Eine Sicherheitslücke wurde an Google gemeldet am April 10, 2017 die es einem Angreifer erlaubt aufzeichnen von audio oder video mit Chrome ohne Angabe.
Die meisten modernen web-Browser unterstützt WebRTC (Web Real-Time Communications). Einer der Vorteile von WebRTC ist, dass es unterstützt die Kommunikation in Echtzeit, ohne die Verwendung von plugins. Dieses enthält Optionen zum erstellen von audio-und video-chat-Dienste, p2p-Daten-sharing, screen-sharing und mehr mit der Technologie.
Es gibt auch eine Kehrseite WebRTC, wie es die Auslaufen können lokale IP-Adressen im Browser, die Unterstützung von WebRTC. Schützen Sie die IP-Adresse aus, wird offenbart in Firefox, Chrome und Vivaldi zum Beispiel.
Die gemeldete Schwachstelle betrifft auch Chrome, aber es kann auf andere web-Browser als auch. Für Sie zu arbeiten, hätten Sie eine Website besuchen, und lassen Sie es verwenden, WebRTC. Die Website will zum aufzeichnen von audio oder video würde laichen ein JavaScript-Fenster ohne Kopfzeile, eine pop-under-oder pop-up-Fenster zum Beispiel.
Es kann dann aufzeichnen von audio oder video, ohne Angabe von Indikationen in Chrome, dass dies geschieht. Chrome zeigt die Aufnahme von Indikatoren in der Regel in der tab-Funktionalität verwendet, aber da das JavaScript-Fenster ist, headerless, nichts wird dem Benutzer angezeigt.
Ein proof of concept erstellt wurde, die man in Verbindung mit dem Chrom-Bugs-website. Alles, was Sie tun müssen, ist klicken Sie auf zwei Knöpfe, und lassen Sie die Website zur Verwendung von WebRTC in den browser. Der proof-of-concept-demo records-audio für 20 Sekunden, und gibt Ihnen eine option anschließend zum herunterladen der Aufzeichnung auf das lokale system.
Ein Chromium-team Mitglied bestätigt die Existenz des Problems, aber nicht wollen, es zu nennen Schwachstelle.
Dies ist nicht wirklich eine Sicherheitslücke, beispielsweise WebRTC auf einem mobilen Gerät zeigt keine Anzeige auf alle im browser. Der Punkt ist ein best-erste Anstrengungen, das funktioniert nur auf dem desktop, wenn wir chrome-UI-Raum zur Verfügung.
Die Erklärung nicht machen eine ganze Menge Sinn für mich. Weil Android nicht zeigen, ein Indikator den ersten Platz, und Chrome auf dem desktop nur wenn genug Schnittstelle Speicherplatz verfügbar ist, ist es nicht eine Sicherheitslücke? Zumindest ist es ein Datenschutz-Problem und etwas, dass die Nutzer müssen sich bewusst sein.
Während die Benutzer tun haben, Websites zu Vertrauen genug, um Ihnen Berechtigungen für die Verwendung von WebRTC, und die Tatsache, dass die Website braucht zum starten ein popup-Fenster sind die einzigen Dinge, die benötigt werden, um dies auszunutzen.
Google kann zu einer Verbesserung der situation in der Zukunft, aber die Benutzer sind auf Ihre eigenen, wenn es dazu kommt.
Die beste form des Schutzes ist das deaktivieren WebRTC, die leicht getan werden kann, wenn Sie nicht erforderlich ist es, die zweite am besten, damit nur vertrauenswürdigen sites zu verwenden WebRTC. Wenn Sie zulassen, dass eine Website für die Verwendung von WebRTC, möchten Sie vielleicht, um den Blick für alle anderen Fenster, die es erzeugen kann danach auf der Oberseite, dass.
Jetzt Sie: verwenden Sie die Dienste oder apps, die WebRTC?