AOLのWeb開発者であるRanBar-Zikは 覆われていない ユーザーの知らないうちに、またはアクティビティの兆候がなくても、ウェブサイトでオーディオとビデオを録画できるGoogleChromeのバグ. ただし、Googleはバグを重大なセキュリティ問題とは見なしておらず、パッチを適用するために何もする予定はありません。, 少なくともすぐには.
Chromeのバグにより、Webサイトでオーディオとビデオを録音できます, GoogleSayの問題はセキュリティ関連ではありません
バグは何ですか? 悪意のあるWebサイトがバグを悪用した場合でも、オーディオおよびビデオコンポーネントにアクセスするにはユーザーの許可が必要です。. ユーザーがウェブサイトの権利を許可しない場合, 何も起こりません. 欠陥はそれほど深刻ではありませんが, 攻撃でそれを悪用する方法はまだあるかもしれません.
バグはどのように機能しますか? 研究者は、WebRTCコード(オーディオとビデオをリアルタイムでストリーミングするためのプロトコル)を実行しているWebサイトで作業しているときにバグに遭遇しました. 研究者は、ウェブサイトがビデオおよびオーディオコンポーネントにアクセスする許可を与えられた場合、, ウェブサイトはJavaScriptコードを実行してオーディオとビデオを記録できます. このコンテンツは、後でWebを介してストリームの他の参加者に送信できます。.
研究者のバグレポートで説明されているように:
WebRTCのオーディオ/ビデオ使用許可を取得した後. JSコードは、記録プロセスの実行中にタブにグラフィカルな赤い点を表示せずにビデオオーディオを記録できます. すなわち. – 許可が与えられた後、サイトはユーザーが望むときにいつでもユーザーの話を聞くことができます. これは、JSの`window.open`メソッドがレコードの初期化を視覚的に示さないために行われます。.
レポートは、ドメイン全体をカバーしているため、許可が最初に付与されたタブで記録を実行する必要がないことを示しています. 次に、研究者は、ブラウザでポップアップを開始して、オーディオとビデオを記録するコードを実行できることを発見しました。. ウェブサイトが録画している場合、Chromeは赤い円とドットアイコンを表示します. 不運にも, ポップアップはタブバーのないヘッドレスウィンドウです, そのため、ユーザーには表示されません.
冒頭で述べたように, GoogleはChromeのバグについて知らされていましたが、会社はバグを十分に深刻とは考えていないため, 今のところは扱いません.
“これは実際にはセキュリティの脆弱性ではありません – 例えば, モバイルデバイスのWebRTCは、ブラウザーにインジケーターをまったく表示しません. ドットは、ChromeUIスペースが利用可能な場合にのみデスクトップで機能するベストファーストの取り組みです. そうは言っても, この状況を改善する方法を検討しています,” グーグルは答えた.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: