专栏名称: 看雪学苑
致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号。
目录
相关文章推荐
芜湖道路运输服务  ·  @芜湖出租车驾驶员,计价器检定站即将搬迁 ·  18 小时前  
芜湖道路运输服务  ·  @芜湖出租车驾驶员,计价器检定站即将搬迁 ·  18 小时前  
黑龙江交通广播  ·  “紧急通知,今天全部过期”!重要提醒→ ·  2 天前  
黑龙江交通广播  ·  “紧急通知,今天全部过期”!重要提醒→ ·  2 天前  
光伏资讯  ·  河北打响了分布式光伏入市的第一枪! ·  3 天前  
光伏资讯  ·  河北打响了分布式光伏入市的第一枪! ·  3 天前  
51好读  ›  专栏  ›  看雪学苑

Chrome上弹个窗口就能拍你的视频

看雪学苑  · 公众号  · 互联网安全  · 2017-06-01 18:22

正文

在Chrome上弹个窗口就可能拍你的视频


由于站点录制音视频时,Chrome的标签页中的红色录制指示灯无法产生告警通知您,因此,请密切关注您为网站分配的权限。如果您的web浏览器录制您的音视频时不留任何迹象,您会认为该隐私侵犯是个安全问题吗?Chrome不认为这是个安全问题,但PoC已经公开。

Google不认为这是个安全问题

AOL的web开发人员Ran Bar-Zik发现网站在录制音视频时,Chrome标签页中不会出现红色录制灯,为此他上报了这一漏洞。由于用户是该问题的症结所在,因此Google并不将该问题视为安全缺陷。这是因为只有用户为网站分配了权限,网站才有权使用用户的网络摄像投或麦克风录制音视频。

然而,Bar-Zik认为人们在为网站分配权限时并不完全明白自己所点击的内容。他告诉媒体,该漏洞可被用作攻击武器,而“实际攻击不易察觉”。

Google针对于该份Chrome漏洞报告做出了如下响应:

这根本算不上一个安全漏洞。例如,移动设备上的WebRTC并不会在浏览器中显示指示灯。当我们的Chrome UI有可用空间时,最佳优先做法是将该指示灯仅适用于桌面。

也就是说,我们正努力想办法改进这一情况。

用户一旦点击确认 攻击者就可以进行视频监控或音频监听

Bar-Zik在访问运行WebRTC代码的站点时发现了Chrome的这一漏洞。WebRTC指网页实时通信,可实现实时通信。用户在浏览器中访问站点时,站点会要求用户为其分配麦克风或网络摄像头的使用权限。若用户为网站分配了流式传输音视频的权限,该网站可运行JavaScript代码录制内容,然后将录制的内容转换至WebRTC流。

然而,Bar-Zik的漏洞报告表示,JavaScript在录制时不会在Chrome标签页上显示红色指示灯。他解释说,

“用户为站点分配权限后,站点可随时监听用户”,这就是网站背后的黑客希望达到的目的。

为了证明这一点,Bar-Zik进行了POC演示,展示了攻击实现过程。为站点分配音频/视频控件的访问权限后,会弹出一个窗口,录制20秒的音频,并提供该录制文件的下载链接。

问题的关键在于 Chrome不会提示视频录制状态

尽管Google做出了如上响应,Bar-Zik仍将该漏洞视为安全问题。外媒报道说:

例如,Bar-Zik认为攻击者可利用一个小弹出窗口发动攻击代码。该代码可利用摄像头在一毫秒内为用户拍照,或在数小时内录制用户行为或附近音频。

若用户未注意到工具栏上的弹出窗口,没有任何可视指示灯提示用户某人正在访问其音视频组件。其中一个最隐蔽的场景为攻击者将该弹出的窗口伪装成一个普通广告。若用户不立即关闭该广告窗口,攻击者会在用户PC上一直开放监控通道。

这个问题还有可能被利用进行跨站脚本攻击

Bar-Zik谈到,最重要的是,攻击者可能会略过权限部分,利用已获取用户的音视频组件权限的正常网站中的跨站脚本(XSS)问题。这些XSS漏洞可用于传输攻击代码。”

对于Chrome的这一漏洞,不论您是认同Google或是Bar-Zik的说法,最好的自我保护方法是留心对网站分配的权限,甚至是扩展。若您的电脑有摄像头,在不用时请用一张便利贴或其他东西将其遮住。

来源:computerworld



欧盟将为所有会员国免费 Wi-Fi 热点支付 1.2 亿欧元


欧洲议会,理事会和委员会已经就 WiFi4EU 计划达成了一项协议,将在欧洲公共场所内安装免费的 Wi-Fi 热点。委员会主席让 – 克洛德·容克(Jean-Claude Juncker)说,这一举措将有助于每个欧洲村庄和每个城市在 2020 年之前在主要的公共生活中心附近免费提供无线上网。

