Konuyu Oyla:
  • Derecelendirme: 0/5 - 0 oy
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
Tags
sitelerin gizlice ses ve video kaydı yapmasına izin veren chrome hatası google tarafı

Sitelerin gizlice ses ve video kaydı yapmasına izin veren Chrome hatası Google tarafı
#1
Sitelerin gizlice ses ve video kaydı yapmasına izin veren Chrome hatası Google tarafından yazılan bir kusur değil
Bir sitenin ses ve video kaydı yaptığını sizi uyarmak için Chrome sekmesindeki kırmızı kayıt göstergesine güvenemediğiniz için web sitelerine hangi izinleri verdiğinize dikkat edin
Web tarayıcınız herhangi bir gösterge yapmadan ses ve video kaydediyorsa, gizlilik istilasına bir güvenlik sorunu mu göz önüne alınıyor? Chrome değil.

AOL web geliştiricisi Ran Bar-Zik, bir web sitesinin, Chrome sekmesinde kırmızı kayıt ışığı görünmeden ses ve video kaydı yapabileceğini keşfettikten sonra hatayı bildirdi . 

Ancak kullanıcılar, sorunun temelini oluşturduğundan, Google bunu bir güvenlik kusuru olarak sınıflandırmaz. Bunun nedeni, herhangi bir ses veya video kaydından önce kullanıcının bir kullanıcının web kamerasına veya mikrofonuna erişebilmesi için bir siteye izin vermesi gerekliliğidir.  

Yine de Bar-Zik, insanların izin verdiği sırada tıkladıklarının tam olarak farkında olmayacağına inanıyor. Böcek silaha ve olabilir “gerçek saldırılar çok belirgin olmayacak” diye anlattı Bleeping Bilgisayar.

Bar-Zik, WebRTC kodunu çalıştıran bir sitede Chrome hatasını keşfetti . WebRTC (Web Gerçek Zamanlı İletişim) gerçek zamanlı iletişim sağlar. Bir tarayıcıda, bir site kullanıcıdan bir mikrofona veya web kamerasına erişim izni vermesini isteyecektir. Kullanıcı bir sitenin ses ve video akışını izni verirse içeriği WebRTC akışına göndermeden önce kaydetmek için JavaScript kodu çalıştırabilir.

[ En son teknoloji haberlerine bakın veya haber bültenimize abone olun ]
Bununla birlikte, Bar-Zik'in hata raporunda, JavaScript'in Chrome sekmesinde kırmızı renkli kayıt nokta göstergesini göstermeden kayıt yapabileceği belirtiliyor. "İzin verildikten sonra, sitenin arkasındaki bir hacker ne zaman isterse siteyi dinleyebilir" diye açıkladı.

Meseleyi kanıtlamak için, Bar-Zik, saldırının nasıl yürüdüğünü gösteren bir konsept kanıtı demoyu ortaya attı . Ses / video bileşenlerine erişmek için izin vermeye karar verdikten sonra bir açılır pencere açılır, 20 saniyelik bir ses kaydedilir ve daha sonra kaydedilen dosya için bir indirme bağlantısı sağlanır.

[Bu hikayeye yorum yapmak için Computerworld'un Facebook sayfasını ziyaret edin . ]
Google'ın Chrome hata raporuna nasıl tepki verdiğini:

Bu gerçekten güvenlik açığı değildir - örneğin, bir mobil cihazdaki WebRTC, tarayıcıda hiç gösterge göstermez. Nokta, kullanılabilir krom kullanıcı arabirimi alanımızda yalnızca masaüstünde çalışan, en iyi çaba.

Olduğu söyleniyor, biz bu durumu iyileştirmenin yollarına bakıyoruz.

Google'ın cevabına rağmen, Bar-Zik hala bir güvenlik sorunu olduğuna inanıyor. Bilinen Bilgisayarlar:

Örneğin, Bar-Zik, bir saldırganın saldırı kodunu başlatmak için çok küçük pop-up'ları kullanabileceğini savunuyor. Bu kod, bir kullanıcının resmini çekmek için kamerayı milisaniyelik bir süre veya saatlerce, kullanıcının hareketlerini veya yakındaki sesi kaydetmek için kullanabilir.

Kullanıcı araç çubuğundaki açılır pencereyi fark etmezse, sesli ve görüntülü video bileşenlerine erişmekte olduğunu gösteren herhangi bir görsel gösterge bulunmamaktadır. En sinsi senaryolardan biri, saldırgan pop-up'ı sıradan bir reklam kılığına sokarsa olurdu. Kullanıcı reklamın pop-up'ını derhal kapatmazsa, bir saldırgan kullanıcının PC'sinde bir gözetim kanalı açmaya devam eder.

Bunun üzerine Bar-Zik, bir saldırganın izin bölümünü tamamen atlayabileceğini ve bunun yerine "kullanıcının site içindeki ses ve video bileşenlerine zaten erişebilmiş meşru web sitelerinde çapraz site komut dosyası (XSS) kusurlarını kullanabileceğini" söyledi. Bu XSS kusurları saldırı kodunu iletmek için kullanılabilir. "

İster Google'a veya Bar-Zik'e bu Chrome hatasını yaparsanız yapın, kendinizi korumanın en iyi yolu, hangi izinleri web sitelerine ve hatta uzantılara verdiğinize dikkat etmektir. Bir web kameranız varsa, lütfen kamerayı kullanmadığınız sürece yapışkan bir not veya başka bir şey koyun.

Kişisel bir notada, son sekiz yıldır Security Is Sexy'yi okuduğunuz için teşekkürler. IDG'nin bir parçası olan Computerworld, burada güvenlik konularını kapsamıyor olmayacak. Güvenlik / saldırı / siber suç / gözetim / gizlilik - derin ilgilendiğim konular - ve dikkatimi çeken daha teknik konularla ilgilenmeye devam edeceğim bir siteyi başlattığım için Twitter feed'imi göz kulak olun. Yine, okuma ve şimdiye kadar buh-ved için teşekkür ederiz.
Ara
Cevapla
Teşekkür eden:


Hızlı Menü:


Konuyu Okuyanlar: 1 Ziyaretçi