黑客可以录制Google Chrome用户的音频和视频
如今,几乎每个人都使用Google Chrome浏览器访问互联网。您是否听说过您的视频和音频也可以在Chrome上录制?如果没有,那么我们将为您提供信息,使您了解Google Chrome的严重不足。最近的新闻表明,谷歌浏览器存在一个缺陷,即黑客可以通过恶意软件网站从设备的麦克风和网络摄像头录制音频和视频。最重要的是,用户甚至无法知道他们的录制正在进行中。该短缺是AOL开发人员Ran Bar-Zik于2017年4月10日首次报告的。但是谷歌已经彻底拒绝了这个事情。
依靠WebRTC进行记录:
在详细了解此缺陷之前,对于用户来说,了解基于Web浏览器的音频-视频通信取决于WebRTC协议非常重要。它支持现代的Web浏览器,这些浏览器无需使用插件即可通过对等连接进行实时通信。为了在未经用户许可的情况下保护未经授权的音频和视频流,这些Web浏览器允许用户访问WebRTC和设备的摄像头/麦克风。之后,在手动禁用WebRTC权限之前,这些网站始终可以访问您设备的摄像头和麦克风。
减少镀铬设计:
研究人员表示,如果授权的网站弹出带有JavaScript代码的隐藏窗口,则仅表示正在录制音频和视频。最重要的是,用户可能不知道其信息。这是因为未将铬设计为在头带窗口上显示红点。黑客直接获得了好处,他们在不认识用户的情况下激活了MediaRecorder API。
克服不足的去除方法:
Bar-Zik找到了一种方法,可以从缺乏铬的现象中发现,从而可以警告用户这种缺陷。Bar-Zik提供了任何人都可以下载的概念验证。它有一个演示网站,要求用户许可使用WebRTC。然后,它会弹出一个窗口。然后通过发出信号记录20秒的音频。在此演示中,还为用户提供了指向录音的下载链接。
Bar-Zik警告用户,黑客可以找到许多简单的记录方式,以便可以在更长的时间内捕获音频和视频。此外,Bar-Zik还指出:“它使用了非常小的弹出窗口,并将数据保存在任何地方。一旦用户引起注意,数据就会被锁定。相机使用毫秒来拍摄这张照片。还使用XSS访问合法站点。