30.05.2017 в 18:01

Уязвимость в Chrome позволяет сайтам тайно записывать аудио и видео

Израильский разработчик Ран Бар-Зик (Ran Bar-Zik) обнаружил уязвимость в браузере Google Chrome, позволяющую web-сайтам незаметно записывать видео и аудио. Проблема не так серьезна, как кажется, поскольку сайтам потребуется разрешение пользователя на доступ к аудио и видео компонентам, однако ее могут взять на вооружение злоумышленники для того, чтобы записывать видео и аудиоконтент без ведома пользователя.

Бар-Зик обнаружил уязвимость в процессе работы с сайтом, использующим интернет-протокол WebRTC. Данная технология предназначена для организации передачи потоковых данных между браузерами или другими поддерживающими ее приложениями по технологии точка-точка. Для передачи аудио и видеоконтента пользователь должен предоставить сайту разрешение на доступ к соответствующим компонентам. После получения разрешения сайт запускает код JavaScript, который записывает аудио и видео. Исследователь обнаружил, что код может исполняться не только в оригинальной вкладке, где было получено разрешение, но и во вспомогательном окне. Как правило, Chrome показывает значок в виде кружка с красной точкой при записи аудио и видео, однако во вспомогательном окне иконка не отображается, то есть пользователь не знает, идет запись или нет.

Эксперт проинформировал Google о проблеме, однако в компании заявили, что не считают ее уязвимостью.

«На самом деле это не уязвимость безопасности – например, WebRTC на мобильном устройстве не отображает индикатор в браузере. Точка [иконка – прим. ред.] работает только в десктопной версии при наличии доступного пространства в пользовательском интерфейсе Chrome. С учетом вышесказанного, мы рассматриваем способы улучшения ситуации», — отметили в Google.

Тем не менее, Бар-Зик не согласен с точкой зрения техногиганта. По его словам, большое число пользователей предоставляют разрешения, не обращая внимания, на что именно соглашаются. Если пользователь случайно или по неосторожности предоставит сайту разрешение на доступ к видео и аудиокомпонентам, злоумышленники могут осуществить более сложные атаки. К примеру, атакующий может использовать небольшие всплывающие окна для запуска вредоносного кода, который получит доступ к камере и сможет делать фото или записывать движения пользователя без его ведома.

Источник новости: securitylab.ru

Теги: chrome, уязвимость

294 просмотра

Оставить комментарий

Популярные статьи

Как установить Internet Explorer на Mac OS

прочтений: 8345 23.12.2015 в 19:12
У разработчиков различных программных продуктов очень часто возникает необходимость тестирования своих новых наработок в разных браузерах. Но если для основной работы используются, например, компьютеры... Читать далее
Браузер Opera Mini как для Android, так и для остальных мобильных ОС, на которых он выпущен (Symbian, iOS, Windows Phone), имеет встроенную функцию сохранения страниц веб-сайтов с дальнейшей возможностью их просмотра без подключения... Читать далее
Часто возникает необходимость сохранять различные страницы в Интернете для последующего их использования. И отлично справляется с этим такая функция браузера, как добавление закладок и, конечно же,... Читать далее
В отличие от браузера Google Chrome, в котором функция сохранения страницы в PDF является встроенной, в Firefox и Opera это достигается установкой специальных расширений и плагинов.... Читать далее
Облако тегов