Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Chyba umožňuje utajeně nahrávat video a audio přes Chrome

  12:36aktualizováno  12:36
Chyba v prohlížeči Google Chrome umožní nahrávat obraz i zvuk, aniž by se rozsvítila k tomu určená ikonka a uživatel na to byl upozorněn.

Chrome | foto: Jakub Dvořák, Technet.cz

Vývojář z internetové firmy AOL Ran Bar-Zik objevil problém, který umožní po spuštění nahrávání zvuku nebo videa v prohlížeči Google Chrome nezobrazovat upozornění na toho nahrávání.

28.května 2017 v 07:55, příspěvek archivován: 01.června 2017 v 12:07

אגב, מי שרוצה - מאמר במדיום על הבאג שמצאתי. המון תודה ל @liran_tal שסייע לי בהערות ובהארות :) https://t.co/W3bwOfZQtC

Ikonka ukazujícíc nahrávání zvuku a/nebo obrazu v prohlížeči Chorme.

Ikonka ukazujícíc nahrávání zvuku a/nebo obrazu v prohlížeči Chorme.

Bar-Zik na problém narazil, když se zabýval protokolem WebRC, který webové stránky používají pro streamování audio a video obsahu přes internet v reálném čase přes peer-to-peer připojení.

Google se brání tomu, že by to byla bezpečnostní chyba, protože k tomu, aby se nahrávaní vůbec spustilo, musí dát uživatel standardní cestou souhlas. Když stránka toto oprávnění získá, spustí se JavaScript, který začne zaznamenávat zvuk nebo video.

Problém podle vyjádření Rana Bar-Zika pro server Bleeping Computer spočívá v tom, že se tento JavaScript může spustit v jiné záložce, než v jaké dal uživatel povolení. A protože se nezobrazuje červené kolečko nahrávání, může tak být uživatel podveden.

Vývojáři prohlížeče se v diskuzi pod nahlášeným problémem brání, že to není bezpečnostní problém a že například prohlížeče Chrome na mobilu tuto ikonku nezobrazují vůbec. Podle nich stačí blokovat video a audio přenosy, které žádají o spuštění právě přes vyskakovací okno. Chrome tak zatím nedostane rychlou opravu.

Podle Bar-Zika je v tomto případě ohrožen uživatel, který se třeba jen chtěl kliknutím na tlačítko OK zbavit jednoho z mnoha vyskakujících oken žádajících oprávnění, jako je například žádost o sledování polohy. A pokud to je zrovna stránka zneužívající tento problém, může být pak tajně nahráván. Podobně lze zneužít občas se vracející chyby skriptování mezi stránkami (XSS), kde by mohl útočník využít oprávnění k nahrávání udělené jiné webové stránce.

Autor:


Témata: Google Chrome, Chrome


Hlavní zprávy

Další z rubriky

Suchoj T-50
Rusko dalo oficiální název své neviditelné stíhačce. Bude to Su-57

Sedm let od prvního letu dostává ruská neviditelná stíhačka oficiální název. Bude se jmenovat Su-57.  celý článek

Nové kurzy - letní semestr 2012 on-line
Expert na umělou inteligenci chce vyškolit miliony dalších odborníků

Strojové učení změní svět podobně jako kdysi elektřina, myslí si odborník na umělou inteligenci Andrew Ng. Podle něj je potřeba vychovat příští generaci...  celý článek

Zavirované komunikátory neznámých jmen se dostaly do obchodu Google Play....
Zavirované komunikační aplikace se dostaly do obchodu Googlu. Nemáte je?

Útočníci použili otevřený kód komunikátoru Telegram a přidali do něj funkce škodlivého softwaru SonicSpy. Tři funkční, ale škodlivé komunikátory byly pod...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.