencastify: mezera v zabezpečení je pořád
Zranitelnost typu "cross-site scripting", která spočívá v možnosti vložení a spuštění kódu na napadené webové stránce, útočníkům umožňovala nahrávat obsah, snímaný webovou kamerou napadeného uživatele, a to aniž by si toho všiml. Pořízené záznamy se poté mohly objevovat veřejně dostupné na Disku Google.
Přestože poskytovatel Screencastify tuto bezpečnostní mezeru poté, co se o ní dozvěděl, rychle uzavřel, problém mohl být stále zneužíván i na stránkách jiných poskytovatelů, kteří spoléhají na Screencastify.
Podle Wladimira Palanta se jedná o tyto společnosti a jejich subdomény:
– Webflow:
screencastify.com,
– Teachable: courses.screencastify.com,
– Atlassian: status.screencastify.com,
– ZenDesk: learn.screencastify.com,
– Marketo: go.screencastify.com,
– Netlifyrunning: quote.screencastify.com.
Znamená to jediné: všichni uživatelé těchto služeb mohou potenciálně být ve svých domovech natáčeni třetími stranami, a to aniž by si tuto skutečnost uvědomovali.
Vydírání prostřednictvím soukromých videí z webové kamery
| Zdroj: Screencastify / Wladimir Palant
Stálý přístup aplikace Screencastify na Disk Google umožňuje ukládat tajně nahraná videa, a také je kopírovat na vlastní pevné disky.
To otevírá dveře k vydírání, a to v závislosti na charakteru obsahu, který byl pořízen. Naše doporučení tedy je raději přestat rozšíření prohlížeče používat, a to do té doby, dokud nebudou problémy odstraněny všemi partnery poskytovatele Screencastify.
Úspěšnou bezplatnou alternativou pro nahrávání obrazovky a záznamů z webových kamer, je například Open Broadcaster Studio (OBS). Tento program je podstatně složitější a musí se instalovat do Windows, nejen jako plugin do prohlížeče. Na oplátku se vyhnete bezpečnostnímu riziku.
Děsivá představa
Není zrovna příjemné mít neustále v podvědomí myšlenku na to, že vás někdo při činnosti na počítači natáčí. Případ zranitelnosti Screencastify ukazuje, že technicky to rozhodně možné je. Nezapomeňte proto objektiv webové kamerky vždy zakrývat, pokud ji nepoužíváte. Mnoho notebooků už má k tomu účelu krycí panel přímo zabudovaný.
Zdroj: Palant.info, OBS Studio, Bleeping Computer
