首页 > 娱乐前沿 > 科技
Chrome有臭虫!? 恶意网站可利用WebRTC暗中录音录影
尤慧 2017-05-30 16:01:36

示意图,与新闻事件无关。 pUG我酷网

图片来源:

Google pUG我酷网

安全研究人员发现Chrome一项臭虫,可能让用户在不知不觉中被某个网站录音录影而不自知。不过Google并不承认这是Chrome的漏洞。?pUG我酷网

AOL的网站工程师Ran Bar-Zik指出这项臭虫和WebRTC协定有关。WebRTC是让网站即时串流影音内容的协定。透过WebRTC执行串流时,网站需先取得使用者同意以存取影、音内容,之后再执行JavaScript,经由MediaRecorder API录下影音再送上网际网路给其他支援WebRTC串流的用户端。pUG我酷网

但研究人员发现,当网站取得使用者许可时,是取得了使用者整个网域的录製权限,而不见得只是用户开放录製的内容。研究人员指出,Chrome在录製时会在工具列显示一个红色圈内有个红点的图示,但是在跳出式网页中由于不具有工具列,而不会显示这个图示。因此恶意网站可以先要求用户准许进行WebRTC串流,再诱使用户开启JavaScript跳出视窗,这个视窗的JavaScript程式码就能录下用户影像和声音,而不必通知用户。?pUG我酷网

这项臭虫出现在Chrome 57.0.2987以前的版本。?pUG我酷网

不过当他通知Google后,Google却拒绝承认这是Chrome的漏洞,因为WebRTC在行动版浏览器上都不会出现红圈加红点的图示,Chrome是因为桌机版有足够空间才加了这个指示。不过Google仍然表示会改善状况,将加入一般性的准许指示。不过由于Google并不视之为一项漏洞,因此也不会有所谓的修补程式来解决这个问题。?pUG我酷网

BleepingComputer网站指出,Google的判断并不能说是错,因为攻击点出在跳出式网页,用户如果担心此类问题,应该小心任何要求许可存取权的网页。pUG我酷网

上一篇  下一篇

I 相关 / Other

Google Play爆最大宗恶意软件渗透,恶意广告软件Judy入侵3650万Android装置发动点击欺诈

示意图,与新闻事件无关。 安全业者Check Point发现一只名为Judy的恶意广告软体透过Google Play感染3650万Android装置,并发动点击诈欺获利。?Check Point发现,这只恶意程式是藏在南韩游戏软体公司Kiniwini所开发

Sucuri:Google开始将部份基于HTTP的网站纳入黑名单

图片来源: Sucuri 资安业者Sucuri上周指出,他们发现某些被列入Google黑名单的网站只是因为採用了HTTP,而未採用加密的HTTPS通讯协定。Google所设计的安全浏览(Google Safe Browsing)机制每天会检查数十亿个网址,

有调查报告显示九成钓鱼网站进行网络诈骗 [热搜]

广州日报讯(全媒体记者段郴群)原本想在网络上兼职赚点钱,没想到遭遇了不法分子利用付款码进行诈骗,钱没赚到,还被骗了。昨日,360公司发布了2017年第一季度《中国手机安全状况报告》,数据显示,骚扰电话及钱财诈骗

有调查报告显示九成钓鱼网站进行网络诈骗 [热搜]

广州日报讯(全媒体记者段郴群)原本想在网络上兼职赚点钱,没想到遭遇了不法分子利用付款码进行诈骗,钱没赚到,还被骗了。昨日,360公司发布了2017年第一季度《中国手机安全状况报告》,数据显示,骚扰电话及钱财诈骗

水果商贩投诉遇“冰霸”:不买冰便遭恶意破坏 [热搜]

最新消息》》文昌东路镇有“冰霸”垄断市场?警方介入调查南海网、南海网客户端海口5月25日消息(南海网记者高鹏)近日,有媒体报道称,文昌市东路镇处于荔枝上市季节,但荔枝果园的承包商要求收购商“统一”买控温的冰

I 热点 / Hot