Door een kwetsbaarheid in surveillancesoftware Proctorio was het mogelijk voor aanvallers om toegang tot onder andere de webcam en e-mailaccounts van gebruikers te krijgen. Eén muisklik op een verkeerde link zou voldoende zijn geweest, zo ontdekten beveiligingsonderzoekers Daan Keuper en Thijs Alkemade van it-bedrijf Computest.

Verschillende Nederlandse universiteiten en hogescholen maken gebruik van Proctorio bij het afnemen van online tentamens en examens. De software monitort tijdens het examen continu de webcam, microfoon, webverkeer, beeldscherm, muis en keyboard. Studenten moet een browserplug-in installeren om de software te kunnen gebruiken. Proctorio is beschikbaar voor Microsoft Edge, Google Chrome, Opera en Brave.

De Chrome-extensie was kwetsbaar voor Universal Cross-Site Scripting, zo ontdekten Alkemade en Keuper. In tegenstelling tot normale cross-site scripting, waarbij er misbruik wordt gemaakt van kwetsbare webapplicaties, maakt universal cross-site scripting misbruik van kwetsbaarheden binnen de browser.

Hierdoor is het mogelijk om het gedrag van de browser aan te passen en bijvoorbeeld beveiligingsfeatures te omzeilen of uit te schakelen. Een aanvaller kan op deze manier niet alleen toegang tot een gecompromitteerde sessie van een kwetsbare webpagina krijgen, maar tot sessies van alle websites die op dat moment zijn geopend.

Via de kwetsbaarheid in de Proctorio-extensie was het mogelijk voor een malafide website om toegang tot bijvoorbeeld de webcam van de gebruiker te krijgen. Zodra Proctorio actief wordt het extensie-icoon in de browserbalk groen. Door het versturen van een message was het echter mogelijk om het icoon weer grijs te maken, ook al bleef Proctorio gewoon draaien.

In een analyse van de kwetsbaarheid laten de onderzoekers zien hoe ze toegang tot de webcam en Gmail-inbox van gebruikers kunnen krijgen, waarbij een enkele muisklik volstaat. Het beveiligingslek werd op 18 juni aan Proctorio gemeld. Op 25 juni liet het bedrijf weten dat de kwetsbaarheid was verholpen. Iets dat de onderzoekers op 3 augustus bevestigden.

Google Chrome installeert automatisch updates voor geïnstalleerde extensies. Gebruikers hoeven dan ook geen actie te ondernemen. Wel adviseren de onderzoekers om extensies te verwijderen zodra ze niet langer nodig zijn.