Уязвимость в Screencastify позволяла сайтам шпионить за пользователями через камеры

Популярное расширение Screencastify для Chrome, предназначенное для захвата и обмена видео с сайтов, содержит уязвимость межсайтового скриптинга (XSS), позволяющую произвольным сайтам заставлять пользователей непреднамеренно включать свои камеры. С помощью данной уязвимости злоумышленники могут скачивать полученные видео с Google Диска жертв.

Проблема была обнаружена разработчиком Владимиром Палантом, который сообщил о своей находке производителю в феврале 2022 года. Хотя уязвимость была исправлена на следующий же день, по словам Паланта, расширение все еще представляет угрозу, поскольку код доверяет множеству партнерских поддоменов, и XSS-уязвимость на любом из них может потенциально использоваться для атак на пользователей Screencastify.

«Расширение предоставляет screencastify.com достаточно привилегий для записи видео через web-камеру пользователя и получения результата. Никакого взаимодействия с пользователем не требуется, а видимые индикаторы происходящего практически отсутствуют. Можно даже скрыть свои следы – достаточно лишь удалить видео с Google Диска и использовать другое сообщение для закрытия вкладки с расширением после завершения записи», – пояснил Палант.

Примечательно, что расширение предоставляет эти привилегии не только Screencastify через app.screencastify.com, но также ряду других доменов, в том числе Webflow, Teachable, Atlassian, Netlify, Marketo, ZenDesk и Pendo через поддомены Screencastify.

По словам Паланта, ни домены, ни поддомены Screencastify, делегированные партнерам, не имеют адекватной политики безопасности контента.

Разработчик обнаружил проблему 14 февраля 2022 года, а уже 15 она была исправлена. Согласно полученному им сообщению от производителя, должен был также быть реализован долгосрочный план по внедрению политик безопасности контента, но по состоянию на 23 мая политики так и не были реализованы ни для app.screencastify.com, ни для www.screencastify.com , за исключением добавления framing protection.

Изученный Палантом API не был ограничен и по-прежнему издает токены Google OAuth, с помощью которых можно получать доступ к Google Диску жертв.