Израильский разработчик Ран Бар-Зик (Ran Bar-Zik) обнаружил уязвимость в браузере Google Chrome, позволяющую web-сайтам незаметно записывать видео и аудио. Проблема не так серьезна, как кажется, поскольку сайтам потребуется разрешение пользователя на доступ к аудио и видео компонентам, однако ее могут взять на вооружение злоумышленники для того, чтобы записывать видео и аудиоконтент без ведома пользователя.
Бар-Зик обнаружил уязвимость в процессе работы с сайтом, использующим интернет-протокол WebRTC. Данная технология предназначена для организации передачи потоковых данных между браузерами или другими поддерживающими ее приложениями по технологии точка-точка. Для передачи аудио и видеоконтента пользователь должен предоставить сайту разрешение на доступ к соответствующим компонентам. После получения разрешения сайт запускает код JavaScript, который записывает аудио и видео. Исследователь обнаружил, что код может исполняться не только в оригинальной вкладке, где было получено разрешение, но и во вспомогательном окне. Как правило, Chrome показывает значок в виде кружка с красной точкой при записи аудио и видео, однако во вспомогательном окне иконка не отображается, то есть пользователь не знает, идет запись или нет.
Эксперт проинформировал Google о проблеме, однако в компании заявили, что не считают ее уязвимостью.
"На самом деле это не уязвимость безопасности – например, WebRTC на мобильном устройстве не отображает индикатор в браузере. Точка [иконка – прим. ред.] работает только в десктопной версии при наличии доступного пространства в пользовательском интерфейсе Chrome. С учетом вышесказанного, мы рассматриваем способы улучшения ситуации", - отметили в Google.
Тем не менее, Бар-Зик не согласен с точкой зрения техногиганта. По его словам, большое число пользователей предоставляют разрешения, не обращая внимания, на что именно соглашаются. Если пользователь случайно или по неосторожности предоставит сайту разрешение на доступ к видео и аудиокомпонентам, злоумышленники могут осуществить более сложные атаки. К примеру, атакующий может использовать небольшие всплывающие окна для запуска вредоносного кода, который получит доступ к камере и сможет делать фото или записывать движения пользователя без его ведома.