Ett säkerhetsproblem som rapporterades till Google den 10 April 2017 som tillåter en angripare att spela in ljud eller video som använder Chrome, utan indikation.
De flesta moderna webbläsare har stöd för WebRTC (Web Real-Time Communications). En av fördelarna med WebRTC är att det har stöd för kommunikation i realtid utan användning av plugins. Denna innehåller alternativ för att skapa ljud och video-chatt-tjänster, p2p-utbyte av data, skärmdelning, och fler använder sig av tekniken.
Det finns också en baksida med WebRTC, som det kan läcka lokala IP-adresser i webbläsare som har stöd för WebRTC. Du kan skydda IP-adress från att avslöjas i Firefox, Chrome och Vivaldi, till exempel.
Den rapporterade sårbarheten påverkar Chrome, men det kan påverka andra webbläsare också. För att det ska fungera, du skulle ha för att besöka en webbplats och göra det möjligt att använda WebRTC. Den sajt som vill spela in ljud eller video skulle leka en JavaScript-fönstret och sedan utan huvud, en pop-under-eller pop-up fönster till exempel.
Det kan sedan spela in ljud eller video, utan att ge indikationer på i Chrome som detta händer. Chrome visar inspelning indikatorer oftast i den flik som använder funktionen, men eftersom JavaScript-fönster är headerless, ingenting visas för användaren.
En proof of concept skapades som du hittar kopplat på Krom Fel webbplats. Allt du behöver göra är att klicka på de två knapparna, och ge plats för att använda WebRTC i webbläsaren. Proof of concept-demo poster audio 20 sekunder, och ger dig en möjlighet efteråt att ladda ner inspelningen till det lokala systemet.
En Krom medlem i teamet bekräftade förekomsten av problemet, men vill inte kalla det problem.
Detta är egentligen inte ett säkerhetsproblem, till exempel WebRTC på en mobil enhet visar ingen indikator på allt i webbläsaren. Dot är en av de bäst första insats som bara fungerar på skrivbordet när vi har chrome UI utrymme som finns.
Den förklaring som inte gör en hel del känsla för mig. Eftersom Android inte visa en indikator på första plats, och Chrome på skrivbordet endast om tillräckligt gränssnitt utrymme som är tillgängligt, är det inte ett säkerhetsproblem? Åtminstone är det ett intrång i den personliga integriteten och något som användarna behöver för att vara medveten om.
Samtidigt som användarna måste lita på webbplatser tillräckligt för att ge dem tillstånd att använda WebRTC, det och det faktum att platsen måste inleda ett popup-fönster är de enda saker som behövs för att utnyttja detta.
Google kan förbättra situationen i framtiden, men användare på egen hand just nu när det kommer till det.
Det bästa skyddet är att inaktivera WebRTC kan göras enkelt om du inte behöver det, det näst bästa att tillåta endast tillförlitliga platser för att använda WebRTC. Om du tillåter en webbplats att använda WebRTC, du kanske vill titta ut för alla andra fönster som kan leka efteråt på toppen av det.
Nu är Du: använder du tjänster eller appar som använder WebRTC?