Chrom umožňuje webům nahrávání zvuku a videa, podle Googlu to není chyba

Chyba v prohlížeči Chrome, která webům uděluje povolení nahrávat s využitím vašeho počítače zvuk a video, není podle Googlu chyba. Je třeba věnovat pozornost červenému indikátoru nahrávání přímo v aplikaci.

Chrom umožňuje webům nahrávání zvuku a videa, podle Googlu to není chyba


Poté, co webový vývojář společnosti AOL Ran Bar-Zik zjistil, že jistá stránka dokáže nahrávat zvuk a video, aniž by se na panelu v Chromu objevilo červené nahrávací světlo, nahlásil to jako chybu.

Ale protože jsou jádrem problému uživatelé, neklasifikuje to Google jako bezpečnostní mezeru. To proto, že před jakýmkoliv nahráváním zvuku či videa musí dát uživatel danému webu povolení k přístupu k webkameře nebo mikrofonu uživatele.

Bar-Zik má přesto za to, že uživatelé si často nemusejí být plně vědomi toho, na co klikají, když udělují oprávnění. Chyba by mohla být použita jako zbraň a „skutečné útoky nebudou příliš zjevné,“ řekl portálu Bleeping Computer.

Bar-Zik chybu v Chromu objevil, když se nacházel na webu, který spouštěl kód WebRTC. WebRTC (Web Real-Time Communication) umožňuje komunikaci v reálném čase. V rámci prohlížeče web požádá uživatele, aby mu udělil oprávnění přístupu k mikrofonu nebo webové kameře. Jestliže uživatel webu toto oprávnění dá, může tento spouštět kód v JavaScriptu pro nahrávání obsahu předtím, než jej odešle do streamu WebRTC.

Chyba nahlášená Bar-Zikem nicméně umožňuje nahrávání v JavaScriptu, aniž by byl v panelu Chromu zobrazen červený puntík jako indikátor nahrávání. Expert to vysvětluje tak, že poté, co webu dáte povolení, může uživatele poslouchat, kdykoliv se hackerovi stojícímu za webem zachce.

Aby dokázal svůj předpoklad, naprogramoval Bar-Zik demo, které ukazovalo, jak by mohl fungovat útok. Po kliknutí na udělení povolení přístupu k audio/video komponentám se otevře vyskakovací okno, nahraje 20 vteřin zvuku a pak nabídne odkaz ke stažení nahraného souboru.

Zde je odpověď Googlu na nahlášení chyby v Chromu:

„Ve skutečnosti nejde o bezpečnostní zranitelnost – například WebRTC na mobilním zařízení neukazuje v prohlížeči vůbec žádný indikátor. Ten puntík je (…) záležitostí, která funguje jen na desktopu, když máme k dispozici prostor v Chrome UI.

Když už jsme u toho, hledáme způsoby, jak tuto situaci zlepšit.“

Navzdory odpovědi z Googlu má Bar-Zik stále za to, že jde o bezpečnostní chybu. Bleeping Computer uvádí:

Bar-Zik například argumentuje, že by útočník mohl využít velmi malá vyskakovací okna ke spuštění útočného kódu. Tento kód může používat kameru buď po dobu jedné milisekundy pro pořízení snímku uživatele, nebo po celé hodiny nahrávat pohyby uživatele či blízké zvuky.

Zdroj: Computerworld.com


Úvodní foto: Pixabay




Komentáře