Баг в Chrome позволяет сайтам записывать аудио и видео незаметно для пользователя

Web-разработчик Ран Бар-Зик (компания AOL) шокировал общественность обнаружением уязвимости в браузере Google Chrome, которая делает возможным некоторым сайтам осуществлять запись видео и аудио без надлежащей пометки в виде индикатора.

Не так страшна данная уязвимость как кажется на первый взгляд. Находясь на веб-страницах сайты также обязаны спрашивать доступ к видео- и/или аудиоустройствам обладателей браузера от "Гугл". Но стали известны несколько способов, как этот бак может быть использован недобросовестными пользователями сети.

Речь идёт об иконке «красная точка», появляющаяся в Google Chrome одновременно с записью видео- или аудиопотока.

Ран Бар-Зик выявил данный баг во время работы с сайтом, использовавшим программный код WebRTC (протокол для отправки видео- и аудиоконтента в реальном времени).

Во время получения сайтом разрешения от пользователя, им возможен запуск JavaScript код, записывающий видео- и аудиоконтент перед отправкой иным участникам WebRTC трансляции. Запись осуществляется посредством API MediaRecorder на основе плагина JavaScript.

Специалист выявил информацию о том, что кодировка не обязательно должна работать на той же странице, на которой пользователь дал свое разрешение. Так как согласие пользователя имеет отношение к домену полностью, работа кода возможна также в popup окне, не отображающемся на панели вкладок, а, соответственно, не показывающему и значок записи. Какова же была реакция команды отвечающей за безопасность в компании Google?

Бар-Зик сообщил об ошибке в Google. Компания ответила в этот же день, но команда отвечающая за безопасность не придала значения данной уязвимости в качестве серьёзного бага в системе безопасности.

По факту, эта недоработка не может считаться уязвимостью. К примеру, на мобильных устройствах индикатор в процессе WebRTC-стрима совсем не отображаются. Маркер в виде красного кружка с точкой бывает лишь в ряде версий браузера Chrome на персональном компьютере. В качестве базового способа защиты от возможно негативного влияния злоумышленников достаточно обдуманного разрешения пользователя на использование видео- и аудиоустройств.

Команда BXCert

Наша команда разрабатывает портал BXCert, а также занимается разработкой сайтов на CMS 1С-Битрикс. Все участники являются сертифицированными специалистами Bitrix.