Chrome : une faille dans l’extension Screencastify permet d’activer votre webcam
Une faille de sécurité importante vient d'être corrigée au sein de Screencastify, une extension très populaire pour le navigateur Google Chrome. En exploitant cette vulnérabilité, un attaquant peut activer la webcam de l'utilisateur et récupérer la vidéo enregistrée. Même si la faille de sécurité est corrigée, le risque reste élevé.
Le 14 février 2022, le chercheur en sécurité Wladimir Palant a informé l'éditeur de Screencastify de la présence de cette faille de sécurité XSS. Dans la foulée, cette vulnérabilité a bénéficié d'un correctif. Néanmoins, le problème de sécurité n'est que partiellement corrigé, ce qui remet en cause le respect de la vie privée et la sécurité des utilisateurs qui utilisent cette extension.
Il faut dire que cette extension, qui permet d'enregistrer son écran, est très populaire, et c'est d'autant plus vrai depuis le début de la pandémie de la Covid-19. Si l'on se réfère au Chrome Web Store, cette extension compte plus de 10 millions de téléchargements, tout en sachant qu'au-delà de 10 millions, cette statistique n'évolue pas donc ce pourrait être bien plus.
Screencastify fonctionne de la façon suivante : vous ajoutez l'extension à votre navigateur et vous lui donnez accès à votre espace de stockage Google Drive via un jeton Google OAuth permanent afin que les enregistrements vidéos soient stockés sur votre Drive au sein d'un dossier visible par l'utilisateur. Ensuite, vous exploitez vos enregistrements à partir de la plateforme Screencastify qui offre des fonctionnalités de montages vidéos. En complément, l'extension nécessite un accès à plusieurs API : API WebRTC, desktopCapture API et tabCapture API pour les enregistrements.
Screencastify : les dangers de cette faille de sécurité
Une vulnérabilité XSS existant sur le site web permettait aux attaquants d'enregistrer une vidéo via Screencastify, qui serait ensuite téléchargée sur l'espace Google Drive de l'utilisateur. Ensuite, cette même vulnérabilité permettait de voler le jeton OAuth de Google Drive et donc de télécharger la vidéo créée à partir de Google Drive.
Le chercheur Wladimir Palant a développé un exploit PoC que les attaquants pourraient utiliser pour lancer la webcam des utilisateurs de Screencastify de manière transparente. D'après lui, le problème de sécurité se situe dans la page d'erreur affichée si vous avez déjà soumis une vidéo pour un exercice via un cours en ligne, d'autant plus que cette page est accessible à une adresse fixe donc elle peut être réutilisée facilement. Par exemple, il a créé une fausse page qui intègre la page d'erreur Screencastify dans une iframe, et lorsqu'un utilisateur clique, cela déclenche l'exploit et active la webcam sans que l'utilisateur s'en rende compte et qu'il en soit informé.
Même si cette faille de sécurité est corrigée dans l'extension et que les sites de Screencastify sont protégés également, ce n'est pas forcément le cas de certains services tiers qui s'appuient sur Screencastify (ou des sous-domaines de Screencastify géré par des tiers) donc les utilisateurs pourraient se faire piéger. Il ne devrait pas être possible d'activer la webcam sans avertir l'utilisateur, ce qui nécessite une mise à jour de la politique de sécurité de l'application : chose qui, normalement, est en cours.
