A vulnerability reported to Google on April 10 2017 allows an attacker to record audio or video using Google Chrome without displaying any logs.
Most modern browsers websites υποστηρίζουν το χαρακτηριστικό WebRTC (Web Real-Time Communications). Ένα από τα πλεονεκτήματα του WebRTC είναι ότι υποστηρίζει την επικοινωνία σε πραγματικό χρόνο χωρίς τη χρήση plugins. Διαθέτει επιλογές για τη δημιουργία υπηρεσιών conversationς ήχου και βίντεο, κοινή χρήση δεδομένων p2p, κοινή χρήση οθόνης και πολλά άλλα.
However, there is a disadvantage in WebRTC, as local IP addresses can leak out through web browsers that support WebRTC.
The reported vulnerability affects Google Chrome, but may also affect other browsers. For it to work, you'll need to visit a website and allow it to use WebRTC. A by clicking here που θέλει να εγγράψει ήχο ή βίντεο κρυφά, χωρίς να το γνωρίζετε θα πρεπε να δημιουργήσει ένα παράθυρο JavaScript, χωρίς header (header), like a pop up or a pop-up window for example.
Then it can record audio or video without giving Google Chrome any indication that it is happening at the moment. Chrome usually displays the sign-ups on the tab that uses the feature, but because the JavaScript window does not have a header, nothing appears to the end user.
A PoC has been created on the Chromium website for the above flaw bugs. Το μόνο που χρειάζεται να κάνετε είναι click σε δύο κουμπιά και να επιτρέψετε στην ιστοσελίδα να χρησιμοποιεί το WebRTC στο πρόγραμμα περιήγησής σας. Το PoC μπορεί να καταγράψει τον ήχο για 20 δευτερόλεπτα και σας δίνει τη δυνατότητα να κατεβάσετε την εγγραφή στον υπολογιστή σας.
One member of the Chromium team confirmed the vulnerability, but did not consider it important.
“Δεν είναι πραγματικά μια ευπάθεια στην ασφάλεια – για παράδειγμα, το WebRTC σε μια κινητή συσκευή δεν δείχνει κάποια ένδειξη στο πρόγραμμα περιήγησης. Το bug λειτουργεί μόνο στην desktop when we have Chrome and there is space available in the UI.”
Of course, the technician's explanation doesn't make much sense. Since Android doesn't show the indicator and Google Chrome on the desktop only shows it if there is enough space in the UI, isn't that a security vulnerability? At least, this is an issue protectionof our privacy since a feature occurs that can intercept data without users knowing.
Google may fix this vulnerability in the future, but until then, the best form of protection is to disable WebRTC, which can be done easily if you do not need it.
The second thing you can do is prevent websites from using WebRTC.
https://bugs.chromium.org/p/chromium/issues/detail?id=709952
