Уразливість в Google Chrome: сайти можуть записувати звук і відео без індикації
Знайдена уразливість в Google Chrome дозволяла зловмисникові записувати аудіо і відео за допомогою браузера Chrome без будь-якої індикації
Компанія Google була проінформована про виявлення проблеми безпеки ще 10 квітня 2017 року, але тепер ця інформація стала публічною.
Є у WebRTC і один серйозний недолік - ризик витоку реального IP-адреси в підтримуваних браузерах.
Виявлена уразливість зачіпає Google Chrome , Але може також бути актуальна і в інших браузерах з підтримкою WebRTC. Для експлуатації уразливості користувач повинен надати право використання WebRTC відповідного сайту. У свою чергу веб-сайт створює спливаюче JavaScript-вікно без заголовка, за допомогою якого буде здійснюватися передача контенту.
Під час передачі аудіо- та відео потоку в Google Chrome не будуть показані ніякі індикатори запису. У звичайних сценаріях браузер показує індикатор на вкладці, яка використовує функціональність WebRTC, але у вікні без заголовка користувачі нічого не побачить.
Дана ситуація була змодельована на сайті Chromium Bugs . Вам потрібно натиснути на дві кнопки і дозволити роботу WebRTC в браузері. На демонстраційному сторінку звук записується на протязі 20 секунд, після чого ви можете завантажити аудіофайл на локальну систему.
Учасник команди розробки Chromium підтвердив існування проблеми, але відмовився від формулювання "вразливість": "Насправді, це не вразливість системи безпеки. Наприклад, WebRTC на мобільному пристрої взагалі не відображає індикатор в браузері. Індикатор - це лише перша спроба, яка працює тільки в настільній версії робочого простору Chrome ".
Навіть якщо це не вразливість системи безпеки, то серйозна проблема конфіденційності для звичайних користувачів. Для успішної експлуатації користувач повинен надати сайту необхідні дозволи для запуску WebRTC і на ресурсі має запуститися спливаюче вікно.
Google може виправити ситуацію в майбутньому, але на даний момент користувачам слід дотримуватись правил обережності.
Кращою формою захисту стане відключення протоколу WebRTC в браузері. Якщо ви хочете продовжити використання стандарту, то звертайте увагу на будь-які спливаючі вікна при використанні сервісів.
Як відключити WebRTC в Google Chrome
- Перейдіть в магазин додатків Chrome (Установки> Розширення> Інші розширення)
- встановіть розширення Easy WebRTC Block
- Переконайтеся, що розширення включено. Ви можете тимчасово відключати розширення, щоб знову використовувати WebRTC.
Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter
Знайшли друкарську помилку?