Технический форум

Технический форум (http://www.tehnari.ru/)
-   Новости технологий (http://www.tehnari.ru/f19/)
-   -   Уязвимость в Google Chrome: сайты могут записывать звук и видео без индикации (http://www.tehnari.ru/f19/t253980/)

Технарь 30.05.2017 18:24
Уязвимость в Google Chrome: сайты могут записывать звук и видео без индикации
 
Вложений: 1
Цитата:
Найденная уязвимость в Google Chrome позволяла злоумышленнику записывать аудио и видео с помощью браузера Chrome без какой-либо индикации

Компания Google была проинформирована об обнаружении проблемы безопасности еще 10 апреля 2017 года, но теперь данная информация стала публичной.
Большинство современных браузеров поддерживают протокол WebRTC (Web Real-Time Communications). Основное преимущество WebRTC - поддержка потоковой передачи данных без использования дополнительных плагинов. Стандарт широко используется при создании видеочатов, пиринговых сервисов для обмена данными, инструментов передачи изображений с экрана и различных веб-приложений.
Есть у WebRTC и один серьезный недостаток - риск утечки реального IP-адреса в поддерживаемых браузерах.
Обнаруженная уязвимость затрагивает Google Chrome, но может также быть актуальна и в других браузерах с поддержкой WebRTC. Для эксплуатации уязвимости пользователь должен предоставить право использования WebRTC соответствующему сайту. В свою очередь веб-сайт создает всплывающее JavaScript-окно без заголовка, с помощью которого будет осуществляться передача контента.
Во время передачи аудио- и видеопотока в Google Chrome не будут показываться никакие индикаторы записи. В обычных сценариях браузер показывает индикатор на вкладке, которая использует функциональность WebRTC, но в окне без заголовка пользователи ничего не увидит.
Данная ситуация была смоделирована на сайте Chromium Bugs. Вам нужно нажать на две кнопки и разрешить работу WebRTC в браузере. На демонстрационной страницу звук записывается в течении 20 секунд, после чего вы можете скачать аудиофайл на локальную систему.

Вложение 352903

Участник команды разработки Chromium подтвердил существованию проблемы, но отказался от формулировки “уязвимость”: “На самом деле, это не уязвимость системы безопасности. Например, WebRTC на мобильном устройстве вообще не отображает индикатор в браузере. Индикатор - это лишь первая попытка, которая работает только в настольной версии рабочего пространства Chrome”.
Даже если это не уязвимость системы безопасности, то серьезная проблема конфиденциальности для обычных пользователей. Для успешной эксплуатации пользователь должен предоставить сайту необходимые разрешения для запуска WebRTC и на ресурсе должно запуститься всплывающее окно.
Google может исправить ситуацию в будущем, но на данный момент пользователям следует соблюдать правила предосторожности.
Лучшей формой защиты станет отключение протокола WebRTC в браузере. Если вы хотите продолжить использование стандарта, то обращайте внимание на любые всплывающие окна при использовании сервисов.

Как отключить WebRTC в Google Chrome

  1. Перейдите в магазин дополнений Chrome (Настройки > Расширения > Еще расширения)
  2. Установите расширение Easy WebRTC Block
  3. Убедитесь, что расширение включено. Вы можете временно отключать расширение, чтобы снова использовать WebRTC.
Источник: comss.ru

Технарь 30.05.2017 18:25
Тот самой момент, когда пользователям хрома пора доставать синюю изоленту )))

AlexZir 30.05.2017 20:46
только скотч, только хардкор!

prima 30.05.2017 20:58
Цитата:
Сообщение от AlexZir (Сообщение 2490860)
только скотч
Лёш, какой, нахер, скотч!!!
Исключительно синяя!!!

AlexZir 31.05.2017 05:08
Андрей, синяя изолента - это для нас, для буржуинов - только скотч! :)


Часовой пояс GMT +4, время: 09:23.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.