טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

פרצת פרטיות בכרום מאפשרת לאתרים להקליט אתכם ללא ידיעתכם

אתרים שמקליטים או מצלמים אתכם אתכם אמורים להציג חיווי ברור לכך. אבל יש דרך לעקוף את זה. בגוגל מטפלים, אך עדיין לא תיקנו את הבעיה

תגובות

האם מישהו מאזין לנו? בשנים האחרונות הולכות ומתגברות תחושות לא נעימות בקרב גולשי האינטרנט. התחושה שמאזינים לנו נפוצות בעיקר בקרב משתמשי פייסבוק אבל לא היא לא היחידה.

כולנו יודעים שאם נחפש בגוגל או בפייסבוק מידע על יעד תיירותי מסוים, סביר להניח שהפיד שלנו יוצף במודעות לאותו יעד. אך בשנה-שנתיים האחרונות הרבה אנשים מדווחים על כך ששיחה על יעד תיירותי מסוים ליד הטלפון הסלולרי או המחשב מניבה את אותן פרסומות. 

הרבה מומחי אבטחה גיחכו למשמע השמועות. היכולת של מכשירים ואפליקציות להאזין כל הזמן ללא אישור מפורש מהמשתמש אמורה להיות לא קיימת. במיוחד כאשר מדובר באפליקציות/אתרים שמופעלים בדפדפן בלבד (כמו למשל רוב האתרים שאנחנו נכנסים אליהם באמצעות כרום). אך לאחר בדיקה שערכתי, מסתבר שאפילו אתרים 'תמימים' לכאורה יכולים להאזין למשתמשים שלהם ללא אינדיקציה.

התפתחויות משמעותיות בדפדפנים מאפשרים למתכנתי האתרים ליצור אינטראקציות מרהיבות עם הגולשים. מצלמות רשת ומיקרופונים, שהפכו לנפוצים מאוד בכל מחשב/טאבלט גם שותפים למהפיכה הזו. בעבר היינו צריכים להתקין תוכנות או אפליקציות כבדות על הטאבלט, הטלפון או המחשב הנייד כדי לאפשר שיחת וידיאו כמו בשירות הפופולרי Google Hangouts. אבל היום ניתן לעשות שיחות וידיאו ללא מאמץ על גבי הדפדפן עצמו. גוגל כרום, פיירפוקס ואדג' מאפשרות שימוש במצלמת הרשת ובמיקרופון המובנה על מנת לאפשר לכל מתכנת לבנות אתרים שיפעילו אותם.

אותן חברות דפדפנים השקיעו גם מאמץ על מנת שאתר לא יוכל להקליט או לצלם משתמש ללא ידיעתו. לא רק שהמשתמש נדרש לאשר אקטיבית שימוש במצלמת הרשת ובמיקרופון. יש גם בכל הדפדפנים אינדיקציה בלשונית הדפדפן המציגה חיווי ברור למשתמש על הקלטה.

התהליך הנדרש ממפתחי אתרים כדי לגשת אל מצלמת הרשת מורכב משני צעדים. הצעד הראשון הוא השגת אישור אקטיבי מהמשתמש לגישה למצלמה והמיקרופון. האישור הזה ניתן רק פעם אחת לכל אתר והוא גם דומה במאפייניו הוויזואליים לאישורים אחרים שאתרים מבקשים.

סוגי הרשאות שונות לממשקים שונים. אפשר לראות שכולן זהות ומאוד גנריות. משתמשים נוטים לאשר אותן בלי לחשוב.

אני מאמין שרוב המשתמשים נתקלים בבקשות האלו לא מעט פעמים. אתרים כמו פייסבוק, טוויטר ורבים נוספים מבקשים כל הזמן לקבל הרשאות על מנת להציג לנו הודעות קופצות, לקבל את המיקום שלנו או, במקרים מסוימים לקבל הרשאה להתקני הוידיאו והאודיו. ברגע שאישרתם, לאתר יש יכולת לגשת למצלמה או למיקרופון שלכם. יש סיכוי סביר שנתתם ללא מעט אתרים הרשאות שונות שחלקן עלולות להיות הרשאות למצלמה או למיקרופון. 

אך לא אלמן ישראל. ישנה שכבת הגנה נוספת וחשובה – התרעת הקלטה. התרעת ההקלטה מאפשרת לנו לדעת בזמן אמת איזו לשונית בדפדפן יכולה להאזין לנו. כלומר, גם אם נתתם בהיסח הדעת הרשאה לאתר להשתמש במצלמת הרשת/מיקרופון שלכם תוכלו לדעת אם הוא משתמש בה באמצעות התראה ויזואלית בולטת בלשונית הדפדפן.

התרעת הקלטה בפיירפוקס

אם ראיתם את ההתראה הזו, סימן שמופעלת ההקלטה של אודיו או וידיאו באותה לשונית. כיביתם את הלשונית? האתר כבר לא עושה שימוש באודיו או בוידיאו.

לשם המחשה, אתם מוזמנים להיכנס באמצעות כרום לקישור הבא. מדובר באפליקציה מטופשת שיצרתי במספר דקות ומשתמשת בקוד פשוט על מנת לקחת את קלט הוידיאו ולהציג אותו על המסך. תראו שברגע שאתם נכנסים אל האתר, הדפדפן מבקש מכם הרשאה. לאחר מתן ההרשאה, תוכלו לראות את עצמכם באמצעות מצלמת הוידיאו. בנוסף, תוכלו לראות נקודה אדומה ובולטת בלשונית.

