Actus

Cette faille dans l’extension Screencastify permet d’activer votre webcam

Par hfrance , le 25 mai 2022 - 2 minutes de lecture
webcam screencastify
5/5 - (1 vote)

Screencastify a procédé à une mise à jour urgente de son extension afin de corriger une importante faille de sécuritée. Screencastify est une extension très populaire pour le navigateur Google Chrome. La vulnérabilité permet à un pirate d’activer la webcam de votre ordinateur mais également d’enregistrer une vidéo à votre insu !

La faille a été découverte le 14 février 2022 par le chercheur en sécurité Wladimir Palant. Il a pris soin d’informer l’équipe de Screencastify sur la présence de cette faille de sécurité XSS. Les développeurs ont réagi rapidement pour corriger cette vulnérabilité.

L’extension Screncastify permet d’enregistrer son écran et elle est très populaire, elle a été téléchargée plus de 10 millions de fois ! Le catalogue Google Chrome n’affichant pas le nombre de téléchargement supérieur à 10 millions il est fort probable que le chiffre soit beaucoup plus important.

Screencastify est un outil de création de vidéos en ligne permettant d’enregistrer des séquences vidéo, de les éditer puis de les partager. Pour l’utiliser vous devez ajouter l’extension dans votre navigateur. Enfin pour stocker les vidéos l’extension  va se greffer à votre espace de stockage Google Drive grâce à Google OAuth.

Screencastify propose une interface intuitive et simple d’utilisation. L’enregistrement de séquences vidéo est gratuit et illimité, il suffit de sélectionner une séquence à enregistrer puis de cliquer sur « Create Video » pour commencer

Screencastify et les failles de sécurité

La vulnérabilité XSS permet aux pirates d’utiliser la fonctionnalité d’enregistrement vidéo. Cette même vulnérabilité permet également de se connecter au Google Drive de l’utilisateur via Oauth et ainsi récupérer les vidéos enregistrées.

Pour prouver que la vulnérabilité fonctionne, Wladimir Plant a développe un POC (proof of concept)  que les attaquants pourraient utiliser pour lancer la webcam des utilisateurs de Screencastify de manière transparente.

Certains services tiers s’appuient sur Screencastify et ils n’ont pas forcément procédé à la mise à jour. Pour résoudre le problème l’équipe de developpeurs ajoutera un message pour que les utilisateurs valident l’activation de la webcam.

 

 

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.