Израильский разработчик Ран Бар-Зик обнаружил уязвимость в браузере Google Chrome, которая позволяет веб-сайтам незаметно записывать видео и аудио.
В сущности, проблема не так-то и страшна, ведь сайтам все равно придется запрашивать разрешение пользователя на доступ к аудио и видео компонентам. Но вот тревожит то, что этим могут воспользоваться киберпреступники и без ведома пользователя записывать аудио и видеоконтент.
Разработчик из компании AOL Ран Бар-Зик выявил уязвимость во время работы с сайтом, который использует интернет-протокол WebRTC. Эта технология предназначена для организации передачи потоковых данных между браузерами или другими поддерживающими ее приложениями по технологии точка-точка. Для того, чтобы осуществлять передачу аудио и видеоконтента, пользователь должен разрешить сайту доступ к соответствующим компонентам. Как только разрешение будет получено, сайт запускает код JavaScript, который записывает аудио и видео. Бар-Зик обнаружил, что код может исполняться не только во вкладке, где было получено разрешение, но и во вспомогательном окне. Обычно при записи аудио и видео Chrome показывает значок в виде кружка с красной точкой, но вот во вспомогательном окне иконка не отображается. Таким образом, выходит, что пользователь не знает, идет запись или нет.
Специалист оповестил Google о проблеме, однако в компании заявили, что на самом деле это не уязвимость безопасности, но работают над тем, чтобы улучшить ситуацию. Бар-Зик, со своей стороны, не согласен с мнением разработчиков. Согласно его словам, много пользователей предоставляют разрешения, не обращая внимания, на что именно соглашаются. Если пользователь случайно или по неосторожности предоставит сайту разрешение на доступ к видео и аудиокомпонентам, злоумышленники могут осуществить более сложные атаки.
Источник: http://www.securitylab.ru