由于站点录制音视频时,Chrome的标签页中的红色录制指示灯无法产生告警通知您,因此,请密切关注您为网站分配的权限。如果您的web浏览器录制您的音视频时不留任何迹象,您会认为该隐私侵犯是个安全问题吗?Chrome不认为这是个安全问题,但PoC已经公开。
Google不认为这是个安全问题
AOL的web开发人员Ran Bar-Zik发现网站在录制音视频时,Chrome标签页中不会出现红色录制灯,为此他上报了这一漏洞。由于用户是该问题的症结所在,因此Google并不将该问题视为安全缺陷。这是因为只有用户为网站分配了权限,网站才有权使用用户的网络摄像投或麦克风录制音视频。
然而,Bar-Zik认为人们在为网站分配权限时并不完全明白自己所点击的内容。他告诉媒体,该漏洞可被用作攻击武器,而“实际攻击不易察觉”。
Google针对于该份Chrome漏洞报告做出了如下响应:
这根本算不上一个安全漏洞。例如,移动设备上的WebRTC并不会在浏览器中显示指示灯。当我们的Chrome UI有可用空间时,最佳优先做法是将该指示灯仅适用于桌面。
也就是说,我们正努力想办法改进这一情况。
用户一旦点击确认 攻击者就可以进行视频监控或音频监听
Bar-Zik在访问运行WebRTC代码的站点时发现了Chrome的这一漏洞。WebRTC指网页实时通信,可实现实时通信。用户在浏览器中访问站点时,站点会要求用户为其分配麦克风或网络摄像头的使用权限。若用户为网站分配了流式传输音视频的权限,该网站可运行JavaScript代码录制内容,然后将录制的内容转换至WebRTC流。
然而,Bar-Zik的漏洞报告表示,JavaScript在录制时不会在Chrome标签页上显示红色指示灯。他解释说,
“用户为站点分配权限后,站点可随时监听用户”,这就是网站背后的黑客希望达到的目的。
为了证明这一点,Bar-Zik进行了POC演示,展示了攻击实现过程。为站点分配音频/视频控件的访问权限后,会弹出一个窗口,录制20秒的音频,并提供该录制文件的下载链接。
问题的关键在于 Chrome不会提示视频录制状态
尽管Google做出了如上响应,Bar-Zik仍将该漏洞视为安全问题。外媒报道说:
例如,Bar-Zik认为攻击者可利用一个小弹出窗口发动攻击代码。该代码可利用摄像头在一毫秒内为用户拍照,或在数小时内录制用户行为或附近音频。
若用户未注意到工具栏上的弹出窗口,没有任何可视指示灯提示用户某人正在访问其音视频组件。其中一个最隐蔽的场景为攻击者将该弹出的窗口伪装成一个普通广告。若用户不立即关闭该广告窗口,攻击者会在用户PC上一直开放监控通道。
这个问题还有可能被利用进行跨站脚本攻击
Bar-Zik谈到,最重要的是,攻击者可能会略过权限部分,利用已获取用户的音视频组件权限的正常网站中的跨站脚本(XSS)问题。这些XSS漏洞可用于传输攻击代码。”
对于Chrome的这一漏洞,不论您是认同Google或是Bar-Zik的说法,最好的自我保护方法是留心对网站分配的权限,甚至是扩展。若您的电脑有摄像头,在不用时请用一张便利贴或其他东西将其遮住。
来源:computerworld
