BrowseAloud - BrowseAloud

BrowseAloud est un logiciel de technologie d'assistance qui ajoute une fonctionnalité de synthèse vocale aux sites Web. Il est conçu par Texthelp Ltd, une société basée en Irlande du Nord qui se spécialise dans la conception de technologies d'assistance. BrowseAloud ajoute des outils d'aide à la parole et à la lecture au contenu en ligne pour étendre la portée des sites Web pour les personnes ayant besoin d'une aide à la lecture. L' outil basé sur JavaScript ajoute une barre d'outils flottante à la page Web visitée. Le service est payé par l'éditeur du site ; et est gratuit pour les visiteurs du site Web.

BrowseAloud a été utilisé au Royaume-Uni par les conseils locaux et certaines parties du National Health Service . Le logiciel a remporté un New Statesman New Media Award en 2004.

Controverses

BrowseAloud a été critiqué par les technologues pour la nécessité d'utiliser une souris pour sélectionner du texte avant que BrowseAloud ne le lise. Cela nécessitait une vision et des habiletés motrices à utiliser, rendant BrowseAloud inaccessible aux groupes qui pourraient utiliser d'autres lecteurs d'écran , tels que JAWS . Les commentateurs ont noté que BrowseAloud ne remplace pas de tels outils.

Logiciels malveillants

Le 11 février 2018, un dimanche, plus de 4 200 clients BrowseAloud (certaines sources ont indiqué plus de 5 000) ont vu leurs sites Web infectés par le code Coinhive après le piratage de BrowseAloud, hébergé sur Amazon Web Services . Bien que Coinhive - qui génère Monero , une forme de crypto- monnaie - ait des utilisations légitimes, son insertion de la manière de l'attaque a été décrite comme "malveillante" par le rédacteur en chef de The Register , Chris Williams; et en tant que "malware" par Taylor Hatmaker, dans TechCrunch .

Le service BrowseAloud a été désactivé par Texthelp, pour permettre à leurs ingénieurs d'enquêter sur la faille de sécurité et de supprimer le code malveillant. Le registre a estimé que le code était actif dans BroswseAloud jusqu'à treize heures. Il a utilisé les ordinateurs des visiteurs pour effectuer des calculs intensifs en calcul, ralentissant potentiellement les performances de leur ordinateur et réduisant la durée de vie de la batterie ou consommant leur électricité. Le National Cyber ​​Security Center a qualifié cette activité d'"illégale".

Parmi les clients dont les sites Web ont été touchés figuraient le Commissaire à l'information du Royaume-Uni (qui a fermé son site Web par mesure de précaution), le Bureau administratif des tribunaux américains et les gouvernements des États australiens de Victoria et du Queensland.

Le problème a été détecté par Scott Helme, un consultant en sécurité de l'information basé au Royaume-Uni. Hatmaker et Boyd ont chacun souligné que la vulnérabilité utilisée dans l'attaque aurait pu être utilisée pour voler les informations personnelles des visiteurs. Helme et le NCSC ont tous deux recommandé que les développeurs de sites Web utilisent l' intégrité des sous-ressources comme moyen de défense contre de telles attaques.

On estime que l'attaque n'a rapporté aux attaquants que l'équivalent de 24 $ dans la crypto-monnaie Monero . Certains commentateurs, tels que Chris Boyd de Malwarebytes , ont suggéré que l'attaque était relativement bénigne, car les attaquants auraient pu tester une méthode pour une utilisation future.

Les références

Liens externes

• Site officiel