développeur web AOL Ran Bar-Zik a découvert un bug de Google Chrome qui permet aux sites Web d'enregistrer audio et vidéo à l'insu de l'utilisateur ou des signes de l'activité. Google ne considère cependant pas le bug d'être un problème de sécurité critique et ne prévoit pas de faire quoi que ce soit pour patcher, du moins pas dans un avenir proche.
Bug Chrome permet aux sites web pour un enregistrement audio et vidéo, Google Say question n'est pas liées à la sécurité
Quel est le bug tout au sujet? Si un site Web malveillant exploite le bug, il aura encore besoin de l'autorisation de l'utilisateur pour accéder aux composants audio et vidéo. Si l'utilisateur ne permet pas le site le droit, rien ne se passera. Même si la faille est pas grave, il peut encore y avoir des moyens de l'exploiter dans des attaques.
Comment fonctionne le bug? Le chercheur est tombé sur le bug tout en travaillant sur un site en cours d'exécution du code WebRTC - le protocole pour le streaming audio et vidéo en temps réel. Le chercheur affirme que si le site est autorisé à accéder aux composants vidéo et audio, le site peut exécuter du code JavaScript pour enregistrer audio et vidéo. Ce contenu peut ensuite être envoyé sur le Web à d'autres participants du flux.
Comme l'a expliqué le rapport de bogue du chercheur:
Après avoir obtenu les autorisations d'utilisation audio vidéo pour WebRTC. le code JS peut enregistrer de l'audio vidéo sans montrer le point rouge graphique dans l'onglet lorsque le processus d'enregistrement est en cours. i.e. – après l'autorisation est donnée sur le site peut écouter l'utilisateur quand il veut. Il est fait parce que JS `méthode window.open` ne donne pas une indication visuelle sur le disque d'initialisation.
Le rapport indique que l'enregistrement ne doit pas fonctionner sur l'onglet où l'autorisation a été accordée initialement parce qu'elle couvre l'ensemble du domaine. Ensuite, le chercheur a découvert qu'il pouvait commencer un pop up dans le navigateur pour exécuter le code pour enregistrer l'audio et la vidéo. Chrome affiche alors un cercle rouge et une icône de point dans un cas, le site d'enregistrement. Malheureusement, la fenêtre est une fenêtre sans tête sans barre d'onglets, et en tant que telle que l'utilisateur ne le verra pas.
Comme il est mentionné au début,, Google a été informé du bug Chrome, mais puisque la société ne considère pas suffisamment grave bug, il ne traitera pas pour l'instant.
“Ce n'est pas vraiment une faille de sécurité – par exemple, WebRTC sur un appareil mobile ne montre aucun indicateur du tout dans le navigateur. Le point est un effort qui ne fonctionne que mieux d'abord sur le bureau quand nous avons l'espace de l'interface utilisateur de chrome disponible. Cela étant dit, nous cherchons des moyens d'améliorer cette situation,” Google a répondu.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: