Chrome: сайты могут записывать аудио / видео без индикации

by Опубликовано

10 апреля 2017 года в Google было сообщено об уязвимости в системе безопасности, которая позволяет злоумышленнику без индикации записывать аудио или видео с помощью Chrome.

Большинство современных веб-браузеров поддерживают WebRTC (веб-связь в реальном времени). Одним из преимуществ WebRTC является то, что он поддерживает связь в реальном времени без использования плагинов. Сюда входят параметры для создания служб аудио- и видеочата, обмена данными P2P, совместного использования экрана и многого другого с использованием этой технологии.

У WebRTC есть и обратная сторона: он может утечка локальных IP-адресов в браузерах, поддерживающих WebRTC. Вы можете защитить IP-адрес от раскрытия в Fire Fox, Хром а также Вивальди, например.

Обнаруженная уязвимость затрагивает Chrome, но может затронуть и другие веб-браузеры. Чтобы это работало, вам нужно посетить сайт и разрешить ему использовать WebRTC. Сайт, который хочет записывать аудио или видео, порождает окно JavaScript, а затем без заголовка, например, всплывающее окно или всплывающее окно.

Затем он может записывать аудио или видео, не указывая в Chrome, что это происходит. Chrome отображает индикаторы записи обычно на вкладке, которая использует эту функциональность, но поскольку окно JavaScript не имеет заголовка, пользователю ничего не отображается.

Было создано доказательство концепции, ссылка на которую вы найдете на Ошибки хрома Веб-сайт. Все, что вам нужно сделать, это нажать две кнопки и разрешить сайту использовать WebRTC в веб-браузере. Демонстрационная версия доказательства концепции записывает звук в течение 20 секунд, а затем дает вам возможность загрузить запись в локальную систему.

Webrtc Chrome запись

Член команды Chromium подтвердил наличие проблемы, но не захотел называть ее уязвимостью.

На самом деле это не уязвимость системы безопасности — например, WebRTC на мобильном устройстве вообще не показывает индикатора в браузере. Точка — это лучший вариант, который работает на рабочем столе только тогда, когда у нас есть доступное пространство пользовательского интерфейса Chrome.

Для меня это объяснение не имеет большого смысла. Поскольку Android не показывает индикатор на первом месте, а Chrome на рабочем столе только при наличии достаточного пространства интерфейса, это не уязвимость системы безопасности? По крайней мере, это проблема конфиденциальности, и пользователи должны знать о ней.

Хотя пользователи действительно должны доверять сайтам в достаточной степени, чтобы дать им разрешения на использование WebRTC, это и тот факт, что сайт должен запускать всплывающее окно, — единственное, что необходимо для использования этого.

Google может улучшить ситуацию в будущем, но пользователи сейчас сами по себе, когда доходит до этого.

Лучшая форма защиты — отключить WebRTC, что можно легко сделать, если он вам не нужен, а второй способ — разрешить только надежным сайтам использовать WebRTC. Если вы разрешаете сайту использовать WebRTC, возможно, вам стоит обратить внимание на любые другие окна, которые он может впоследствии открывать поверх этого.

Теперь ваша очередь : Вы пользуетесь сервисами или приложениями, использующими WebRTC?

Смотрите так же:

  1. Clibor — это бесплатный инструмент для мониторинга буфера обмена для Windows.
  2. DD DataRescue создает образы дисков поврежденных запоминающих устройств.
  3. Еще видео про Angry Videogamer
  4. 100 лучших бесплатных программ для Windows XP

Опубликовано