ラップトップのWebカメラにテープを貼って、外部からののぞき見を防いでいる人がいるよね。でもそれは、妥当な行為なのだ。
今日(米国時間6/13)登場したハッキングのデモは、ブラウザからWebカメラを操作してユーザの写真を撮る(そして盗る)。もちろんユーザの承認なしで。
実際にはユーザは承認をしているのだが、そのことを自分で知らないだけだ。
セキュリティコンサルタントのEgor Homakovが概要を説明しているが、このハックはいくつかの昔からあるトリックを駆使してFlashの事前承認要件を回避し、ユーザの明示的な許可なしでカメラやマイクにアクセスする。
簡単に言うとそのデモは、CSS/HTMLの高度なトリックを多量に使って、Flashの許可プロンプトを透明な層の上に表示し、その今や見えない”Allow”(許可する)ボタンの上にユーザがクリックしそうなもの…ビデオの”Play”ボタンなど…を置く。
このテクニックそのものは、クリックジャック(clickjacking)と呼ばれ、前からある。ぼくはこれまで、そういうものについて書くことを避けてきたが、それは、知る人が少なければ被害の広まりも少なくて、実害を受けるまえに対策も可能だ、と思うからだ。でもクリックジャックなどはすでにハッカーたちのあいだで、あまりにもポピュラーだ。Adobeのセキュリティブログは、そのバグは2011年に退治した、と示唆している。“いかなるユーザアクションもFlash Playerプロダクトのアップデートも不要”、だそうだ。
しかしそれでも、その虫はまだ生きている。MacのChromeで試してみたが、ユーザの目に見えるプロンプトはいっさいなしで、Webカメラが操作される。IE 10でそれに‘成功’した人もいる。しかしSafariとFirefoxの最新リリースにはパッチがあてられているようだ。カメラが操作された証拠にLEDが点灯するが、ほとんど一瞬だから気づかない人が多いだろう。
そのデモはここにあるが、女性のセミヌード写真などが使われているので、職場では試さない方がよいだろう。それに、あなたの写真が確実に撮られてしまう。作者はそれを保存していないと言っているが、でもここ以外のサイトでは、その保証はない。
あなたのブラウザで許可ボックスが表示されずにPlayボタンをクリックすると、あなたの写真が撮られ、そのブラウザはテスト不合格となる。許可ボックスが表示されたり、クリックがブロックされたら、あなたは安全だ(少なくともこのハッキングに関しては)。
では、何がそんなに問題なのか? あなたが、自分にとって“なじみの”サイトを閲覧していたとしよう。でもその、信用の置けるサイトから3〜4クリック先で、兎の穴に落ちてしまった。何かおもしろそうなものの上のPlayボタンを、思わずクリックしたら、意外や意外、Webカメラの上のLEDが光り、その2秒後には自分の撮れたての写真が画面に出ている。何がそんなに問題なのか? それはもしかして、そのときの自分の手かもしれない……。
幸いにも、こんないたずらから身を守るのは比較的簡単だ。Webカメラにテープを貼る方法は少々格好悪いけど、知らない間にTumblrにあなたの恥ずかしい写真が載るよりは、ましだろう。Firefoxのユーザなら、NoScriptのようなプラグインを使える(信用できるサイトでのみ無効にすればよい)。
うーん、NSAがPRISMでこのハッキングを使うことも、ありかな?
[*NoScript的なエクステンションはChromeにもあるが、まだ読者にお勧めできるほど良いものを見つけていない。]
上の覗き見の画像はRobert Montalvoの提供、Creative Commonsのライセンスによる。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))
