En sårbarhed, der blev rapporteret til at Google på April 10, 2017, der gør det muligt for en hacker at optage lyd eller video ved hjælp af Chrome uden indikation.
De fleste moderne web browsere understøtter WebRTC (Web Real-Time Kommunikation). En af fordelene ved at WebRTC er, at det understøtter real-time kommunikation uden brug af plugins. Dette inkluderer valg til at skabe audio-og video-chat-tjenester, p2p deling af data, skærmdeling, og mere ved hjælp af teknologien.
Der er også en ulempe WebRTC, som det kan lække lokale IP-adresser i browsere, der understøtter WebRTC. Du kan beskytte IP-adresse fra at blive afsløret i Firefox, Chrome og Vivaldi, for eksempel.
Den rapporterede sårbarhed påvirker Chrome, men det kan påvirke andre web-browsere som godt. For at det virker, er du nødt til at besøge et websted og tillade det at bruge WebRTC. Det websted, der ønsker at optage lyd eller video, vil gyde et JavaScript vindue, uden header, en pop under-eller pop-up-vindue, for eksempel.
Det kan derefter optage lyd eller video, uden at give tegn i Krom, at dette sker. Chrome viser en optagelse indikatorer, som regel i den fane, der bruger funktionen, men da JavaScript vindue er headerless, er der intet, der vises til brugeren.
Et proof-of-concept blev oprettet, som du finder linket på Chrom Fejl hjemmeside. Alt du skal gøre er at klikke på to knapper, og gøre det muligt for webstedet at bruge WebRTC i web-browseren. Proof of concept-demo optager lyd i 20 sekunder, og giver dig mulighed for bagefter at downloade optagelsen til det lokale system.
Krom teammedlem har bekræftet eksistensen af spørgsmålet, men har ikke lyst til at kalde det svaghed.
Dette er egentlig ikke en sikkerhedsbrist – for eksempel, WebRTC på en mobil enhed, vises ingen indikator på, at alle i browseren. Dot er en bedste-første forsøg på at kun arbejder på skrivebordet, når vi har chrome UI plads til rådighed.
Forklaringen ikke gøre en hel masse mening for mig. Fordi Android ikke vises en indikator i første omgang, og Chrome på skrivebordet, kun hvis der er nok interface plads der er til rådighed, det er ikke en sikkerhedsrisiko? I det mindste, det er et spørgsmål om privatlivets fred, og noget, som brugere skal være opmærksomme på.
Mens brugerne har tillid til websteder, nok til at give dem tilladelser til at bruge WebRTC, og det faktum, at webstedet nødt til at starte et popup-vindue, er de eneste ting, der er nødvendige for at udnytte dette.
Google kan forbedre situationen i fremtiden, men brugerne er på egen hånd lige nu, når det kommer til at.
Den bedste form for beskyttelse er at deaktivere WebRTC, som kan gøres nemt, hvis du ikke kræver det, er den anden bedste til kun at tillade websteder, du har tillid til at bruge WebRTC. Hvis du vil tillade et websted for at bruge WebRTC, kan du ønsker at se ud for alle andre windows -, at det kan gyde bagefter på toppen af det.
Nu kan Du: har du brug for service eller apps, som bruger WebRTC?