Июн 18, 2015 - 0 Comments - Интересно -

В Chromium выявлен факт скрытой загрузки бинарного исполняемого компонента

18.06.2015 12:30 В Chromium выявлен факт скрытой загрузки бинарного исполняемого компонента

Разработчики проекта Debian обратили внимание на недопустимое поведение браузера Chromium, который начиная с 43 сборки начал без уведомления пользователя загружать непонятное дополнение «Chrome Hotword Shared Module», поставляемое в виде бинарного файла. Дополнение начинает загружаться сразу после первого запуска браузера, при этом загруженный компонент не отображается в списке установленных дополнений (chrome://extensions/), а в настройках не предусмотрено опции для отключения данного поведения.

Предполагается, что дополнение обеспечивает работу сервиса голосового управления «Ok Google», но сам факт скрытой загрузки непонятного исполняемого бинарного файла вызывает большие опасения и является значительным нарушением правил поставки пакетов в репозиториях Debian. В настоящее время разработчики Debian рассматривают целесообразность присвоения данной проблеме статуса уязвимости. Также разбирается ситуация, как загрузка бинарного компонента осталась незамеченной сопровождающими, формирующими пакеты для Debian. Провести полный аудит закрытого бинарного дополнения достаточно трудоёмкая задача, поэтому остаётся вероятность, что в такие дополнения могут быть интегрированы бэкдоры, которые могут контролировать действия пользователей (например, в дополнении Hotword постоянно включен захват звука, что можно использовать не только для анализа голосовых команд, но и для организации прослушивания).

Определить наличие дополнения можно через просмотр секции Shared Module в выводе «chrome://voicesearch», а отключить дополнение можно лишь удалив директорию «Extensions/lccekmodgklaepjeofjdjpbminllajkg/». Выпущенное на днях обновление пакета Chromium для Debian содержит исправление, блокирующее загрузку бинарного модуля. В остальных дистрибутивах, судя по всему, Chromium 43 продолжает загружать бинарный модуль.

Разработчики проекта Chromium прокомментировали наличие модуля тем, что он не активируется без явного включения опции «Enable Ok Google» в настройках chrome://settings. Т.е. модуль только загружается, но не выполняется без одобрения пользователя (на деле, модуль помечается активным даже при выключенной поддержке Ok Google, см. скриншоты ниже). Отсутствие в списке установленных дополнений объясняется тем, что внутренние модули не выводятся в этом списке. Бинарный характер дополнения связан с реализацией модуля с использованием технологии Native Client и применением проприетарного алгоритма распознавания речи, код которого не является открытым. В ответ на критику разработчики Chromium уже добавили специальный сборочный флаг, запрещающий предварительную загрузку модуля.



Дополнение: Разработчики дистрибутива Arch Linux уже отреагировали на инцидент созданием собственной сборки Chromium, ориентированной на соблюдение приватности.

  1. Главная ссылка к новости (https://news.ycombinator.com/item?id=972…)
  2. OpenNews: Доступна операционная система Chrome OS 43
  3. OpenNews: Почти полностью открыт код версии Chrome для платформы Android
  4. OpenNews: Релиз web-браузера Chrome 43
  5. OpenNews: Google намерен использовать сетевой протокол QUIC в браузере Chrome по умолчанию
  6. OpenNews: Предоставлен инструмент для обеспечения работы Android-приложений в Chrome OS
Тип: Тема для размышления
Ключевые слова: chrome, chromium, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
 
+/
Всё становится очень зыбко и неоднозначно. Если в браузере выполняется JavaScript код с любого сайта, то уже непонятно, можно ли считать такую активность явной или неявной/скрытой? Ведь пользователь не может контролировать абсолютно весь загружаемый код — ну и что что он открыт и понятен, но часто обфусцирован и /или сжат. Кто установил правило и где оговорено, что все так называемые «дополнения» должны отображаться в настройках браузера на соответствующей вкладке?
 

Ваш комментарий
 

This entry passed through the Full-Text RSS service — if this is your content and you’re reading it on someone else’s site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Человек ? *