Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
12 de Abril, 2014    General

Fácil Bug en Google Chrome permite que una web te oiga

Estamos viviendo unos días intensos en cuanto a vulnerabilidades que permiten el espionaje de las personas. No solo hemos podido ver que el bug de Heartbleed afectaba a servidores, sino que también lo hace a clientes que tengan la librería OpenSSL vulnerable, lo que permitiría que fuera el servidor web el que enviase el Heartbeat malicioso y espiase la memoria de tu equipo - comprueba qué versión de OpenSSL tienes instalada en tu máquina -. Por supuesto, como OpenSSL se usa en clientes de la red TOR, esto podría ser utilizado para espiar a usuarios conectados a la DeepWeb y saber qué están haciendo en ella.

Pero puestos a tener sitios web que espíen a los clientes, este fallo publicado por el el investigador de seguridad israelí Guy Aharonovsky me ha encantado, no solo por la concepción, sino por la forma en que lo lleva a cabo. Para ello, usando HTML5 y la API de Google Chrome que permite controlar el navegador hablando, ha demostrado lo fácil que sería para una web maliciosa escuchar lo que dices y llevarse la conversión a texto de lo que has dicho.

Figura 1: Alerta de uso de Speech Recognition

Esta función, cuando se utiliza Speech Recognition en Google Chrome alerta al usuario con una caja de información, como la que se puede ver, y además hace falta que el usuario pinche sobre el icono del micrófono para que se active, pero con un truco bastante sencillo se solucionan ambos problemas.

El primero de ellos se hace con una capa transparente del tamaño de la pantalla que ocupase toda la capa visible de la web en la que se añade la función de usar Speech Recognition en la entrada de datos, y jugando con al opacidad de la misma. Estos trucos han sido habituales en esquemas de ClickJacking, por lo que no son nada ajenos para los especialistas en ataques de Client-Side.

Figura 2: Capa con entrada de datos basada en Speech Recognition

El segundo problema es ocultar la caja de información, que se puede hacer de dos formas. La primera consiguiendo que la pantalla se maximice, y la segunda, configurando el tamaño de la entrada de datos del tamaño de la página, lo que situaría en la parte inferior la caja de alerta por lo que quedaría fuera de la visualización de la web si el usuario tiene la pantalla maximizada.

Figura 3: La alerta de Speech Recognition queda fuera del navegador

En el siguiente vídeo demostrativo que ha publicado en su blog se puede ver ejecutado con un juego que con elegancia escucha todas las conversaciones que se dicen desde que se hace clic para empezar a llevar la semilla del deseo desde el cielo hasta que se deja en el suelo de plantación.

Figura 3: Vídeo demostración del ataque basado en un juego de pedir deseos

Aunque este bug afecta a Google Chrome, de estas funciones de HTML 5 para activar el micrófono y la webcam ya había hablado hace unos meses con un experto en frontend, que entre capuccino y capuccino,  discutíamos de la preocupación que teníamos a que se encontrasen las formas de saltar las alertas en todos los navegadores que implementan estas APIs de reconocimiento de voz, al igual que se encontró hace ya tiempo para activar la Webcam en Google Chrome con Adobe Flash Player y grabarte en vídeo. Ahora ya hay otro medio.

Cada día aparecen nuevos bugs de seguridad publicados, pero lo que siempre me deja preocupado es la sensación de que en cada instante hay cientos de bugs en el software de mis dispositivos que con toda probabilidad son conocidos por mucha gente. La EFF anuncia que parece haberse descubierto que en Noviembre de 2013 ya se utilizaba HeartBleed y ha dejado unos indicadores para que los que tengan registros de tráfico de red descubran si han sido atacados antes.

Fuente http://www.elladodelmal.com/2014/04/facil-bug-en-google-chrome-permite-que.html

De Chema Alonso

Palabras claves , , , , , , ,
publicado por alonsoclaudio a las 20:52 · 3 Comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (3) ·  Enviar comentario
No habia vuelto a leer tu sitio web por un tiempo, porque me pareció que era aburrido, pero los últimos posts son de buena calidad, así que supongo que voy a añadirte a mi lista de blogs cotidiana. Te lo mereces amigo. :)

Saludos

comprar te blanco http://www.kardamomo.com/blanco-c-4.html
publicado por comprar te blanco, el 06.05.2014 11:37
No habia visitado tu sitio web por un tiempo, porque me pareció que era pesado, pero los últimos articulos son de buena calidad, así que supongo que voy a añadirte a mi lista de sitios web cotidiana. Te lo mereces amigo. :)

Saludos

té verde http://www.kardamomo.com/te-verde-c-1.html
publicado por té verde, el 09.08.2014 04:23
Esto es realmente bueno, eres un blogger muy profesional. Me he unido a tu RSS y deseo leer más cosas en este gran blog. Además, !he compartido tu sitio en mis redes sociales!

Saludos
publicado por tazas teteras, el 26.08.2014 11:32
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Febrero 2024 Ver mes siguiente
DOLUMAMIJUVISA
123
45678910
11121314151617
18192021222324
25262728
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad