AOL Web-Entwickler Ran Bar-Zik hat unbedeckt ein Google Chrome Fehler, ohne den Benutzer Audio- und Video ermöglicht Wissen Websites aufzuzeichnen oder irgendwelche Anzeichen der Aktivität. Google hat jedoch nicht den Fehler betrachtet eine kritische Sicherheitslücke zu sein und nicht beabsichtigt, alles zu tun, um es zu patchen, zumindest nicht in absehbarer Zeit.
Chrome Bug Ermöglicht Websites, um Audio und Video, Google Say Problem ist nicht in Bezug auf Sicherheit
Was ist der Fehler alles über? Wenn eine bösartige Website des Bug ausnutzt, wird es noch die Zustimmung des Benutzers benötigen, um die Audio- und Video-Komponenten zugreifen. Wenn der Benutzer erlaubt nicht die Website das Recht, Nichts wird passieren. Auch wenn der Fehler nicht so ernst, kann es immer noch Möglichkeiten, sei es in Angriffe ausnutzen.
Wie funktioniert die Fehler Arbeit? Der Forscher kam über den Bug, während auf einer Website arbeiten WebRTC Code ausgeführt wird - das Protokoll für Streaming Audio und Video in Echtzeit. Der Forscher sagt, dass, wenn die Website der Erlaubnis Komponenten Video und Audio Zugriff gewährt, Die Website kann JavaScript-Code ausführen Audio- und Video aufzeichnen. Dieser Inhalt kann später über das Internet an andere Teilnehmer des Stroms gesendet werden.
Wie durch den Fehlerbericht des Forschers erklärt:
Nachdem sie die Audio Video Nutzungsberechtigungen für WebRTC. JS-Code kann den grafischen roten Punkt in der Registerkarte ohne zeigt Video Audio aufnehmen, wenn der Aufzeichnungsprozess läuft. d.h.. – nach der Genehmigung der Website gegeben ist, kann den Benutzer hören, wann immer er will. Es geschieht, weil JS `window.open` Methode nicht visuelle Anzeige auf Aufzeichnung init nicht geben.
Der Bericht gibt an, dass die Aufnahme nicht auf dem Registerkarte laufen hat, wo die Erlaubnis zum ersten Mal gewährt wurde, weil es die ganze Domäne umfasst. Dann fand der Forscher heraus kann er einen Knall startet im Browser, um den Code auszuführen, um Audio und Video aufnehmen. Chrome wird dann einen roten Kreis angezeigt und ein Punktsymbol in einem Fall die Website Aufzeichnung. Leider, das Popup ist ein kopflos Fenster ohne Tab-Leiste, und als solche den Benutzer wird es nicht sehen.
Wie in der eingangs genannten, Google wurde über die Chrome Fehler informiert, aber da das Unternehmen berücksichtigt nicht die Fehler ernst genug, es wird nicht jetzt damit umgehen.
“Das ist nicht wirklich eine Sicherheitslücke – beispielsweise, WebRTC auf einem mobilen Gerät zeigt keine Anzeige überhaupt im Browser. Der Punkt ist ein Best-erster Versuch, das nur auf dem Desktop funktioniert, wenn wir Chrom UI Platz zur Verfügung haben. Davon abgesehen,, wir suchen nach Wegen, diese Situation zu verbessern,” Google antwortete.