Google è stato recentemente avvisato di una importante vulnerabilità di sicurezza che permetterebbe a malintenzionati di registrare audio o video senza il permesso dell’utente utilizzando Chrome. I browser più aggiornati e utilizzati supportano la tecnologia WebRTC, ovvero Web Real-Time Communications, che permette di supportare la comunicazione in tempo reale senza l’utilizzo di ulteriori plugin. Così facendo, permette di creare servizi di chat audio e video, condivisione dello schermo, condivisione di dati in p2p e via dicendo.
Naturalmente tutto ciò comporta anche risvolti negativi: WebRTC può svelare l’indirizzo IP locale nei browser che ne supportano la tecnologia. Questa vulnerabilità colpisce Chrome, ma con esso tanti altri browser: una volta dato il consenso al sito malevolo di utilizzare WebRTC, questo inizia a registrare audio o video tramite una finestra JavaScript che passa inosservata. Chrome non mostra all’utente ciò che sta avvenendo nonostante generalmente abbia degli indicatori e ciò avviene perché la finestra Javascript è senza header, quindi non permette all’utente di visualizzare nulla di particolare.
Un membro del team di sviluppo di Chromium conferma l’esistenza del problema, ma non ritiene si possa chiamarla vulnerabilità di sicurezza, quanto piuttosto un problema per la privacy dell’utente. Google potrebbe intervenire sulla questione a breve, ma intanto è possibile difendersi non concedendo a siti non noti il permesso di utilizzare WebRTC.