AOL webudvikler Ran Bar-Zik har afdækket en fejl i Google Chrome, der tillader hjemmesider at optage lyd og video uden brugerens viden eller nogen tegn på aktiviteten. Google dog mener ikke fejlen at være en kritisk sikkerhedsproblem og har ikke planer om at gøre noget for at lappe det, i hvert fald ikke lige foreløbig.
Chrome Bug Giver Websites for at optage lyd og video, Google Sig problem er ikke sikkerhedsrelateret
Hvad er fejlen handler om? Hvis en ondsindet hjemmeside udnytter fejlen, det vil stadig brug brugerens tilladelse til at få adgang til lyd og video-komponenter. Hvis brugeren ikke tillader hjemmesiden højre, intet vil ske. Selvom fejl er ikke så alvorligt, der stadig kan være måder at udnytte det i angreb.
Hvordan fungerer bug arbejde? Forskeren stødte på fejl, mens du arbejder på en hjemmeside kører WebRTC kode - protokollen for streaming af lyd og video i realtid. Forskeren siger, at hvis der er givet webstedet tilladelse til at få adgang til video og audio-komponenter, hjemmesiden kan køre JavaScript-kode til at optage lyd og video. Dette indhold kan senere sendes over nettet til andre deltagere i åen.
Som forklaret af forskerens fejlrapport:
Efter at have fået de audio video brug tilladelser for WebRTC. JS kode kan optage video audio uden at vise den grafiske røde prik i fanen, når posten processen kører. dvs.. – efter tilladelsen er givet sitet kan lytte til brugeren, når han ønsker at. Det sker, fordi JS `window.open` metode ikke giver visuel indikation på rekord init.
Rapporten viser, at optagelsen ikke behøver at køre på fanen, hvor tilladelsen blev oprindeligt givet, fordi det dækker hele domænet. Så forskeren fundet ud af at han kunne starte en pop up i browseren til at køre koden for at optage lyd og video. Chrome vil derefter vise en rød cirkel og en prik ikon i en sag hjemmesiden optager. Desværre, popup er en hovedløs vindue uden fane bar, og som sådan at brugeren ikke vil se det.
Som nævnt i begyndelsen, Google blev informeret om Chrome bug, men da selskabet ikke anser fejlen alvorlig nok, det vil ikke beskæftige sig med det for nu.
“Det er virkelig ikke en sikkerhedsbrist – for eksempel, WebRTC på en mobil enhed viser ingen indikator på alle i browseren. Prikken er en best-første indsats, der kun virker på skrivebordet, når vi har krom UI plads til rådighed. Når det er sagt, vi ser på måder at forbedre denne situation,” Google svarede.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: