O desenvolvedor da Web da AOL, Ran Bar-Zik, descoberto um bug do Google Chrome que permite que sites gravem áudio e vídeo sem o conhecimento do usuário ou qualquer sinal de atividade. No entanto, o Google não considera o bug um problema de segurança crítico e não planeja fazer nada para corrigi-lo, pelo menos não tão cedo.
Chrome Bug permite que os sites gravar áudio e vídeo, Google diz que o problema não está relacionado à segurança
Qual é o problema?? Se um site malicioso explorar o bug, ainda precisará da permissão do usuário para acessar os componentes de áudio e vídeo. Se o usuário não permitir o site o direito, nada vai acontecer. Mesmo que a falha não seja tão séria, ainda pode haver maneiras de explorá-lo em ataques.
Como funciona o bug? O pesquisador encontrou o bug enquanto trabalhava em um site que rodava o código WebRTC - o protocolo para streaming de áudio e vídeo em tempo real. O pesquisador afirma que se o site tiver permissão para acessar componentes de vídeo e áudio, o site pode executar código JavaScript para gravar áudio e vídeo. Este conteúdo pode ser enviado posteriormente pela web para outros participantes do stream.
Conforme explicado pelo relatório de bug do pesquisador:
Depois de obter as permissões de uso de áudio / vídeo para WebRTC. O código JS pode gravar vídeo / áudio sem mostrar o ponto vermelho gráfico na guia quando o processo de gravação está em execução. i.e. – depois que a permissão é concedida, o site pode ouvir o usuário sempre que ele quiser. Isso é feito porque o método JS `window.open` não dá indicação visual no init do registro.
O relatório indica que a gravação não precisa ser executada na guia em que a permissão foi concedida inicialmente, pois abrange todo o domínio. Então, o pesquisador descobriu que poderia abrir um pop-up no navegador para executar o código para gravar áudio e vídeo. O Chrome exibirá um círculo vermelho e um ícone de ponto caso o site esteja gravando. Infelizmente, o pop-up é uma janela sem cabeçalho sem barra de guias, e, como tal, o usuário não o verá.
Como mencionado no início, O Google foi informado sobre o bug do Chrome, mas como a empresa não considera o bug sério o suficiente, não vai lidar com isso por agora.
“Esta não é realmente uma vulnerabilidade de segurança – por exemplo, WebRTC em um dispositivo móvel não mostra nenhum indicador no navegador. O ponto é um esforço inicial que só funciona na área de trabalho quando temos espaço na IU do Chrome disponível. Dito, estamos procurando maneiras de melhorar esta situação,” Google respondeu.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: