Уязвимость в Chrome позволяет сайтам тайно записывать аудио и видео

Израильский разработчик Ран Бар-Зик (Ran Bar-Zik) обнаружил уязвимость в браузере Google Chrome, позволяющую web-сайтам незаметно записывать видео и аудио. Проблема не так серьезна, как кажется, поскольку сайтам потребуется разрешение пользователя на доступ к аудио и видео компонентам, однако ее могут взять на вооружение злоумышленники для того, чтобы записывать видео и аудиоконтент без ведома пользователя.

Бар-Зик обнаружил уязвимость в процессе работы с сайтом, использующим интернет-протокол WebRTC. Данная технология предназначена для организации передачи потоковых данных между браузерами или другими поддерживающими ее приложениями по технологии точка-точка. Для передачи аудио и видеоконтента пользователь должен предоставить сайту разрешение на доступ к соответствующим компонентам. После получения разрешения сайт запускает код JavaScript, который записывает аудио и видео. Исследователь обнаружил, что код может исполняться не только в оригинальной вкладке, где было получено разрешение, но и во вспомогательном окне. Как правило, Chrome показывает значок в виде кружка с красной точкой при записи аудио и видео, однако во вспомогательном окне иконка не отображается, то есть пользователь не знает, идет запись или нет.

Эксперт проинформировал Google о проблеме, однако в компании заявили, что не считают ее уязвимостью.

Тем не менее, Бар-Зик не согласен с точкой зрения техногиганта. По его словам, большое число пользователей предоставляют разрешения, не обращая внимания, на что именно соглашаются. Если пользователь случайно или по неосторожности предоставит сайту разрешение на доступ к видео и аудиокомпонентам, злоумышленники могут осуществить более сложные атаки, сообщает Securitylab.ru.

---