Przejdź na

Chrome może podsłuchiwać na witrynach wykorzystujących WebRTC

Standard WebRTC coraz częściej przenosi całość komunikacji do przeglądarki. Teraz jednak, z powodu luki w kodzie Chromium, łatwo powiązać go także z niebezpieczeństwem bycia podsłuchanym. Okazuje się bowiem, że odkąd okna wykorzystujące JavaScript nie muszą wyświetlać w przeglądarce nagłówków, użytkownik nie jest w żaden sposób informowany, iż w tle może być przekazywany obraz z kamery lub dźwięk z mikrofonu.

Obraz
Oskar Ziomek
Oskar Ziomek

Wystarczy wyrazić zgodę na używanie WebRTC na danej witrynie, by otworzyć w ten sposób drogę do opisywanego zagrożenia. Później wystarczy już tylko, że witryna stworzy wyskakujące okienko (zapewne automatycznie przenoszone na drugi plan), aby w tle uruchomić mechanizmy, pozwalające wykorzystać WebRTC do podsłuchu. Użytkownik poszukujący odpowiedniej ikony informującej o działaniu transmisji, na tym etapie już nic nie znajdzie: wyskakujące okno pozbawione przecież było nagłówka, w którym normalnie informacyjna grafika miałaby się znaleźć.

Sytuacja ta, mająca przecież związek z szeroko rozumianą prywatnością i bezpieczeństwem, została już zgłoszona zespołowi Chromium. Postarano się także o dokładną instrukcję, w jaki sposób odtworzyć omawiany scenariusza. Przykładem ma być link do strony z właśnie takim mechanizmem wykorzystania WebRTC. Co ciekawe, odzew ze strony twórców może okazać się dla wielu zaskakujący, bowiem w opisywanej sytuacji nie widzą oni realnego zagrożenia dla użytkowników:

Dziękujemy za zgłoszenie. To w zasadzie nie jest zagrożenie związane z bezpieczeństwem – na przykład na urządzeniach mobilnych wykorzystanie WebRTC nie jest w żadnej sytuacji sygnalizowane w przeglądarce. (...)

Będziemy jednak szukać sposobu, by polepszyć opisywaną sytuację.

Temat pozostaje więc otwarty. Zagrożenie otrzymało ostatecznie status związanego z prywatnością, ale chociaż znane jest od kilkunastu dni, wciąż nie zaprezentowano jego rozwiązania.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Zastrzegasz PESEL? Są dwa wyjątki
Zastrzegasz PESEL? Są dwa wyjątki
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