AOL web developer Ran Bar-Zik heeft onbedekt een fout in Google Chrome waarmee websites om audio en video zonder medeweten van de gebruiker of andere symptomen van de activiteiten vast te leggen. Google heeft echter geen rekening met de bug een kritische beveiligingsprobleem te zijn en is niet van plan om iets te doen om het te patchen, althans niet op korte termijn.
Chrome Bug Hiermee websites om audio en video opnemen, Google Say probleem is niet Security-gerelateerde
Wat is de bug alles over? Als een kwaadaardige website maakt gebruik van de bug zal het nog toestemming van de gebruiker nodig hebben om toegang te krijgen tot de audio- en videocomponenten. Als de gebruiker niet toestaan dat de website van de juiste, er zal niks gebeuren. Hoewel de fout is niet zo ernstig, er kunnen nog steeds manieren om deze te exploiteren in aanvallen.
Hoe werkt de bug werk? De onderzoeker kwam over de bug tijdens het werken op een website running WebRTC code - het protocol voor het streamen van audio en video in real time. De onderzoeker zegt dat als de website wordt verleend toestemming voor toegang tot video en audio componenten, de website kan JavaScript-code uitvoeren om audio en video op te nemen. Deze content kan later via het web worden verzonden naar andere deelnemers van de stroom.
Zoals uitgelegd door bug report van de onderzoeker:
Na het ophalen van de audio video gebruik toestemmingen voor WebRTC. JS code kan video audio opnemen zonder dat de grafische rode stip op het tabblad als het record proces wordt uitgevoerd. dat wil zeggen. – nadat de toestemming is gegeven kan de site om de gebruiker te luisteren wanneer hij wil. Het wordt gedaan omdat JS `window.open` methode visuele indicatie op record init niet geeft.
Het rapport geeft aan dat de opname niet hoeft te draaien op het tabblad waar de vergunning aanvankelijk werd verleend, omdat zij betrekking heeft op het hele domein. Dan is de onderzoeker ontdekte dat kon hij een pop start-up in de browser om de code uit te voeren om audio en video op te nemen. Chrome geeft vervolgens een rode cirkel en een stip icoon in een geval dat de website wordt de opname. Helaas, de pop-up is een headless raam zonder barkrediet, en als zodanig zal de gebruiker niet zien.
Zoals vermeld in het begin, Google werd geïnformeerd over de Chrome bug maar omdat het bedrijf niet genoeg rekening houden met de bug ernstig, het zal zich niet bezig met het voor nu.
“Dit is niet echt een beveiligingsprobleem – bijvoorbeeld, WebRTC op een mobiel apparaat geeft geen indicatie voor alle in de browser. De dot is een best-eerste poging die alleen werkt op het bureaublad wanneer we chroom UI beschikbare ruimte. Dat gezegd zijnde, we zijn op zoek naar manieren om deze situatie te verbeteren,” Google antwoordde.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: