Une faille de sécurité a été signalé à Google le 10 avril 2017 qui permet à un attaquant d’enregistrer de l’audio ou de la vidéo à l’aide de Chrome sans indication.
La plupart des navigateurs web modernes soutien WebRTC (Web Real-Time Communication). L’un des avantages de WebRTC est qu’il prend en charge la communication en temps réel sans l’utilisation de plugins. Ceci inclut des options pour créer l’audio et la vidéo des services de chat, p2p de partage de données, le partage d’écran, et plus encore à l’aide de la technologie.
Il y a aussi un inconvénient de WebRTC, comme il peut de fuite adresses IP locales dans les navigateurs qui prennent en charge WebRTC. Vous pouvez protéger l’adresse IP d’être révélé dans Firefox, Chrome et Vivaldi, par exemple.
Cette vulnérabilité affecte Chrome, mais il peut affecter d’autres navigateurs web ainsi. Pour que cela fonctionne, vous devez visiter un site et de l’autoriser à utiliser WebRTC. Le site qui se veut enregistrer de l’audio ou de la vidéo donnerait naissance à une fenêtre JavaScript puis, sans en-tête, un pop-under ou fenêtre pop-up par exemple.
Il peut alors enregistrer de l’audio ou de la vidéo, sans donner d’indications dans google Chrome ce qui se passe. Chrome affiche l’enregistrement des indicateurs habituellement dans l’onglet qui utilise la fonctionnalité, mais depuis la fenêtre JavaScript est sans en-tête, rien n’est affiché à l’utilisateur.
Une preuve de concept a été créé, qui vous trouvez liée à la teneur en Chrome des Bugs du site web. Tout ce que vous devez faire est de cliquer sur les deux boutons, et autoriser le site à utiliser WebRTC dans le navigateur web. La preuve de concept démonstration des enregistrements audio de 20 secondes, et vous donne la possibilité par la suite de télécharger l’enregistrement sur le système local.
Un Chrome membre de l’équipe a confirmé l’existence du problème, mais n’a pas voulu appeler la vulnérabilité.
Ce n’est pas vraiment une faille de sécurité – par exemple, WebRTC sur un appareil mobile ne montre aucun indicateur dans le navigateur. La dot est un premier effort qui ne fonctionne que sur un ordinateur de bureau lorsque nous avons chrome de l’INTERFACE utilisateur de l’espace disponible.
L’explication ne fait pas beaucoup de sens pour moi. Parce que Android n’est pas un indicateur à la première place, et le Chrome sur le bureau que si suffisamment de l’interface de l’espace est disponible, il n’est pas une faille de sécurité? À tout le moins, c’est une question de la vie privée et quelque chose que les utilisateurs doivent être conscients des.
Alors que les utilisateurs n’ont de sites de confiance suffisant pour leur donner des autorisations pour l’utilisation WebRTC, et sur le fait que le site doit lancer une fenêtre pop-up sont les seules choses nécessaires pour l’exploiter.
Google peut améliorer la situation dans l’avenir, mais les utilisateurs sont sur leur propre quand il s’agit de cela.
La meilleure forme de protection est de désactiver le WebRTC qui peut être fait facilement si vous ne l’exige pas, le deuxième meilleur pour permettre seulement confiance des sites pour l’utilisation de WebRTC. Si vous autorisez un site à utiliser WebRTC, vous pouvez regarder dehors pour toutes les autres fenêtres qu’il peut engendrer par la suite sur le dessus de cela.
Maintenant, Vous: avez-vous de l’utilisation des services ou des applications qui utilisent le WebRTC?