安全研究人員發現Chrome一項臭蟲,可能讓用戶在不知不覺中被某個網站錄音錄影而不自知。不過Google並不承認這是Chrome的漏洞。
AOL的網站工程師Ran Bar-Zik指出這項臭蟲和WebRTC協定有關。WebRTC是讓網站即時串流影音內容的協定。透過WebRTC執行串流時,網站需先取得使用者同意以存取影、音內容,之後再執行JavaScript,經由MediaRecorder API錄下影音再送上網際網路給其他支援WebRTC串流的用戶端。
但研究人員發現,當網站取得使用者許可時,是取得了使用者整個網域的錄製權限,而不見得只是用戶開放錄製的內容。研究人員指出,Chrome在錄製時會在工具列顯示一個紅色圈內有個紅點的圖示,但是在跳出式網頁中由於不具有工具列,而不會顯示這個圖示。因此惡意網站可以先要求用戶准許進行WebRTC串流,再誘使用戶開啟JavaScript跳出視窗,這個視窗的JavaScript程式碼就能錄下用戶影像和聲音,而不必通知用戶。
這項臭蟲出現在Chrome 57.0.2987以前的版本。
不過當他通知Google後,Google卻拒絕承認這是Chrome的漏洞,因為WebRTC在行動版瀏覽器上都不會出現紅圈加紅點的圖示,Chrome是因為桌機版有足夠空間才加了這個指示。不過Google仍然表示會改善狀況,將加入一般性的准許指示。不過由於Google並不視之為一項漏洞,因此也不會有所謂的修補程式來解決這個問題。
BleepingComputer網站指出,Google的判斷並不能說是錯,因為攻擊點出在跳出式網頁,用戶如果擔心此類問題,應該小心任何要求許可存取權的網頁。
熱門新聞
2024-11-25
2024-11-29
2024-11-15
2024-11-15
2024-11-28
2024-11-14