-> ->

Новая уязвимость в Chrome позволяет хакерам включать запись видео

Разработчику из Израиля Ран Бар-Зик удалось обнаружить в браузере Google Chrome опасную уязвимость, через которую злоумышленники могут получить доступ к видео и аудио компонентам компьютера. С их помощью у них появится возможность запустить запись, скрывая этот процесс от пользователя.

Специалист уже сообщил компании Google об этой проблеме, но в компании отмечают, что такой способ атаки не связан с уязвимостью в фирменном браузере, поэтому исправлять ничего не собираются.

Между тем мнения экспертов по поводу серьезности этой проблемы разделились. Одни считают, что незаметная запись видео или аудио не является столь серьезной проблемой, как можно подумать сначала. Дело в том, что любому сайту, прежде чем он получит доступ к видео или аудио компонентам компьютера пользователя, нужно получить разрешение. То есть пользователю должно показаться на экране соответствующее уведомление, в котором указно, что сайт у необходим дополнительный доступ к некоторым компонентам. Если человек откажется предоставить доступ, то, соответственно, никакая запись вестись не будет. Тем не менее при дальнейшем развитии этой уязвимости и использовании дополнительных функций вполне возможно сделать так, что видео или аудио будет записываться без ведома пользователя. Вряд ли кто-то из пользователей обрадуется узнав, что за ним велась такая слежка.

Уязвимость в веб-обозревателе израильский специалист обнаружил при работе с сайтом, который использует протокол WebRTC. Основное предназначение этой технологии заключается в передаче потоковых данных между двумя браузерами или двумя приложениями, которые тоже ее поддерживают. Чтобы активировать передачу информации, пользователь должен самостоятельно предоставить доступ к необходимым компонентам. Как только сайт получает такое разрешение, он при помощи кода JavaScript приступает к записи. Во время своей работы Бар-Зик обнаружил, что исполнение кода, обеспечивающего запись, может происходить не только в той вкладке, где пользователь давал разрешение, но еще и во вспомогательном окне. В обычной ситуации браузер обязательно показывает пользователю специальный значок, указывающий на то, что идет процесс записи. Это иконка в виде кружка с красной точкой. Если в оригинальной вкладке такой значок отображается, то во вспомогательном окне иконки нет. Таким образом получается, что пользователь не будет знать, записывается аудио/видео или нет.

После обнаружения Ран Бар-Зик сразу же связался с компанией Google и описал обнаруженную проблему, но там отметили, что выявленная проблема не относится к уязвимости.

В корпорации пояснили, что иконка с красной точкой отображается не всегда, а только тогда, когда в пользовательском интерфейсе есть доступное пространство для ее отображения. А, например, в мобильной версии веб-обозревателя такая иконка вообще не предусмотрена. Однако в Google заверили, что специалисты рассмотрят вопрос об улучшении информирования пользователей о запущенном процессе записи.

Между тем, другая группа экспертов считает эту проблему очень серьезной. Они объясняют это тем, что современный пользователь редко смотрит и внимательно читает уведомления, поэтому чаще всего разрешение на доступ к некоторым компонентам дается даже не глядя. Это может повлечь за собой очень серьезные последствия. Получив доступ к нужным компонентам злоумышленники смогут с помощью веб-камеры следить за пользователем, делать фотографии и даже записывать все его движения на видео.

Поставить рейтинг:(Рейтинг: 2.63, оценок: 185)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.