В Chromium выявлен факт скрытой загрузки бинарного исполняемого компонента
18 июня 2015 года
Разработчики проекта Debian обратили внимание на недопустимое поведение браузера Chromium, который начиная с 43 сборки начал без уведомления пользователя загружать непонятное дополнение "Chrome Hotword Shared Module", поставляемое в виде бинарного файла. Дополнение начинает загружаться сразу после первого запуска браузера, при этом загруженный компонент не отображается в списке установленных дополнений (chrome://extensions/), а в настройках не предусмотрено опции для отключения данного поведения.
Предполагается, что дополнение обеспечивает работу сервиса голосового управления "Ok Google", но сам факт скрытой загрузки непонятного исполняемого бинарного файла вызывает большие опасения и является значительным нарушением правил поставки пакетов в репозиториях Debian. В настоящее время разработчики Debian рассматривают целесообразность присвоения данной проблеме статуса уязвимости. Также разбирается ситуация, как загрузка бинарного компонента осталась незамеченной сопровождающими, формирующими пакеты для Debian. Провести полный аудит закрытого бинарного дополнения достаточно трудоёмкая задача, поэтому остаётся вероятность, что в такие дополнения могут быть интегрированы бэкдоры, которые могут контролировать действия пользователей (например, в дополнении Hotword постоянно включен захват звука, что можно использовать не только для анализа голосовых команд, но и для организации прослушивания).
Определить наличие дополнения можно через просмотр секции Shared Module в выводе "chrome://voicesearch", а отключить дополнение можно лишь удалив директорию "Extensions/lccekmodgklaepjeofjdjpbminllajkg/". Выпущенное на днях обновление пакета Chromium для Debian содержит исправление, блокирующее загрузку бинарного модуля. В остальных дистрибутивах, судя по всему, Chromium 43 продолжает загружать бинарный модуль.
Разработчики проекта Chromium прокомментировали наличие модуля тем, что он не активируется без явного включения опции "Enable Ok Google" в настройках chrome://settings. Т.е. модуль только загружается, но не выполняется без одобрения пользователя (на деле, модуль помечается активным даже при выключенной поддержке Ok Google, см. скриншоты ниже). Отсутствие в списке установленных дополнений объясняется тем, что внутренние модули не выводятся в этом списке. Бинарный характер дополнения связан с реализацией модуля с использованием технологии Native Client и применением проприетарного алгоритма распознавания речи, код которого не является открытым. В ответ на критику разработчики Chromium уже добавили специальный сборочный флаг, запрещающий предварительную загрузку модуля.
Дополнение: Разработчики дистрибутива Arch Linux уже отреагировали на инцидент созданием собственной сборки Chromium, ориентированной на соблюдение приватности.
Источники
правитьЛюбой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.