Cada sitio web que trata de acceder a la webcam y el micrófono necesita contar con la autorización adecuada dentro de Google Chrome, salvo que el usuario haya bloqueado ambas cosas manualmente. Cuando estos dispositivos son activados, aparece un pequeño punto rojo en la pestaña responsable. Sin embargo, un desarrollador que trabaja para AOL descubrió un bug que permite rodear a ese indicador visual e iniciar la grabación de audio y/o vídeo sin que el usuario lo sepa.
En lo personal no tengo una webcam conectada a mi ordenador de escritorio, y jamás reemplacé al micrófono después de que la gravedad se encargó de explicarle algunos detalles sobre integridad física. Pero la historia es muy diferente en ordenadores portátiles, que ya traen integrados a ambos accesorios. Desde hace tiempo se observa al combo webcam-micrófono como un riesgo de seguridad, y no faltan los usuarios que colocan una cinta en la lente de la cámara, deshabilitan por completo al micrófono, o abren el equipo para retirar estos componentes. Por otro lado, encontramos muchos servicios en línea que hacen un uso legítimo del micrófono y la webcam, sin depender de elementos externos. Todo lo que requieren es un navegador compatible, y por cuestiones de popularidad, Google Chrome aparece al tope de la lista.
El problema es que una versión reciente del navegador posee un bug en el indicador visual que reporta el acceso a la webcam y el micrófono por parte de un sitio. Un desarrollador web de AOL llamado Ran Bar-Zik descubrió este bug mientras trabajaba en un sitio que ejecutaba código WebRTC. Para aquellos que no lo conocen, WebRTC es el protocolo encargado de brindar soporte al streaming de audio y vídeo en tiempo real. En una situación normal, el sitio web solicita permiso al usuario, y una vez que activa los dispositivos, un pequeño punto rojo aparece en la pestaña. Bar-Zik detectó que el código para realizar grabaciones no necesita ser ejecutado bajo la pestaña que pidió permiso en primer lugar. Lo que hace Google Chrome es habilitar el acceso a todo un dominio, por lo tanto, un simple popup en segundo plano es más que suficiente para grabar la actividad del usuario, y evitar el indicador rojo en la pestaña.
Bar-Zik creó una prueba de concepto aquí para que todos los usuarios interesados puedan evaluar lo que sucede, y si bien ya reportó el bug a Google, la respuesta fue un poco fría. Mountain View no ve al uso de popups para grabar contenido y rodear al indicador como un inconveniente de seguridad porque el sitio necesita sí o sí de la autorización previa del usuario, y Google Chrome ni siquiera cuenta con dicho indicador en su versión móvil, aunque admitió que la situación puede ser «optimizada». En otras palabras, lo más probable es que haya un ajuste, sin embargo, no se trata de algo urgente.