Ευπάθεια στον Google Chrome επιτρέπει καταγραφή βίντεο & ήχου

Μια ευπάθεια που αναφέρθηκε στην Google στις 10 Απριλίου 2017 επιτρέπει σε έναν εισβολέα να εγγράψει ήχο ή βίντεο χρησιμοποιώντας τον Google Chrome χωρίς να εμφανίζεται κάποια ένδειξη καταγραφής.

Τα περισσότερα σύγχρονα προγράμματα ς Web υποστηρίζουν το χαρακτηριστικό WebRTC (Web Real-Time Communications). Ένα από τα πλεονεκτήματα του WebRTC είναι ότι υποστηρίζει την επικοινωνία σε πραγματικό χρόνο χωρίς τη χρήση plugins. Διαθέτει επιλογές για τη δημιουργία υπηρεσιών συνομιλίας ήχου και βίντεο, κοινή χρήση δεδομένων p2p, κοινή χρήση οθόνης και πολλά άλλα.Google Chrome

Υπάρχει όμως ένα μειονέκτημα στο WebRTC, καθώς μπορεί να διαρρεύσει τοπικές διευθύνσεις IP μέσω των προγραμμάτων περιήγησης που υποστηρίζουν το WebRTC.

Η αναφερόμενη ευπάθεια επηρεάζει το Google Chrome, αλλά ενδέχεται να επηρεάζει και άλλα προγράμματα περιήγησης. Για να λειτουργήσει, θα πρέπει να επισκεφτείτε έναν ιστότοπο και να του επιτρέψετε να χρησιμοποιήσει το WebRTC. Μια ιστοσελίδα που θέλει να εγγράψει ήχο ή βίντεο κρυφά, χωρίς να το γνωρίζετε θα πρεπε να δημιουργήσει ένα παράθυρο JavaScript, χωρίς κεφαλίδα (header), σαν ένα pop up ή κάποιο παράθυρο για παράδειγμα.

Στη συνέχεια, μπορεί να ηχογραφήσει ήχο ή βίντεο, χωρίς να δίνει ενδείξεις στο Google Chrome ότι συμβαίνει τη συγκεκριμένη στιγμή. Το Chrome συνήθως εμφανίζει τις ενδείξεις ς στην καρτέλα που χρησιμοποιεί τη λειτουργία, αλλά επειδή το παράθυρο του JavaScript δεν διαθέτει header, δεν εμφανίζεται τίποτα στον τελικό χρήστη.

Για το παραπάνω ελάττωμα δημιουργήθηκε ένα PoC στην ιστοσελίδα του Chromium Bugs. Το μόνο που χρειάζεται να κάνετε είναι κλικ σε δύο κουμπιά και να επιτρέψετε στην ιστοσελίδα να χρησιμοποιεί το WebRTC στο περιήγησής σας. Το PoC μπορεί να καταγράψει τον ήχο για 20 δευτερόλεπτα και σας δίνει τη δυνατότητα να κατεβάσετε την εγγραφή στον υπολογιστή σας.

Ένα μέλος της ς Chromium επιβεβαίωσε την ύπαρξη της ευπάθειας, αλλά δεν το θεώρησε σημαντικό.

“Δεν είναι πραγματικά μια ευπάθεια στην – για παράδειγμα, το WebRTC σε μια κινητή συσκευή δεν δείχνει κάποια ένδειξη στο πρόγραμμα περιήγησης. Το bug λειτουργεί μόνο στην επιφάνεια εργασίας όταν διαθέτουμε Chrome και υπάρχει διαθέσιμος χώρος στο UI.”

Η εξήγηση του τεχνικού βέβαια δεν έχει και πολύ νόημα. Επειδή το Android δεν εμφανίζει την ένδειξη και το Google Chrome στην επιφάνεια εργασίας την εμφανίζει μόνο εάν υπάρχει αρκετός χώρος στο UI, δεν είναι ευπάθεια ; Τουλάχιστον, πρόκειται για ένα ζήτημα προστασίας της ιδιωτικής μας ζωής αφού συμβαίνει μια λειτουργία που μπορεί να υποκλέψει δεδομένα χωρίς να το γνωρίζουν οι .

Η Google μπορεί να διορθώσει αυτή την ευπάθεια στο μέλλον, αλλά μέχρι τότε, η καλύτερη μορφή προστασίας είναι να απενεργοποιήσετε το WebRTC, το οποίο μπορεί να γίνει εύκολα αν δεν το χρειάζεστε.

Το δεύτερο που μπορείτε να κάνετε είναι να μην επιτρέπετε σε ιστοσελίδες να χρησιμοποιούν το WebRTC.

https://bugs.chromium.org/p/chromium/issues/detail?id=709952

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).