By DAVID BURILLO

セキュリティの観点から、ウェブブラウザがPCのマイクやカメラを使用している際には画面にアイコンが表示されて通知するようになっています。しかし、Google Chromeの特定の状況下においてはその通知が表示されない状態になっており、悪用されると気づかないうちに会話や自分の様子をカメラとマイクで盗み見られてもおかしくない状態になっていることが明らかになっています。

The new HTML5 video\audio API has privacy issues on desktop Chrome

https://medium.com/@barzik/the-new-html5-video-audio-api-has-privacy-issues-on-desktop-chrome-5832c99c7659

Chrome Flaw Allows Sites to Secretly Record Audio/Video Without Indication

http://thehackernews.com/2017/05/browser-camera-microphone.html

Google Chromeを使ってWebRTCプロトコルのビデオチャットなどを行っている際には、ウィンドウのタブにこのような赤いドットアイコンが表示され、カメラとマイクが使用中であることが通知されるようになっています。



これはもちろんユーザーに「いまカメラが動作していますよ」と言うことを知らせることが目的であり、自分のプライベートな情報を流出させてしまわないために重要なもの。しかし、インターネット企業・AOLで開発者を務めるRan Bar-Zik氏はこのドットアイコンが表示されない状況が起こることを発見しました。セキュリティ上の大きな問題になると考えたRan Bar-Zik氏は2017年4月10日、GoogleのChromiumコミュニティでこの件を報告したのですが、コメントには「この件はセキュリティ上の脆弱性ではない」という書き込みがあったとのこと。

709952 - Security: Sites client side code can record audioideo without the tab red dot visual alert. - chromium - Monorail



コメント欄では「モバイル端末上でWebRTCを使った場合にも同様に通知は表示されません。この赤いドットはデスクトップ環境で十分なスペースが残されているときに表示されるベストエフォート的な機能です」と、バグの類いではないとする返答が書き込まれつつも、「とはいうものの、コミュニティではこの状況を改善する方法を検討しています」という内容が記されています。

現時点で確認されている「赤いドットが非表示になる環境」は、JavaScriptを使ってブラウザウインドウのヘッダを表示させない状態でポップアップウインドウを開いたときのみ。以下のスクリーンショット画面がその実際の様子で、WebRTCによるストリーミングが行われているにも関わらず、手前にポップアップしたウインドウにはそのことを示す赤いドットアイコンが表示されていないことがわかります。



Chromiumコミュニティとしては、いわば「仕様どおり」という理由で「バグではない」と判断したわけですが、Ran Bar-Zik氏はユーザーが知らないうちに悪意のあるウェブサイトの攻撃を受ける危険があるとして、自ら公表に踏み切ったとのこと。以下のデモ用ページにアクセスすると、実際にその様子を自分のPCでも確認することができるようになっています。

WEB RTC Chrome vulnerability example