示意图,与新闻事件无关。
图片来源:安全研究人员发现Chrome一项臭虫,可能让用户在不知不觉中被某个网站录音录影而不自知。不过Google并不承认这是Chrome的漏洞。?
AOL的网站工程师Ran Bar-Zik指出这项臭虫和WebRTC协定有关。WebRTC是让网站即时串流影音内容的协定。透过WebRTC执行串流时,网站需先取得使用者同意以存取影、音内容,之后再执行JavaScript,经由MediaRecorder API录下影音再送上网际网路给其他支援WebRTC串流的用户端。
但研究人员发现,当网站取得使用者许可时,是取得了使用者整个网域的录製权限,而不见得只是用户开放录製的内容。研究人员指出,Chrome在录製时会在工具列显示一个红色圈内有个红点的图示,但是在跳出式网页中由于不具有工具列,而不会显示这个图示。因此恶意网站可以先要求用户准许进行WebRTC串流,再诱使用户开启JavaScript跳出视窗,这个视窗的JavaScript程式码就能录下用户影像和声音,而不必通知用户。?
这项臭虫出现在Chrome 57.0.2987以前的版本。?
不过当他通知Google后,Google却拒绝承认这是Chrome的漏洞,因为WebRTC在行动版浏览器上都不会出现红圈加红点的图示,Chrome是因为桌机版有足够空间才加了这个指示。不过Google仍然表示会改善状况,将加入一般性的准许指示。不过由于Google并不视之为一项漏洞,因此也不会有所谓的修补程式来解决这个问题。?
BleepingComputer网站指出,Google的判断并不能说是错,因为攻击点出在跳出式网页,用户如果担心此类问题,应该小心任何要求许可存取权的网页。
I 相关 / Other
Google Play爆最大宗恶意软件渗透,恶意广告软件Judy入侵3650万Android装置发动点击欺诈
示意图,与新闻事件无关。 安全业者Check Point发现一只名为Judy的恶意广告软体透过Google Play感染3650万Android装置,并发动点击诈欺获利。?Check Point发现,这只恶意程式是藏在南韩游戏软体公司Kiniwini所开发
Sucuri:Google开始将部份基于HTTP的网站纳入黑名单
图片来源: Sucuri 资安业者Sucuri上周指出,他们发现某些被列入Google黑名单的网站只是因为採用了HTTP,而未採用加密的HTTPS通讯协定。Google所设计的安全浏览(Google Safe Browsing)机制每天会检查数十亿个网址,
广州日报讯(全媒体记者段郴群)原本想在网络上兼职赚点钱,没想到遭遇了不法分子利用付款码进行诈骗,钱没赚到,还被骗了。昨日,360公司发布了2017年第一季度《中国手机安全状况报告》,数据显示,骚扰电话及钱财诈骗
广州日报讯(全媒体记者段郴群)原本想在网络上兼职赚点钱,没想到遭遇了不法分子利用付款码进行诈骗,钱没赚到,还被骗了。昨日,360公司发布了2017年第一季度《中国手机安全状况报告》,数据显示,骚扰电话及钱财诈骗
最新消息》》文昌东路镇有“冰霸”垄断市场?警方介入调查南海网、南海网客户端海口5月25日消息(南海网记者高鹏)近日,有媒体报道称,文昌市东路镇处于荔枝上市季节,但荔枝果园的承包商要求收购商“统一”买控温的冰