AOL sviluppatore web Ran Bar-Zik ha scoperto un bug di Google Chrome che consente ai siti web di registrare audio e video senza la conoscenza dell'utente o alcun segno di attività. Google però non considera il bug di essere un problema di sicurezza critica e non ha intenzione di fare nulla per patch, almeno non in tempi brevi.
Chrome bug consente ai siti web per registrare audio e video, Google Say questione non è connesso con la sicurezza
Qual è il bug tutto su? Se un sito web malevolo sfrutta il bug sarà ancora bisogno di autorizzazione dell'utente per accedere ai componenti audio e video. Se l'utente non consente il sito web destra, non succederà nulla. Anche se il difetto non è così grave, ci può essere ancora modi per sfruttare in attacchi.
Come funziona il bug? Il ricercatore si è imbattuto l'insetto mentre si lavora su un sito web in esecuzione codice di WebRTC - il protocollo per lo streaming audio e video in tempo reale. Il ricercatore dice che se il sito è concesso il permesso di accedere ai componenti video e audio, il sito può eseguire codice JavaScript per registrare audio e video. Questo contenuto può essere successivamente inviati tramite il web per gli altri partecipanti del corso d'acqua.
Come spiegato dal bug report del ricercatore:
Dopo aver ottenuto i permessi di utilizzo audio video per WebRTC. il codice JS in grado di registrare video audio senza mostrare il punto rosso grafica nella scheda quando il processo di registrazione è in esecuzione. i.e. – dopo l'autorizzazione è data il sito può ascoltare l'utente ogni volta che vuole. E 'fatto perché JS metodo `window.open` non dà indicazione visiva su record init.
Il rapporto indica che la registrazione non deve correre sulla scheda in cui il permesso è stato inizialmente concesso perché copre l'intero dominio. Poi il ricercatore ha scoperto che poteva avviare un pop-up nel browser per eseguire il codice per la registrazione audio e video. Chrome visualizzerà un cerchio rosso e l'icona di un punto in un caso il sito sta registrando. Sfortunatamente, il popup è una finestra senza testa, senza barra delle schede, e come tale che l'utente non lo vedrà.
Come accennato all'inizio, Google è stata informata del bug Chrome, ma in quanto la società non considera il bug abbastanza serio, non si occuperà di esso per ora.
“Questo non è davvero una vulnerabilità di sicurezza – per esempio, WebRTC su un dispositivo mobile non mostra alcun indicatore a tutti nel browser. Il punto è un best-primo sforzo che funziona solo sul desktop quando abbiamo cromo spazio UI disponibili. Detto, stiamo cercando il modo di migliorare la situazione,” Google ha risposto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: