Популярный инструмент Screencastify, который представляет собой расширение для браузера Google Chrome, имеет серьезную уязвимость, позволяющую злоумышленникам следить за пользователями. Информацию об уязвимости разработчикам передал Владимир Палант.
Еще в феврале этого года отечественный эксперт обнаружил проблему в работе сервиса. Как оказалось, инструмент предоставлял произвольным сайтам возможность использовать веб-камеру клиента для записи видео. Полученные видео сохранялись на сервисе Google Диск, где они могли стать достоянием злоумышленников.
Несмотря на то, что разработчики устранили эту проблему сразу же после того, как Палант сообщил им об уязвимости, полностью обезопасить своих пользователей они не смогли. По заверению эксперта, даже сейчас инструмент Screencastify представляет подобные права многим партнерским поддоменам, часть их которых вызывает определенные сомнения по поводу сохранности и безопасности пользовательского контента.
Эксперт отметил, что расширение может самостоятельно записывать видео через веб-камеру, не получая дополнительных разрешений от пользователя. Процесс записи не сопровождается какой-либо индикацией и уведомлениями, поэтому хакеры легко могут записать пользователя, перейти на его Google Диск, скачать данные, затерев все следы. Потенциальная жертва даже не узнает, что она была записана, а личная информация оказалась в руках злоумышленников.
Палант отметил, что после получения сообщения об уязвимости, разработчикам стоило не просто избавиться от этого недостатка, но и сформировать полноценный план, который бы позволил обезопасить потенциальных пользователей, а также пересмотреть партнерские соглашения с поддоменами. Подобная работа проведена не была.