Chrome错误让网站暗中录制音频和视频不是缺陷谷歌所说的

2022-03-31 13:46:15来源:

如果您的Web浏览器正在录制您的音频和视频而没有任何指示,您会考虑侵入隐私的安全问题吗?Chrome没有。

在AOL Web开发人员RAN Bar-Zik发现,一个网站可以在Chrome选项卡上录制没有红色录制灯的无线视频,他报告了这个错误。

但由于用户是问题的关键,因此Google不会将其作为安全漏洞对。这是因为在任何音频或视频录制之前,用户必须在访问用户的网络摄像头或麦克风之前提供站点许可。

然而,Bar-Zik认为,在授予权限时,人们不会完全了解他们在线点击。他告诉电脑,“真正的攻击不会非常明显,”真正的攻击不会很明显。“

Bar-Zik在运行WebRTC代码的网站上发现了Chrome错误。WebRTC(Web实时通信)允许实时通信。在浏览器中,网站将要求用户授予访问麦克风或网络摄像机的权限。如果用户给出了站点的权限,则可以运行JavaScript代码以在将其发送到WebRTC流之前记录内容。

[查看最新的技术新闻或订阅我们的新闻稿]

但是,Bar-Zik的错误报告说明了JavaScript可以在Chrome选项卡上显示红色录制点指示器的情况下记录。他解释说:“在许可后,只要”网站背后的黑客想要的黑客,就可以倾听用户。

为了证明他的观点,Bar-Zik提出了一个概念证据演示,展示了攻击如何工作。单击授予访问Audit / Video Component的权限后,将打开弹出窗口,记录20秒的音频,然后为录制的文件提供下载链接。

[评论这个故事,请访问Computerworld的Facebook页面。]

这是谷歌如何回复Chrome错误报告:

这不是一个安全漏洞 - 例如,移动设备上的WebRTC显示浏览器中的任何指示。DOT是一项最佳努力,只有当我们有Chrome UI空间时,只能在桌面上工作。

据说,我们正在寻找改善这种情况的方法。

尽管谷歌的回应,但是Bar-Zik仍然认为这是一个安全问题。Bleeping Computer报道:

例如,Bar-Zik认为,攻击者可以使用非常小的弹出窗口来启动攻击代码。此代码可以使用相机用于毫秒乘坐用户的图片,或几小时,记录用户的移动或附近音频。

如果用户没有注意到他的工具栏中的弹出窗口,则没有视觉指示灯提示他有人正在访问他的音频和视频组件。如果攻击者将弹出窗口伪装为平凡的广告,那么一个恐怖的情景将是一个鬼闹的情景。如果用户没有立即关闭广告的弹出窗口,则攻击者保留在用户PC上打开的监控通道。

在那之上,Bar-Zik表示,攻击者可以完全跳过权限部分,而是“利用跨站点脚本(XSS)缺陷已经获得了对用户音频和视频组件访问的合法网站。这些XSS缺陷可用于提供攻击代码。“

无论您是否同意谷歌或与Bar-Zik的同意,如果这是一个Chrome Bug,保护自己的最佳方式是要注意您授予网站甚至扩展的权限。如果您有一个网络摄像头,除非您正在使用它,否则请放置粘滞便笺或其他东西以覆盖相机。

在个人用品上,谢谢你的阅读安全性是过去的八年性感。据报道,IDG的一部分,据据据据报道,据据据据报道,从这里覆盖安全问题。留意我的Twitter Feed,因为我可能会推出一个现场,我将继续涵盖安全/黑客/网络犯罪/监督/隐私 - 我深深地关心的问题 - 以及更多的技术,抓住我的注意力。再次,感谢您现在阅读和Buh-Bye。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章