Chrome позволяет сайтам тайно записывать аудио и видео

Ран Бар-Зик (Ran Bar-Zik) Израильский разработчик, выявил уязвимость в браузере Google Chrome. Данный, так сказать "баг" позволяет браузеру незаметно записывать видео и аудио. На первый взгляд проблема не так актуальна, поскольку сайтам потребуется разрешение пользователя на доступ к аудио и видео компонентам. Данную уязвимость могут использовать злоумышленники, чтобы без ведома пользователя записывать видео и аудио контент.

Израильский разработчик выявил уязвимость, когда работал с сайтом, использующим протокол WebRTC. Эта функция используется для организации передачи потоковых данных между браузерами или другими поддерживающими ее приложениями по технологии точка-точка. Пользователь по запросу сайта должен предоставить разрешение на доступ к соответствующим компонентам. После того как разрешение получено сайт запускает JavaScript, который записывает аудио и видео. Бар-Зик установил, что код исполняется не только в оригинальной вкладке, но и во вспомогательном окне. Браузер Google Chrome отображает значок в виде кружка с красной точкой при записи аудио и видео, но вспомогательное окно этого не показывает, таким образом пользователь не знает идет запись аудио и видео.

Бар-Зик сообщил об этой проблеме в компанию Google. Компания заявила, что не считает данную проблему уязвимостью.

В Google прокомментировали: «На самом деле это не уязвимость безопасности – например, WebRTC на мобильном устройстве не отображает индикатор в браузере. Точка (иконка) работает только в десктопной версии при наличии доступного пространства в пользовательском интерфейсе Chrome. С учетом вышесказанного, мы рассматриваем способы улучшения ситуации».

Разработчик не согласен с Google. По его словам огромное количество пользователей предоставляют разрешения, не особо уделяя внимание на что именно они соглашаются. Если пользователь случайно предоставит разрешение сайту на доступ к видео и аудио компонентам, киберпреступник может осуществить более сложную атаку. Хакер сможет использовать всплывающие окна для запуска вредоносного кода, получив доступ к камере он сможет следить за пользователем без его ведома.