Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Chyba umožňuje utajeně nahrávat video a audio přes Chrome

  12:36aktualizováno  12:36
Chyba v prohlížeči Google Chrome umožní nahrávat obraz i zvuk, aniž by se rozsvítila k tomu určená ikonka a uživatel na to byl upozorněn.

Chrome | foto: Jakub Dvořák, Technet.cz

Vývojář z internetové firmy AOL Ran Bar-Zik objevil problém, který umožní po spuštění nahrávání zvuku nebo videa v prohlížeči Google Chrome nezobrazovat upozornění na toho nahrávání.

28.května 2017 v 07:55, příspěvek archivován: 01.června 2017 v 12:07

אגב, מי שרוצה - מאמר במדיום על הבאג שמצאתי. המון תודה ל @liran_tal שסייע לי בהערות ובהארות :) https://t.co/W3bwOfZQtC

Ikonka ukazujícíc nahrávání zvuku a/nebo obrazu v prohlížeči Chorme.

Ikonka ukazujícíc nahrávání zvuku a/nebo obrazu v prohlížeči Chorme.

Bar-Zik na problém narazil, když se zabýval protokolem WebRC, který webové stránky používají pro streamování audio a video obsahu přes internet v reálném čase přes peer-to-peer připojení.

Google se brání tomu, že by to byla bezpečnostní chyba, protože k tomu, aby se nahrávaní vůbec spustilo, musí dát uživatel standardní cestou souhlas. Když stránka toto oprávnění získá, spustí se JavaScript, který začne zaznamenávat zvuk nebo video.

Problém podle vyjádření Rana Bar-Zika pro server Bleeping Computer spočívá v tom, že se tento JavaScript může spustit v jiné záložce, než v jaké dal uživatel povolení. A protože se nezobrazuje červené kolečko nahrávání, může tak být uživatel podveden.

Vývojáři prohlížeče se v diskuzi pod nahlášeným problémem brání, že to není bezpečnostní problém a že například prohlížeče Chrome na mobilu tuto ikonku nezobrazují vůbec. Podle nich stačí blokovat video a audio přenosy, které žádají o spuštění právě přes vyskakovací okno. Chrome tak zatím nedostane rychlou opravu.

Podle Bar-Zika je v tomto případě ohrožen uživatel, který se třeba jen chtěl kliknutím na tlačítko OK zbavit jednoho z mnoha vyskakujících oken žádajících oprávnění, jako je například žádost o sledování polohy. A pokud to je zrovna stránka zneužívající tento problém, může být pak tajně nahráván. Podobně lze zneužít občas se vracející chyby skriptování mezi stránkami (XSS), kde by mohl útočník využít oprávnění k nahrávání udělené jiné webové stránce.

Autor:


Témata: Google Chrome, Chrome


Hlavní zprávy




Google Chromecast 2Google Chromecast 2

Porovnejte ceny, pročtěte recenze a objednejte přímo u nás.

www.Heureka.cz

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.