Уязвимост в Google Chrome и Chromium позволява потребителя да бъде записван тайно с аудио и видео

0
18
Уязвимост в Google Chrome и Chromium позволява потребителя да бъде записван тайно с аудио и видео


Уязвимост в Google Chrome позволява да бъдете записвани с картина и звук без въобще да разберете. Google засега отказват да запушат дупката.

Уязвимост в интернет браузъра Google Chrome дава възможност на зловредни сайтове да записват видео и картина, без потребителите да бъдат уведомени за това и без никаква визуална индикация.

Разработчикът от AOL Ran Bar-Zik е съобщил за този проблем още през миналия месец, но от Google са преценили, че това не е бъг и засега отказват да издадат кръпка за проблема.

Всеки един браузър уведомява потребителя и го пита за позволение, когато се извършва записване на аудио или видео от даден сайт. Аудио-видео комуникацията се осъществява чрез WebRTC (Web Real-Time Communications) протоколите, които се поддържат от всеки един модерен браузър.

Тези протоколи предоставят възможността за осъществяване на комуникация в реално време при P2P връзки, без за това да е необходимо използването на допълнителни приставки.

За да се избегне неправомерно използване на тези протоколи и за да не бъде записан чрез аудио или видео потребителят, браузърът изкарва информация за събитието и изисква изрично разрешение за осигуряване на достъпа на WebRTC до камерата и/или микрофона.

Google Chrome уведомява за подобни събития потребителите си като се появява червена точка в лявата част на таба, а при Mozilla Firefoxсе появява камера.

Уязвимост в Google Chrome и Chromium позволява потребителя да бъде записван тайно с аудио и видео 1

Разработчикът обаче е открил, че уязвимост в Google Chrome позволява на одобрени преди това сайтове да активират записване на аудио и видео, след като се използва JavaScript код и с отварянето на headless прозорец.

След това при запис в Chrome няма да се появява червената точка и потребителят по нищо не може да разбере, че в момента бива записван.

Това е възможно, защото Google Chrome не е проектиран да показва червената точка при headless прозорци. Ran Bar-Zik дори е създал демо мини-сайт, където можете да видите бъга в действие.

В този сайт ще бъдете попитани за разрешение за използване на WebRTC чрез попъп, а след това ще бъде направен запис с продължителност от 20 секунди, без да има каквато и да било индикация за това.

Прочетете още:  Най-добрите Linux игри за 2016 година

От Google обаче не считат, че това е бъг и засега отказват да запушат тази уязвимост, но обещават „за в бъдеще да подобрят положението“.

При Chromium положението е същото. Техен разработчик е отговорил на доклада на Bar-Zik по следния начин:

„Това всъщност не е пробив в сигурността. Например, при мобилните устройства при използването на WebRTC въобще не се показва никаква индикация в браузъра“.

Дали разработчиците считат това за бъг или не, то със сигурност уязвимостта представлява проблем с нарушаване на личното пространство и поверителността на потребителите, която може да се използва от кибер престъпниците и да бъде добавена към инструментариума за подслушване от страна на всякакви зложелатели и правителства.

Нашият съвет е, ако не се нуждаете от WebRTC, да го изключите напълно или ако все пак ви е необходим, да давате достъп до вашите камера и микрофон само на наистина доверени сайтове.

Преди повече от три години Едуард Сноудън разкри информация за проекта на Националната агенция за сигурност в САЩ, който носи името Optical Nerve. В този проект се е заснемал по един Yahoo потребител на всеки пет минути. По този начин само за половин година над 1.8 милиона потребителски снимки са били качени и съхранявани на правителствени сървъри.

Поради тези причини дори и хора като основателя на Facebook Марк Зукърбърг и бившия директор на ФБР Дфеймс Коми, използват лепенка от непрозрачно тиксо върху камерите си.

Това обаче няма да ви помогне срещу записването на аудио от страна на кибер престъпниците, а и на правителствените служби, които могат винаги да ви шпионират по този начин, ако не бъдете внимателни.

0/5 (0 Reviews)
Абониране
Извести ме за
guest
0 Comments
Inline Feedbacks
View all comments