A popular extensão Screencastify, que permite gravar o computador e editar vídeos diretamente do navegador Google Chrome, anunciou a correção de uma vulnerabilidade que permitia que agentes maliciosos sequestrasse o controle de webcams de computadores e gravassem vídeos. A aplicação conta com mais de 10 milhões de downloads, segundo a página oficial dela na Google Web Store.
A falha foi inicialmente detalha em fevereiro de 2022, pelo pesquisador de segurança virtual Wladmir Palant, que relatou a vulnerabilidade para os desenvolvedores da extensão. Porém, ao passo que a falha grave foi corrida, outras questões abordadas pelo especialista, como falhas de privacidade na solução, não foram abordadas até o momento.
A falha corrigida ocorria pelo fato que o Screencastify, para poder oferecer suas opções de edição de vídeo, se conecta diretamente com o site de seus desenvolvedores, com uma vulnerabilidade XSS (Cross-site Scripting, tipo de ataque de injeção de código malicioso em aplicações web) presente na página e permitindo assim que agentes maliciosos pudessem iniciar gravações sem conhecimento do usuário.
Ainda mais grave é a questão que como a aplicação exige acesso ao Google Drive para subir os vídeos gravados, além de ter um token OAuth permanente, os criminosos ganham acesso ao armazenamento de nuvem dos usuários, podendo baixar qualquer arquivo armazenado nele.
Mesmo com correção, riscos de segurança em extensão do Chrome persistem
Mesmo com a falha já corrigida, o especialista Wladmir Palant afirma que ainda existem riscos de segurança no Screencastify, que ainda possibilitam a gravação sigilosa de vídeos através da extensão.
O pesquisador afirma que isso ocorre pelo domínio do Screencastify utilizado para tratamento dos vídeos também ser utilizado por várias outras empresas como Atlassian e ZenDesk — e que podem não ter corrigido ainda a falha de XSS em questão. Em
Com isso, mesmo na versão mais atual do Screencastify, os problemas relatados acima ainda podem ser abusados a partir de outros utilizadores do domínio, ainda colocando em riscos os usuários e sua privacidade.
Para Palant, os desenvolvedores do Screencastify afirmaram está de olho na questão e vendo formas de proteger seus usuários, mas enquanto a correção definitiva não é disponibilizada, o especialista afirma que o perigo dos usuários da extensão continua existindo.
Origem: Canaltech.
joao.marcelo@guiadocftv.com.br
GuiadoCFTV
Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?
Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’
Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br