Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Chyba umožňuje utajeně nahrávat video a audio přes Chrome

  12:36aktualizováno  12:36
Chyba v prohlížeči Google Chrome umožní nahrávat obraz i zvuk, aniž by se rozsvítila k tomu určená ikonka a uživatel na to byl upozorněn.

Chrome | foto: Jakub Dvořák, Technet.cz

Vývojář z internetové firmy AOL Ran Bar-Zik objevil problém, který umožní po spuštění nahrávání zvuku nebo videa v prohlížeči Google Chrome nezobrazovat upozornění na toho nahrávání.

28.května 2017 v 07:55, příspěvek archivován: 01.června 2017 v 12:07

אגב, מי שרוצה - מאמר במדיום על הבאג שמצאתי. המון תודה ל @liran_tal שסייע לי בהערות ובהארות :) https://t.co/W3bwOfZQtC

Ikonka ukazujícíc nahrávání zvuku a/nebo obrazu v prohlížeči Chorme.

Ikonka ukazujícíc nahrávání zvuku a/nebo obrazu v prohlížeči Chorme.

Bar-Zik na problém narazil, když se zabýval protokolem WebRC, který webové stránky používají pro streamování audio a video obsahu přes internet v reálném čase přes peer-to-peer připojení.

Google se brání tomu, že by to byla bezpečnostní chyba, protože k tomu, aby se nahrávaní vůbec spustilo, musí dát uživatel standardní cestou souhlas. Když stránka toto oprávnění získá, spustí se JavaScript, který začne zaznamenávat zvuk nebo video.

Problém podle vyjádření Rana Bar-Zika pro server Bleeping Computer spočívá v tom, že se tento JavaScript může spustit v jiné záložce, než v jaké dal uživatel povolení. A protože se nezobrazuje červené kolečko nahrávání, může tak být uživatel podveden.

Vývojáři prohlížeče se v diskuzi pod nahlášeným problémem brání, že to není bezpečnostní problém a že například prohlížeče Chrome na mobilu tuto ikonku nezobrazují vůbec. Podle nich stačí blokovat video a audio přenosy, které žádají o spuštění právě přes vyskakovací okno. Chrome tak zatím nedostane rychlou opravu.

Podle Bar-Zika je v tomto případě ohrožen uživatel, který se třeba jen chtěl kliknutím na tlačítko OK zbavit jednoho z mnoha vyskakujících oken žádajících oprávnění, jako je například žádost o sledování polohy. A pokud to je zrovna stránka zneužívající tento problém, může být pak tajně nahráván. Podobně lze zneužít občas se vracející chyby skriptování mezi stránkami (XSS), kde by mohl útočník využít oprávnění k nahrávání udělené jiné webové stránce.

Autor:


Nejčtenější

Vědci objevili pod zemí biliardy tun diamantů, ale nedostaneme se k nim

Diamanty značky Diamonds International Corporation

V litosférickém podloží Země odhadují vědci tisíce bilionů tun diamantů. Zaměřili ho pomocí zvukových vln. Dodávají...

Stíhačka Su-57 je podle některých ruských médií drahá a zbytečná hračka

Su-57

Ruské letectvo nenakoupí stíhačky páté generace Su-57, uvedl Vladimír Guteněv, člen expertní rady Státní dumy pro...



Bača v migu málem sestřelil špionážní SR-71, po revoluci děsil letce NATO

Ján Skladányi v kokpitu MiG-23 v Leteckém muzeu Kbely

Ján Skladányi byl stíhačem československého a později i českého letectva. Přečtěte si strhující příběh jeho leteckého...

Má hořet půl století jako františek. Jaký reaktor si přeje Bill Gates

Schéma reaktoru TWR-P s tepelným výkonem 600 MW, který by TerraPower měla...

Společnost TerraPower, v jejíž správní radě sedí zakladatel Microsoftu, se konečně přiblížila možnosti stavby reaktoru,...

Atomový řezník připravoval v SSSR půdu civilním proudovým strojům

Iljušin Il-28

Mezi významné bojové letouny studené války patří taktický bombardér Iljušin Il-28. Ten se stal prvním sovětským...

Další z rubriky

Facebook jako vydavatel, jen když se mu to hodí. Jinak je platformou

Ilustrační snímek

Společnost Facebook se snaží vystupovat jako platforma pro uživatele. V jednom z aktuálních soudních sporů se však...

Xbox One S a X se naučí HDR formát DolbyVision. Ne všude bude fungovat

Streamovací VOD služba Netflix nabízí tituly i ve 4K HDR kvalitě.

Herní konzole Microsoft Xbox One S a X dostanou s updatem systému schopnost přehrávat pokročilý HDR formát Dolby...

Twitter zablokoval 70 milionů účtů, ale je to trochu jinak

Ilustrační snímek

Deník The Washington Post přišel s informací, že Twitter za poslední dva měsíce zablokoval na 70 milionů účtů v rámci...

Najdete na iDNES.cz