צילום באמצעות הדפדפן. ניתן להבחין בנקודה אדומה בולטת בלשונית הפעילה

אם תסגרו את הלשונית הזו ותפתחו אותה שוב, תוכלו להיווכח שהאתר לא מבקש מכם שוב הרשאה לשימוש במצלמת הוידיאו אלא מייד מפעיל את המצלמה. כאמור, בקשת ההרשאה היא חד פעמית והיא יכולה להשאר ב'זיכרון' הדפדפן למשך חודשים ואף שנים.

כל זה אינו חדש, אך גיליתי דרך להקליט/לצלם את המשתמש ללא מתן אישור ויזואלי בדפדפן כרום. מה שמאפשר לכל אתר שהוא שהצליח להשיג מכם הרשאה לצלם/להקליט אתכם לא ידיעתכם כלל – הישר מהדפדפן. חשוב לי להדגיש את החומרה שבעניין (לדעתי).

לא מדובר באפליקציה שאני יכול להסיר או להתקין כרצוני אלא באתר אינטרנט פשוט. כל מי שיש לו אתר אינטרנט יכול לצלם ולהקליט אתכם ללא שום חיווי מהדפדפן. אתם אפילו לא חייבים להיכנס לאתר הספציפי הזה על מנת שההקלטה תעבוד. ברגע שאתר כלשהו השיג את ההרשאה (שכאמור יכולה להינתן בהיסח הדעת) הוא יכול לצלם/להקליט אתכם בכל זמן נתון גם אם לא תיכנסו אליו. כל מה שצריך הוא הפעלת קוד פשוט.

איך זה עובד? אתם מוזמנים להיכנס לדוגמה בקישור הזה. לחיצה על הכפתור הראשון תגרום לאתר לבקש את ההרשאה. המשתמש יכול להיות רגוע, לא? תהיה לו אינדיקציה גרפית בולטת במידה והאתר יעשה שימוש בהרשאה ויקליט/יצלם את המשתמש.

אך לחיצה על הכפתור השני תפתח הדמיה של פופ אפ של חלון ריגול שיבצע הקלטה של 30 שניות באמצעות המיקרופון שלכם. שימו לב שבמהלך ההקלטה אין שום חיווי חזותי כלשהו בלשונית! בסיום ההקלטה ניתן יהיה להוריד את הקובץ שלה אל המחשב שלכם ולהאזין.

כמובן שמדובר בדוגמה בלבד. בהתקפה אמיתית, החלון לא יהיה כל כך גדול וברור אלא נסתר כפופ אנדר ובמימדים קטנים מאוד. הוא יכול גם להיסגר ברגע שיהיה עליו פוקוס. כמובן שניתן גם להפעיל את מצלמת הרשת ולא רק את הקול והפלט יכול להשלח לכל מקום שהוא. זו דוגמה בלבד ולא התקפה אמיתית. הדבר המטריד הוא שהמשתמש יכול לסגור את הלשונית המקורית והחלון הקטן ימשיך להקליט ללא התראה ויזואלית כלל.

בפיירפוקס התקלה הזו לא מתקיימת כיוון שההתראה הויזואלית היא מרחפת ואינה קשורה כלל ללשונית ספציפית. בדפדפן אדג' לא ניתן עדיין לבצע הקלטה, אז הפרצה הזו לא רלוונטית. בכרום זה מאוד רלוונטי ומדובר בדפדפן הפופולרי ביותר בעולם ובישראל.

כך נראות ההרשאות

מה התגובה של גוגל או יותר נכון של כרומיום שמטפל בעניינים האלו ? ובכן. פתחתי להם באג והם אישרו אותו. ייאמר לזכותם שההתייחסות היתה מהירה מאוד. אך הטענה של המאשר היתה שמדובר בבאג של פרטיות (שמתועדף נמוך יותר) ולא של אבטחה. עד אז, אני ממליץ לכולם לשים לב היטב למי הם נתנו הרשאות. בדיקת ההרשאות לאתרים מסובכת מעט – כניסה להגדרות -> הגדרות מתקדמות -> הגדרות תוכן -> גלילה עד ל'מצלמה' ו'מיקרופון' ולחיצה על 'ניהול'. שזה די שקול לשים אותן בארון בחדר שירותים נטוש, מאחורי דלת עם שלט "זהירות נמר".

ומה קורה במובייל? כפי שגוגל עצמם ציינו, במובייל אין חיווי ויזואלי כלל, נגעת? נסעת. אישרת? אפשר להקשיב לך. אתם יכולים לבדוק את זה בעצמכם. הכנסו אל הקישור של אפליקצית הדוגמה עם כרום מהנייד. תנו אישור ותראו שאיו שום התראה ויזואלית. יותר מכך, אם תשאירו את הלשונית פתוחה, לא תוכלו לעשות שימוש במצלמה כל עוד האתר משתמש בה.

מה לעשות? האם לשרוף את כרום ולרקוד מסביב למדורה? לא. רק חשוב להיות מודעים. כאמור בדיקה ידנית של ההרשאות ומחשבה על ההרשאות שנותנים היא קריטית כיוון שמתן הרשאה לאתר כלשהו בכרום נכון לעכשיו היא בעצם מתן הרשאה גורפת לאותו אתר צילום/הקלטה שלנו ללא ידיעתנו בכל רגע נתון.

מגוגל נמסר ל"הארץ":

* אנחנו לא מאמינים שמדובר בבאג שיש לו רגישות מבחינת אבטחה ולכן זה הגיוני שהוא יהיה פומבי
* רוב הבאגים בכרום הם פומביים אלא אם הם יכולים לשמש בכדי לפגוע בבטחונם של המשתמשים
* אנחנו בוחנים דרכים לשפר את הנושא ומתכוונים לעבוד על העניין

רן בר-זיק הוא מתכנת ב AOL ישראל; ומנהל את הבלוג internet-israel.com



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות