Et sikkerhetsproblem som ble rapportert å Google på April 10, 2017 som gjør det mulig for en angriper å ta opp lyd eller video ved hjelp av Chrome uten indikasjon.
De fleste moderne nettlesere støtter WebRTC (Web Real-Time Communications). En av fordelene med WebRTC er at det støtter real-time kommunikasjon uten bruk av plugins. Dette inkluderer alternativer for å lage audio og video chat-tjenester, p2p deling av data, skjermdeling, og mer ved hjelp av teknologi.
Det er også en ulempe å WebRTC, som det kan lekke lokale IP-adresser i nettlesere som støtter WebRTC. Du kan beskytte IP-adressen blir avslørt i Firefox, Chrome og Vivaldi, for eksempel.
De rapporterte sårbarheten påvirker Chrome, men det kan påvirke andre nettlesere også. For at det skal fungere, du ville ha til å besøke et nettsted og tillater det å bruke WebRTC. Området som ønsker å ta opp lyd eller video ville gyte en JavaScript-vinduet, da uten header, en pop-under-eller pop-up-vinduet, for eksempel.
Det kan da ta opp lyd eller video, uten å gi indikasjoner i Chrome at dette skjer. Chrome viser opptak indikatorer vanligvis i den kategorien som bruker funksjonaliteten, men siden JavaScript-vinduet er headerless, ingenting er vist til brukeren.
En proof of concept ble opprettet som du finner koblet på Krom Bugs nettstedet. Alt du trenger å gjøre er å klikke på to knapper, og la stedet for å bruke WebRTC i nettleseren. The proof of concept demo-poster lyd i 20 sekunder, og gir deg en mulighet etterpå for å laste ned opptaket til det lokale systemet.
Krom team medlem bekreftet eksistensen av problemet, men hadde ikke lyst til å kalle det et sikkerhetsproblem.
Dette er ikke egentlig en sikkerhetsrisiko, for eksempel, WebRTC på en mobil enhet, viser ingen indikator på alle i nettleseren. Dot er en best-første forsøk som bare fungerer på skrivebordet når vi har chrome-UI plass.
Forklaringen ikke gjøre en hel masse fornuftig for meg. Fordi Android ikke viser en indikator i første omgang, og Chrome på skrivebordet bare hvis nok grensesnittet er tilgjengelig plass, det er ikke et sikkerhetsproblem? I det minste, det er en personvern problem, og noe som må brukerne være klar over.
Mens brukere må stole på nettsteder nok til å gi dem tillatelse til å bruke WebRTC, det og det faktum at nettstedet er behov for å starte et popup-vindu er de eneste tingene som trengs for å utnytte dette.
Google kan bedre situasjonen i fremtiden, men brukerne er på sine egne akkurat nå når det kommer til det.
Den beste form for vern, er å deaktivere WebRTC som kan gjøres lett hvis du ikke trenger det, det nest beste, slik at bare klarerte områder å bruke WebRTC. Hvis du tillater at et webområde bruker WebRTC, kan du ønsker å se ut for alle andre windows-at det kan gyte etterpå på toppen av det.
Nå er Du: har du bruke tjenester eller apper som bruker WebRTC?