anthis computer systems
  • ΠΡΟΓΡΑΜΜΑΤΑ ΕΚΠΑΙΔΕΥΣΗΣ
  • ΠΕΡΙΟΧΗ ΜΕΛΩΝ
    • ΠΑΡΟΥΣΙΑΣΕΙΣ >
      • Parousiaseis mathiton christougenna 2021
  • ΤΕΧΝΟΛΟΓΙΚΑ ΝΕΑ
  • ΕΠΙΚΟΙΝΩΝΙΑ

@nthis computer systems

Ευπάθεια στον Google Chrome επιτρέπει καταγραφή βίντεο & ήχου

6/3/2017

0 Comments

 
Picture
Μια ευπάθεια που αναφέρθηκε στην Google στις 10 Απριλίου 2017 επιτρέπει σε έναν εισβολέα να εγγράψει ήχο ή βίντεο χρησιμοποιώντας τον Google Chrome χωρίς να εμφανίζεται κάποια ένδειξη καταγραφής.
Τα περισσότερα σύγχρονα προγράμματα περιήγησης Web υποστηρίζουν το χαρακτηριστικό WebRTC (Web Real-Time Communications). Ένα από τα πλεονεκτήματα του WebRTC είναι ότι υποστηρίζει την επικοινωνία σε πραγματικό χρόνο χωρίς τη χρήση plugins. Διαθέτει επιλογές για τη δημιουργία υπηρεσιών συνομιλίας ήχου και βίντεο, κοινή χρήση δεδομένων p2p, κοινή χρήση οθόνης και πολλά άλλα.
Υπάρχει όμως ένα μειονέκτημα στο WebRTC, καθώς μπορεί να διαρρεύσει τοπικές διευθύνσεις IP μέσω των προγραμμάτων περιήγησης που υποστηρίζουν το WebRTC.
Η αναφερόμενη ευπάθεια επηρεάζει το Google Chrome, αλλά ενδέχεται να επηρεάζει και άλλα προγράμματα περιήγησης. Για να λειτουργήσει, θα πρέπει να επισκεφτείτε έναν ιστότοπο και να του επιτρέψετε να χρησιμοποιήσει το WebRTC. Μια ιστοσελίδα που θέλει να εγγράψει ήχο ή βίντεο κρυφά, χωρίς να το γνωρίζετε θα πρεπε να δημιουργήσει ένα παράθυρο JavaScript, χωρίς κεφαλίδα (header), σαν ένα pop up ή κάποιο αναδυόμενο παράθυρο για παράδειγμα.
Στη συνέχεια, μπορεί να ηχογραφήσει ήχο ή βίντεο, χωρίς να δίνει ενδείξεις στο Google Chrome ότι συμβαίνει τη συγκεκριμένη στιγμή. Το Chrome συνήθως εμφανίζει τις ενδείξεις εγγραφής στην καρτέλα που χρησιμοποιεί τη λειτουργία, αλλά επειδή το παράθυρο του JavaScript δεν διαθέτει header, δεν εμφανίζεται τίποτα στον τελικό χρήστη.
Για το παραπάνω ελάττωμα δημιουργήθηκε ένα PoC στην ιστοσελίδα του Chromium Bugs. Το μόνο που χρειάζεται να κάνετε είναι κλικ σε δύο κουμπιά και να επιτρέψετε στην ιστοσελίδα να χρησιμοποιεί το WebRTC στο πρόγραμμα περιήγησής σας. Το PoC μπορεί να καταγράψει τον ήχο για 20 δευτερόλεπτα και σας δίνει τη δυνατότητα να κατεβάσετε την εγγραφή στον υπολογιστή σας.
Ένα μέλος της ομάδας Chromium επιβεβαίωσε την ύπαρξη της ευπάθειας, αλλά δεν το θεώρησε σημαντικό.
“Δεν είναι πραγματικά μια ευπάθεια στην ασφάλεια – για παράδειγμα, το WebRTC σε μια κινητή συσκευή δεν δείχνει κάποια ένδειξη στο πρόγραμμα περιήγησης. Το bug λειτουργεί μόνο στην επιφάνεια εργασίας όταν διαθέτουμε Chrome και υπάρχει διαθέσιμος χώρος στο UI.”
Η εξήγηση του τεχνικού βέβαια δεν έχει και πολύ νόημα. Επειδή το Android δεν εμφανίζει την ένδειξη και το Google Chrome στην επιφάνεια εργασίας την εμφανίζει μόνο εάν υπάρχει αρκετός χώρος στο UI, δεν είναι ευπάθεια ασφαλείας; Τουλάχιστον, πρόκειται για ένα ζήτημα προστασίας της ιδιωτικής μας ζωής αφού συμβαίνει μια λειτουργία που μπορεί να υποκλέψει δεδομένα χωρίς να το γνωρίζουν οι χρήστες.
Η Google μπορεί να διορθώσει αυτή την ευπάθεια στο μέλλον, αλλά μέχρι τότε, η καλύτερη μορφή προστασίας είναι να απενεργοποιήσετε το WebRTC, το οποίο μπορεί να γίνει εύκολα αν δεν το χρειάζεστε.
Το δεύτερο που μπορείτε να κάνετε είναι να μην επιτρέπετε σε ιστοσελίδες να χρησιμοποιούν το WebRTC.


ΠΗΓΗ
ΠΕΡΙΣΣΟΤΕΡΕΣ ΤΕΧΝΟΛΟΓΙΚΕΣ ΕΙΔΗΣΕΙΣ
0 Comments



Leave a Reply.

    Archives

    September 2017
    August 2017
    July 2017
    June 2017
    May 2017
    July 2016
    June 2016
    May 2016
    April 2016
    March 2016
    February 2016
    January 2016
    December 2015
    October 2015
    September 2015

    RSS Feed

ΕΚΠΑΙΔΕΥΣΗ
Χειμερινά Τμήματα
περιοχη μελων
Χρήσιμες Διευθύνσεις
Συμβουλές
Εξετάσεις
Παρουσιάσεις
τεχνολογικα νεα
 Εγγραφή στο Newsletter
επικοινωνια
  ​Εγκαταστάσεις
  Προχωρημένη Φόρμα 
@nthis Computer Systems
Αχαράβη, ΔΕ Θιναλίων
26630 64802

Copyright © 2016-2018 @nthis Computer Systems
  • ΠΡΟΓΡΑΜΜΑΤΑ ΕΚΠΑΙΔΕΥΣΗΣ
  • ΠΕΡΙΟΧΗ ΜΕΛΩΝ
    • ΠΑΡΟΥΣΙΑΣΕΙΣ >
      • Parousiaseis mathiton christougenna 2021
  • ΤΕΧΝΟΛΟΓΙΚΑ ΝΕΑ
  • ΕΠΙΚΟΙΝΩΝΙΑ