Баг в Chrome позволяет сайтам записывать аудио и видео незаметно для пользователя
Новости
Обнаружена уязвимость в Chrome, позволяющая сайтам незаметно записывать аудио и видео контент пользователя. Но Google не торопится исправлять баг.
2К открытий2К показов
Веб-разработчик компании AOL Ран Бар-Зик обнаружил уязвимость в Google Chrome, дающую возможность сайтам записывать аудио и видео без соответствующего визуального индикатора.
Баг, может, и не так страшен, каким может показаться на первый взгляд. Сайтам по-прежнему нужно запрашивать разрешение на доступ к аудио- и видеоустройствам пользователя, но существует сразу несколько способов, как эта уязвимость может быть использована мошенниками.
В центре проблемы стоит иконка «красного круга с точкой», которая обычно появляется в Chrome во время записи аудио- или видеопотока.
Бар-Зик обнаружил уязвимость при работе с сайтом, который использовал код WebRTC (протокол для передачи аудио- и видеоконтента в режиме реального времени).
Когда сайт получает разрешение пользователя, он может запустить JavaScript-код, записывающий аудио- и видеоконтент до отправки другим участникам WebRTC-трансляции. Запись происходит через API MediaRecorder на базе JavaScript.
Исследователь обнаружил, что код не обязательно работает в той же вкладке, где было дано разрешение пользователя. Поскольку разрешение относится ко всему домену, код может работать и в popup-окне, которое не отображается на панели вкладок, а, значит, не показывает и иконку записи.
Как отреагировала команда безопасности Google?
Бар-Зик отправил отчёт об ошибке в Google. Ответ пришёл в тот же день, но команда безопасности Google не посчитала баг серьёзной уязвимостью в системе безопасности.
По сути, это действительно не является уязвимостью. На мобильных устройствах, например, индикатор во время WebRTC-стрима не показывается вовсе. Иконка красного круга с точкой присутствует даже не во всех версиях Chrome на ПК. Основным средством защиты по-прежнему является просто обдуманное разрешение на использование аудио- и видеоустройств.
2К открытий2К показов