Een beveiligingslek gerapporteerd aan Google op 10 April 2017, waarmee een aanvaller voor het opnemen van audio of video met Chrome zonder indicatie.
De meeste moderne web browsers ondersteunen WebRTC (Web Real-Time Communicatie). Een van de voordelen van WebRTC is dat het ondersteunt real-time communicatie zonder het gebruik van plugins. Deze bevat opties voor het maken van audio-en video-chat diensten, p2p delen van gegevens, het delen van het scherm, en meer gebruik van de technologie.
Er is ook een keerzijde aan WebRTC, als het kan lekken lokale IP-adressen in browsers die het ondersteunen WebRTC. U kunt de bescherming van het IP-adres wordt geopenbaard in Firefox, Chrome en Vivaldi, bijvoorbeeld.
De geïdentificeerde kwetsbaarheid van invloed op Chrome, maar het kan invloed hebben op andere web browsers. Voor op het werk, zou je een site te bezoeken en het toestaan van het gebruik van WebRTC. De site die het wil opnemen van audio of video zou paaien een JavaScript-venster dan zonder kop, een pop onder-of pop-up venster bijvoorbeeld.
Het kan dan het opnemen van audio of video, zonder het geven van aanwijzingen in Chrome dat dit gebeurt. Chrome toont de opgenomen indicatoren meestal in het tabblad dat gebruik maakt van de functionaliteit, maar sinds de JavaScript-venster bestand zonder hoofding, niets wordt weergegeven voor de gebruiker.
Een proof-of-concept gemaakt die u vindt gekoppeld aan de Chroom Bugs website. Alles wat u hoeft te doen is klik op de twee knoppen in en laat de site te gebruiken WebRTC in de web browser. De proof of concept-demo records audio 20 seconden lang en geeft je een optie, daarna om de opname te downloaden naar het lokale systeem.
Een Chroom lid van het team bevestigde het bestaan van het probleem, maar niet wilt bellen kwetsbaarheid.
Dit is niet echt een kwetsbaarheid in de beveiliging, bijvoorbeeld WebRTC op een mobiel apparaat geeft geen indicator in de browser. De dot is een best-de eerste poging die alleen werkt op desktop als we chrome UI ruimte beschikbaar.
De toelichting maakt niet heel veel zin om mij. Omdat Android niet tonen van een indicator in de eerste plaats, en Chrome op de desktop alleen als er genoeg interface ruimte beschikbaar is, is het niet een beveiligingsprobleem? Op zijn minst, het is een privacy probleem en iets dat gebruikers moeten zich bewust zijn van.
Terwijl de gebruikers wel te vertrouwen sites genoeg om hen toestemmingen voor het gebruik van WebRTC, en het feit dat de behoeften van een site te lanceren met een pop-up venster worden alleen de dingen die nodig zijn te maken.
Google kan het verbeteren van de situatie in de toekomst, maar de gebruikers zijn op hun eigen recht nu als het er op aan komt.
De beste vorm van bescherming uit te schakelen WebRTC die kan gemakkelijk gedaan worden als je het niet nodig, de tweede beste om alleen vertrouwde sites gebruik van WebRTC. Als u een site wilt gebruiken WebRTC, wilt u misschien om uit te kijken naar een andere windows dat kan paaien daarna op de top van dat.
Nu U: maakt u gebruik van diensten of apps die gebruik maken van WebRTC?