PCやスマートフォンに搭載されているソフトウェア・アプリがユーザーに気づかれないように、インジケーターランプを点灯させずにカメラやマイクを起動し、こっそり写真を撮影したり動画や音声を記録する……ということの危険性は、これまでも指摘されてきました。新たな報告では、Googleの広告ネットワークを通じて表示される広告が、ブラウザに対してカメラやマイクへのアクセスを求めていたことが判明しています。
An iframe from googlesyndication.com tries to access the Camera and Microphone
https://techsparx.com/software-development/security/csp-camera-microphone.html
ソフトウェア・エンジニアのデイビッド・ヘロン氏は、「広告ネットワークがカメラやマイクにアクセスする正当な目的はありませんが、JavaScriptコンソールの中で、『何の広告を表示させるか』に関連して、それを実現させようとする動きを発見しました」と述べています。
ヘロン氏によると、これは「safeframe.googlesyndication.com」というドメインを持つ広告の中で発見されたとのこと。「GoogleSyndication.com」というドメインは、Googleの広告管理プラットフォーム・Googleアドマネージャーを利用する広告の配信で利用されるもの。「広告ネットワークがカメラやマイクにアクセスしようとしている」という動きだけを聞くとマルウェアの疑いが持たれるものですが、Google正規の広告配信サービスを介していることを考えると、マルウェアが配布されているという可能性は少ないとヘロン氏はみています。
ヘロン氏がカメラやマイクへのアクセスを確認したのは、「techsparx.com」というウェブサイト。techsparx.comは「Ezoic」というサービスを利用しており、Ezoicは一部の広告にGoogleアドマネージャーを使用しています。ヘロン氏が見たところ、techsparx.comはiframeでsafeframe.googlesyndication.comからコンテンツを読み込んでいたとのこと。ただし、この動きによってブラウザのセキュリティ機能であるFeature Policyが動作することになり、カメラとマイクへのアクセスは拒否されたそうです。
https://gigazine.net/news/20211221-iframe-googlesyndication-com-camera-microphone/
