Скрытие загрузки бинарника в Chromium | автор: admin | 13 августа 2015
Категория: GNU/Linux
Разработчики Дебиан заметили что браузер Chromium 43 сборки, скрытно загружает непонятный бинарник под названием "Chrome Hotword Shared Module". Дополнение загружается сразу после первого запуска Chromium, при этом загруженное дополение не показано в списке установленных рашсирений (chrome://extensions/), а в настройках нет опции отключения такого поведения.
Предполагают, что расширение поддерживает работу службы управления голосом "Ok Google", но сам факт скрытия загрузки странного бинарника является значетельным нарушением правил пакетов Дебиан и вызывает серъёзные опасения. Разработчики Дебиан рассматривают, целесообразно ли присвоить статус уязвимости данной проблеме.
Также расследуется ситуация, почему майтнайеры, формирующие пакеты Дебиан, прозивали скрытую загрузку бинарника. Провести полноценный аудит закрытого бинарника достаточно сложно, поэтому остаётся верить, что в таких "расширениях" нет бэкдоров, шпионящих за действиями пользователя (например, в расширении Hotword, постоянно включен захват звука, для вероятного анализа речевых команд и прослушивания).
Найти "расширение" можно в "chrome://voicesearch", а отключить можно только удалением папки "Extensions/lccekmodgklaepjeofjdjpbminllajkg/". Выпущенное недавно обновление пакета Chromium для Дебиан, блокирует загрузку бинарника. Остальные дистрибутивы, скорее всего, ещё не исправили баг.
Разработчики Chromium оправдываются тем что данный модуль включается только если пользователь активировал опцию "Enable Ok Google" в настройках chrome://settings. Но на деле, модуль помечен активным даже при включенном
Ok Google (скрины ниже). Отсутствие модуля в списке установленных дополнений оправдыват тем что встроенные модули не отображаются в данном списке. Отсутствие исходников модуля связано с разработкой модуля на свободной технологии Native Client (загрузка машинного кода в браузере, независимо от ОС) и применением собственнического алгоритма распознавания речи. В ответ на критику, разработчики Chromium поспешили добавить специальный сборочный флаг, запрещающий предварительную загрузку "расширения".
Разработчики Arch linux тут же создали ещё один форк Chromium (Inox Browser), ориентированной на соблюдение анонимности.
http://www.opennet.ru/opennews/art.shtml?num=42452
Прочитано 24163 раз
Разработчики Дебиан заметили что браузер Chromium 43 сборки, скрытно загружает непонятный бинарник под названием "Chrome Hotword Shared Module". Дополнение загружается сразу после первого запуска Chromium, при этом загруженное дополение не показано в списке установленных рашсирений (chrome://extensions/), а в настройках нет опции отключения такого поведения.
Предполагают, что расширение поддерживает работу службы управления голосом "Ok Google", но сам факт скрытия загрузки странного бинарника является значетельным нарушением правил пакетов Дебиан и вызывает серъёзные опасения. Разработчики Дебиан рассматривают, целесообразно ли присвоить статус уязвимости данной проблеме.
Также расследуется ситуация, почему майтнайеры, формирующие пакеты Дебиан, прозивали скрытую загрузку бинарника. Провести полноценный аудит закрытого бинарника достаточно сложно, поэтому остаётся верить, что в таких "расширениях" нет бэкдоров, шпионящих за действиями пользователя (например, в расширении Hotword, постоянно включен захват звука, для вероятного анализа речевых команд и прослушивания).
Найти "расширение" можно в "chrome://voicesearch", а отключить можно только удалением папки "Extensions/lccekmodgklaepjeofjdjpbminllajkg/". Выпущенное недавно обновление пакета Chromium для Дебиан, блокирует загрузку бинарника. Остальные дистрибутивы, скорее всего, ещё не исправили баг.
Разработчики Chromium оправдываются тем что данный модуль включается только если пользователь активировал опцию "Enable Ok Google" в настройках chrome://settings. Но на деле, модуль помечен активным даже при включенном
Ok Google (скрины ниже). Отсутствие модуля в списке установленных дополнений оправдыват тем что встроенные модули не отображаются в данном списке. Отсутствие исходников модуля связано с разработкой модуля на свободной технологии Native Client (загрузка машинного кода в браузере, независимо от ОС) и применением собственнического алгоритма распознавания речи. В ответ на критику, разработчики Chromium поспешили добавить специальный сборочный флаг, запрещающий предварительную загрузку "расширения".
Разработчики Arch linux тут же создали ещё один форк Chromium (Inox Browser), ориентированной на соблюдение анонимности.
http://www.opennet.ru/opennews/art.shtml?num=42452
ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 13 августа 2015-го года !
Прочитано 24163 раз