Наша взаимовыгодная связь https://banwar.org/
Співробітник компанії AOL, Ран Бар-Зік (Ran Bar-Zik) виявив проблему в браузері Google Chrome, завдяки якій сайти можуть записувати аудіо і відео, не відображаючи при цьому відповідний індикатор.
По суті, баг не такий страшний, адже будь-якій шкідливому ресурсу все одно доведеться запитувати дозвіл користувача для доступу до камери і мікрофону. Однак дослідник стверджує, що існує кілька векторів атак, які дозволять записувати аудіо і відео без відома жертви. Наріжним каменем проблеми є іконка «червоне коло з точкою», якій Chrome зазвичай відзначає вкладки, що записують аудіо-або відеопотік, який передається користувачем.
Спеціаліст зауважив проблему, коли працював з сайтом, що підтримує WebRTC. Даний протокол дозволяє організувати передачу потокових даних між браузерами або іншими підтримують його додатками за технологією точка-точка. Щоб стрім контент за допомогою WebRTC, користувач спочатку повинен дати сайту доступ до своїх аудіо- та відеопристроїв. Як тільки дозвіл отримано, запускається JavaScript, який записує контент користувача перед відправленням іншим учасникам WebRTC-стріму. За цей процес відповідає MediaRecorder API.
Ран Бар-Зік виявив, що код, який здійснює запис, може працювати не тільки в тій вкладці, до якої користувач надав доступ. Так як дозвіл на доступ до аудіо- та відеопристроїв видається всьому домену, дослідник зумів відкрити popup-вікно, яке теж могло записувати аудіо або відео. Так як popup є окремим вікном, він не відображається на панелі вкладок, відповідно, жертва не бачить іконку, що сигналізує про те, що ведеться запис.
Дослідник створив спеціальну демо-сторінку , На якій баг може побачити і «випробувати» будь-який бажаючий. Також Бар-Зік опублікував proof-of-concept експлоїт для даної проблеми, який знаходиться у вільному доступі тут .
Хоча фахівець вже повідомив розробників Chrome про баг, ті відповіли, що це не можна класифікувати як проблему з безпекою, хоча і пообіцяли зробити все можливе:
«Це не зовсім вразливість з точки зору безпеки. Наприклад, на мобільних пристроях WebRTC взагалі не відображає ніяких індикаторів в браузері. Іконка - це перша спроба [вирішити проблему], яка працює тільки на десктопах, коли є chrome UI space. Однак, як уже було сказано, ми працюємо над способами поліпшення ситуації ».
Дослідник не згоден з точкою зору розробників. Він каже, що більшість користувачів надають додаткам і сайтам будь-які дозволи, навіть не читаючи, на що саме вони клацають. Бар-Зік пояснює, що зловмисник може замаскувати свою атаку під зовсім невеликий popup, який легко не помітити, або видати спливаюче вікно за рекламу. Якщо користувач надасть сайту доступ до свого мікрофона і камері, а потім не попрацювати закрити вікно, що з'явилося, атакуючий зможе годинами спостерігати за своєю жертвою, як в шпигунських бойовиках.
Гірше того, атакуючий може навіть не створювати власний шкідливий сайт, замість цього можна використовувати XSS-уразливість на іншому легітимному ресурсі, який вже має доступ до аудіо- та відеопристроїв користувача.