Chrome缺陷導(dǎo)致網(wǎng)站秘密記錄音頻和視頻

谷歌Chrome瀏覽器中存在一個(gè)用戶體驗(yàn)設(shè)計(jì)缺陷，能讓惡意網(wǎng)站在用戶不知情的情況下記錄音頻或視頻。AOL公司的開發(fā)人員Ran Bar-Zik在2017年4月10日將這個(gè)漏洞告知谷歌，但谷歌否認(rèn)它是有效的安全漏洞即并未準(zhǔn)備推出補(bǔ)丁。

瀏覽器與攝像頭和麥克風(fēng)是如何運(yùn)作的？

在了解漏洞詳情之前，我們先要知道基于瀏覽器的音視頻通信依賴于WebRTC協(xié)議即多數(shù)現(xiàn)代網(wǎng)絡(luò)瀏覽器支持的且無需用戶插件就能支持實(shí)時(shí)P2P連接通信的通信協(xié)議集合。

然而，為保護(hù)未經(jīng)授權(quán)的且無用戶權(quán)限的視頻和音頻流，網(wǎng)絡(luò)瀏覽器首先會(huì)請(qǐng)求用戶明確允許網(wǎng)站使用WebRTC并訪問設(shè)備攝像頭/麥克風(fēng)。一旦獲取這些權(quán)限，網(wǎng)站就可以訪問用戶的攝像頭和麥克風(fēng)，除非用戶手動(dòng)撤銷WebRTC權(quán)限。

為了阻止“經(jīng)授權(quán)”網(wǎng)站秘密記錄用戶的視頻或音頻流，網(wǎng)絡(luò)瀏覽器會(huì)提示用戶何時(shí)音頻或視頻會(huì)被記錄。在Chrome的案例中，頁簽上會(huì)出現(xiàn)一個(gè)紅點(diǎn)標(biāo)記告警用戶視頻或音頻流正在進(jìn)行。

網(wǎng)站如何實(shí)時(shí)監(jiān)控？

研究人員發(fā)現(xiàn)如果任何經(jīng)授權(quán)的網(wǎng)站使用JavaScript代碼彈出一個(gè)沒有頭部的視窗，它就能開始秘密記錄音頻和視頻而不會(huì)出現(xiàn)紅點(diǎn)標(biāo)記，從而不會(huì)提示流正在瀏覽器中出現(xiàn)。這種現(xiàn)象的出現(xiàn)是因?yàn)镃hrome并未被設(shè)計(jì)為在無頭部視窗的情況下展示紅點(diǎn)標(biāo)記，從而讓網(wǎng)站開發(fā)人員“在未告警用戶的情況下，利用用戶體驗(yàn)操作來激活MediaRecorder API?！?/p>

Bar-Zik還提供了一個(gè)PoC代碼供下載，并提供了一個(gè)演示網(wǎng)站要求用戶獲取使用WebRTC的權(quán)限，啟動(dòng)彈出消息，隨后在未給出任何可視化提示的情況下記錄20秒鐘的音頻。用戶所需要的是點(diǎn)擊兩個(gè)按鈕，允許網(wǎng)站使用瀏覽器中的WebRTC。演示網(wǎng)站會(huì)記錄20秒的音頻隨后提供下載記錄文件的鏈接。

這個(gè)缺陷影響Chrome瀏覽器，不過可能也會(huì)影響其它網(wǎng)絡(luò)瀏覽器。

無快速補(bǔ)丁

Bar-Zik將這個(gè)安全問題在2017年4月10日告知谷歌，但后者不認(rèn)為這是個(gè)有效的安全漏洞。不過谷歌同意在未來“改進(jìn)這種情況”。

禁用WebRTC就能解決這個(gè)問題，但如果用戶需要使用這個(gè)功能的話，可以僅允許受信任的網(wǎng)站使用WebRTC并查找其它窗口。

斯諾登泄露的文檔披露了NSA的項(xiàng)目Optic Nerve，它每隔5分鐘就捕獲隨機(jī)雅虎用戶的網(wǎng)絡(luò)攝像頭。僅僅6個(gè)月的時(shí)間，180萬用戶的圖像就被捕獲并在2008年被存儲(chǔ)在政府服務(wù)器中。鑒于人們對(duì)隱私的重視，即使是Facebook的首席執(zhí)行官馬克扎克伯格和FBI前局長(zhǎng)詹姆斯科米也證實(shí)稱他們?cè)诠P記本攝像頭上貼上膠帶以防被監(jiān)聽。雖然貼膠帶的做法并不會(huì)阻止黑客或政府監(jiān)控機(jī)構(gòu)記錄用戶的聲音，至少能阻止他們觀看或捕獲用戶實(shí)時(shí)的可視化內(nèi)容。

原文鏈接：http://bobao.#/news/detail/4183.html

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。