Una vulnerabilità di sicurezza è stato segnalato a Google 10 aprile 2017 che consente a un utente malintenzionato di registrare audio o video utilizzando Chrome senza indicazione.
La maggior parte dei moderni browser web di supporto WebRTC (Web Real-Time Communications). Uno dei vantaggi di WebRTC è che supporta la comunicazione in tempo reale senza l’utilizzo di plugin. Questo include opzioni per la creazione di audio e video servizi di chat, p2p di condivisione di dati, la condivisione dello schermo, e più che utilizzano la tecnologia.
C’è anche un aspetto negativo di WebRTC, come può essere una perdita di indirizzi IP locali nei browser che supportano WebRTC. È possibile proteggere l’indirizzo IP venga rivelato in Firefox, Chrome e Vivaldi, per esempio.
La vulnerabilità segnalata riguarda Chrome, ma può interessare anche gli altri browser web. Per farlo funzionare, è necessario visitare un sito e consentire l’utilizzo di WebRTC. Il sito che si desidera registrare l’audio o il video avrebbe provocato un JavaScript finestra, quindi, senza intestazione, un pop-under o finestra pop-up, per esempio.
Esso è in grado di registrare audio o video, senza dare indicazioni di Chrome che questo sta accadendo. Chrome visualizza la registrazione di indicatori di genere nella scheda che utilizza la funzionalità, ma dal momento che il JavaScript window è senza intestazione, nulla è mostrato all’utente.
Un proof of concept è stato creato, che si trova legato al Cromo Bug del sito. Tutto quello che dovete fare è fare clic su due pulsanti, e consentire al sito di utilizzo WebRTC nel browser web. Il proof of concept demo, registrazioni audio per 20 secondi, e offre un’opzione in seguito per scaricare la registrazione al sistema locale.
Cromo membro del team, ha confermato l’esistenza del problema, ma non ha voglia chiamare vulnerabilità.
Questo non è davvero una vulnerabilità di sicurezza – per esempio, WebRTC su un dispositivo mobile non mostra nessun indicatore a tutti nel browser. Il punto è un best-primo sforzo che funziona solo sul desktop quando abbiamo chrome UI spazio disponibile.
La spiegazione non fa un sacco di senso per me. Perché Android non mostra un indicatore in primo luogo, e Chrome sul desktop solo se un numero sufficiente di spazio di interfaccia è disponibile, non è una vulnerabilità di sicurezza? Almeno, è un problema di privacy e di qualcosa che gli utenti devono essere consapevoli di.
Mentre gli utenti hanno a siti di fiducia sufficiente per dare loro le autorizzazioni per l’utilizzo WebRTC, e il fatto che il sito deve avviare una finestra di popup sono le uniche cose necessarie per sfruttare questa.
Google potrebbe migliorare la situazione in futuro, ma gli utenti sono a loro in questo momento, quando si arriva a quel punto.
La migliore forma di protezione è quello di disabilitare WebRTC che può essere fatto facilmente se non lo richiedono, la seconda per consentire solo i siti fidati per utilizzare WebRTC. Se si consente a un sito per l’utilizzo di WebRTC, si consiglia di guardare fuori per qualsiasi altro windows che può deporre le uova poi in cima a quello.
Ora Te: utilizza servizi o applicazioni che utilizzano WebRTC?