这项名为数字单一市场战略旨在建立一个完全连接的欧洲,每个人都可以访问高质量的数字网络。WiFi4EU 计划将改善连接,特别是在访问互联网能力有限的地方。WiFi4EU 是一个值得欢迎的措施,但是需要做更多的工作来实现整个欧盟领土的高速连接,例如改进欧洲范围内的协调和刺激欧洲大容量网络的投资。

目前欧盟三家机构已承诺拨款1.2亿欧元,用于为所有成员国 6000 至 8000 个市政当局提供公共免费 Wi-Fi 服务所需设备。一旦所有的文书工作完成,地方当局就可以申请资金,拨款应用于购买和安装最先进的设备,完成本地无线接入点。

WiFI4EU 于 2016 年 9 月份首次提出,欧盟当时正在寻求彻底改革电信规则。目前,数字单一市场策略在欧盟已经经漫长讨论。根据这项政策,2017 年 6 月 15 日开始,欧盟所有旅客将停止支付漫游费。明年初,欧洲人也将能够在旅行中免费观看他们在家中订阅的电影,音乐,视频游戏和电子书。700MHz 频段将被用于开发 5G 和新的在线服务。

来源:cnBeta


2022年,网络犯罪经济影响将达 8 万亿美元


据安全网络公司 Juniper 统计,网络犯罪经济成本将于 2022 年飙升至 8 万亿美元,预计将有 5 亿的客户数据记录被盗取。

Juniper 研究报告《 未来网络犯罪与安全 2017 – 2022 年:企业威胁和防范》,发现尽管创新的网络安全解决方案不断出现,网络犯罪仍在持续增长。对于那些希望整合新旧系统而不考虑整体网络安全,以及网络安全问题对中小企业来说特别严重的企业而言,存在着特别风险。

报告称,中小企业在今年的网络安全措施中的开支少于 4000 美元,预计未来 5 年的安全支出将略有增加。同时中小企业也倾向于运行比较老旧的软件,WannaCry 或类似的网络攻击最近已经利用这种漏洞进行攻击。此外,报告中的调查结果显示,企业需要将更多资金用于网络安全和系统维护,这应被视为工作场所安全的重要组成部分。

Juniper 调查结果更加证明,网络犯罪率已呈上升趋势,并且没有任何放缓的迹象。今年初,思科的年度网络安全报告也做出了数据泄露日益增长的成本报告证明。

思科发现,超过三分之一的公司在 2016 年因数据泄露而损失巨大,损失了其收入的将近 20%。而由此导致给品牌、客户群带来的不良影响,以及丧失的商业机会,这一收益损失还要扩大。2016 年,22% 的企业因数据处理不当直接失去了客户,有 40% 的企业他们的客户群有接近20% 在安全事件发生后才放弃了他们。

附:《 未来网络犯罪与安全 2017 – 2022 年:企业威胁和防范》(戳左下角“阅读原文”查看!)

来源:IT168


Rubin 宣布 Ambient OS 会像 Android 系统一样开源


在同莫博士的访谈中,Android 联合创始人、Playground 的首席执行官 Adny Rubin 于近期宣布推出了全新高端 Android 智能手机 Essential Phone 以及 Essential Home 语音助手。此外,他还宣布Ambient OS 智能家居平台将开源。

目前智能家居领域还处于各平台混战的情况,诸多可交互的标准和无线平台都尝试将家庭的所有设备整合在一起进行管理,而 Essential 正是抓住了这个契机推出了 Ambient OS。然而,这项决定同时也意味着该平台能够避免当前 Android 平台碎片化的问题,而碎片化导致部分用户错过重要升级和优化。

莫博士在谈及 Android 系统在全球各地划分成为各种版本,Rubin 反驳道多种版本反而是 Android 系统的强大之处。Rubin 说道:“ 没有系统能够获得 100% 升级。”

Rubin 承认相对于苹果的 iOS 系统,Android 系统的升级率明显低很多,但他的新公司的 Ambient OS 已经提出了合理的解决方案。不过在本次访谈中,他并未透露具体的解决方案,只是说 “ 在后台托管更多的服务 ”。

来源:cnBeta



更多详情、资讯,戳左下角“阅读原文”查看哦!

或者网页浏览 看雪学院 www.kanxue.com,即可查看哦!


往期热门内容推荐



更多优秀文章,长按下方二维码,“关注看雪学院公众号”查看!

看雪论坛:http://bbs.pediy.com/

微信公众号 ID:ikanxue

微博:看雪安全

投稿、合作:www.kanxue.com


推荐文章
芜湖道路运输服务  ·  @芜湖出租车驾驶员,计价器检定站即将搬迁
18 小时前
芜湖道路运输服务  ·  @芜湖出租车驾驶员,计价器检定站即将搬迁
18 小时前
黑龙江交通广播  ·  “紧急通知,今天全部过期”!重要提醒→
2 天前
黑龙江交通广播  ·  “紧急通知,今天全部过期”!重要提醒→
2 天前
不正常人类研究中心  ·  想想或许是我老了,可不是咋地!
7 年前