Vývojář z internetové firmy AOL Ran Bar-Zik objevil problém, který umožní po spuštění nahrávání zvuku nebo videa v prohlížeči Google Chrome nezobrazovat upozornění na toho nahrávání.
אגב, מי שרוצה - מאמר במדיום על הבאג שמצאתי. המון תודה ל @liran_tal שסייע לי בהערות ובהארות :) https://t.co/W3bwOfZQtC
Ikonka ukazujícíc nahrávání zvuku a/nebo obrazu v prohlížeči Chorme.
Bar-Zik na problém narazil, když se zabýval protokolem WebRC, který webové stránky používají pro streamování audio a video obsahu přes internet v reálném čase přes peer-to-peer připojení.
Google se brání tomu, že by to byla bezpečnostní chyba, protože k tomu, aby se nahrávaní vůbec spustilo, musí dát uživatel standardní cestou souhlas. Když stránka toto oprávnění získá, spustí se JavaScript, který začne zaznamenávat zvuk nebo video.
Problém podle vyjádření Rana Bar-Zika pro server Bleeping Computer spočívá v tom, že se tento JavaScript může spustit v jiné záložce, než v jaké dal uživatel povolení. A protože se nezobrazuje červené kolečko nahrávání, může tak být uživatel podveden.
Vývojáři prohlížeče se v diskuzi pod nahlášeným problémem brání, že to není bezpečnostní problém a že například prohlížeče Chrome na mobilu tuto ikonku nezobrazují vůbec. Podle nich stačí blokovat video a audio přenosy, které žádají o spuštění právě přes vyskakovací okno. Chrome tak zatím nedostane rychlou opravu.
Podle Bar-Zika je v tomto případě ohrožen uživatel, který se třeba jen chtěl kliknutím na tlačítko OK zbavit jednoho z mnoha vyskakujících oken žádajících oprávnění, jako je například žádost o sledování polohy. A pokud to je zrovna stránka zneužívající tento problém, může být pak tajně nahráván. Podobně lze zneužít občas se vracející chyby skriptování mezi stránkami (XSS), kde by mohl útočník využít oprávnění k nahrávání udělené jiné webové stránce.
