Bag u Chromeu omogućava snimanje zvuka i videa bez vizuelnog indikatora i dozvole korisnika
Vesti, 31.05.2017, 08:30 AM
Programer kompanije AOL Ran Bar-Zik otkrio je bag u Google Chromeu koji omogućava web sajtovima snimanje zvuka i videa bez prikazivanja vizuelnog indikatora.
Iako ovo deluje kao zastrašujući scenario, malicioznim web sajtovima ipak treba dozvola korisnika da pristupe audio i video komponentama uređaja, ali postoje različiti načini na koje ova slabost može biti iskorišćena za snimanje zvuka i videa bez znanja i pristanka korisnika.
Centralni element baga je crveni krug i tačka, ikona koju Chrome obično prikazuje kada se snima zvuk ili video.
Bar-Zik je otkrio bag dok je radio na web sajtu koji pokreće WebRTC kod. WebRTC je protokol za emitovanje audio i video sadržaja preko interneta u realnom vremenu. Da bi se emitovao audio ili video sadržaj, korisnik mora najpre da da dozvolu za pristup audio i video komponenti.
Kada web sajt dobije dozvolu, on može pokrenuti JavaScript kod koji snima zvuk i video sadržaj, pre nego što se on pošalje preko interneta drugim učesnicima WebRTC streaminga. Ovaj proces snimanja se vrši preko MediaRecorder API.
Bar-Zak je otkrio da kod koji vrši snimanje ne mora da bude pokrenut u originalnoj kartici Chromea gde je data dozvola. S obzirom da je se dozvola za pristup audio i video podacima daje za ceo domen, Bar-Zik je shvatio da može da pokrene popup prozor u Chromeu gde može pokrenuti kod za snimanje zvuka i videa.
Pošto Chrome pokazuje ikonu koja je indikator za snimanje zvuka i videa, u slučaju popup prozora ikona se neće pojaviti jer takav prozor nema traku sa karticama.
Google je obavešten o ovom bagu. Izveštaj o bagu možete naći ovde, kao i bezopasni demo koji pokazuje kako bi izgledao jedan takav napad.
Google je istog dana odgovorio Bar-Ziku ali je kompanija odbila da ovo tretira kao bezbednosni propust.
"Ovo zapravo nije bezbednosni propust - na primer, WebRTC na mobilnom uređaju uopšte ne prikazuje indikator u browseru", kažu iz Googlea dodajući da indikator radi samo na desktopu kada je dostupan Chrome UI prostor. Iz Googlea kažu da traže načine da poboljšaju ovu situaciju.
Bar-Zik se ne slaže sa Googleovom procenom navodeći da mnogi ljudi često klikću na dozvole a da prethodno nisu pročitali sa čime su se saglasili. To je dovoljno za različite sofisticirane napade.
Na primer, napadač može koristiti veoma male popup prozore za pokretanje koda za napad. Ovaj kod može koristiti kameru makar na milisekund da bi slikao korisnika, ili je može koristiti satima, snimajući kretanje korisnika ili zvuk u okolini. Ako korisniku promakne popup prozor, nema vizuelnog indikatora koji bi ga upozorio da ga neko snima. Osim toga, napadač može zamaskirati popup u reklamu. Ako korisnik ne zatvori odmah popup prozor sa reklamom, napadač ga može snimati bez njegovog znanja.
Napadač čak ne mora da pribavi dozvolu korisnika za pristup audio i video komponentama. On može iskoristiti XSS (cross-site scripting) propuste na legitimnim sajtovima koji su već dobili pristup audio i video komponentama. Ovi propusti se mogu koristiti za isporuku koda napadača.
S obzirom da Google ovo ne smatra bezbednosnim propustom, Chrome neće dobiti hitnu ispravku. Korisnicima samo ostaje da obrate pažnju na dozvole koje daju web sajtovima.
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade