Chrome错误让网站暗中录制音频和视频不是缺陷谷歌所说的

如果您的Web浏览器正在录制您的音频和视频而没有任何指示，您会考虑侵入隐私的安全问题吗？Chrome没有。

在AOL Web开发人员RAN Bar-Zik发现，一个网站可以在Chrome选项卡上录制没有红色录制灯的无线视频，他报告了这个错误。

但由于用户是问题的关键，因此Google不会将其作为安全漏洞对。这是因为在任何音频或视频录制之前，用户必须在访问用户的网络摄像头或麦克风之前提供站点许可。

然而，Bar-Zik认为，在授予权限时，人们不会完全了解他们在线点击。他告诉电脑，“真正的攻击不会非常明显，”真正的攻击不会很明显。“

Bar-Zik在运行WebRTC代码的网站上发现了Chrome错误。WebRTC（Web实时通信）允许实时通信。在浏览器中，网站将要求用户授予访问麦克风或网络摄像机的权限。如果用户给出了站点的权限，则可以运行JavaScript代码以在将其发送到WebRTC流之前记录内容。

但是，Bar-Zik的错误报告说明了JavaScript可以在Chrome选项卡上显示红色录制点指示器的情况下记录。他解释说：“在许可后，只要”网站背后的黑客想要的黑客，就可以倾听用户。

为了证明他的观点，Bar-Zik提出了一个概念证据演示，展示了攻击如何工作。单击授予访问Audit / Video Component的权限后，将打开弹出窗口，记录20秒的音频，然后为录制的文件提供下载链接。

这是谷歌如何回复Chrome错误报告：

这不是一个安全漏洞 - 例如，移动设备上的WebRTC显示浏览器中的任何指示。DOT是一项最佳努力，只有当我们有Chrome UI空间时，只能在桌面上工作。

据说，我们正在寻找改善这种情况的方法。

尽管谷歌的回应，但是Bar-Zik仍然认为这是一个安全问题。Bleeping Computer报道：

例如，Bar-Zik认为，攻击者可以使用非常小的弹出窗口来启动攻击代码。此代码可以使用相机用于毫秒乘坐用户的图片，或几小时，记录用户的移动或附近音频。

如果用户没有注意到他的工具栏中的弹出窗口，则没有视觉指示灯提示他有人正在访问他的音频和视频组件。如果攻击者将弹出窗口伪装为平凡的广告，那么一个恐怖的情景将是一个鬼闹的情景。如果用户没有立即关闭广告的弹出窗口，则攻击者保留在用户PC上打开的监控通道。

在那之上，Bar-Zik表示，攻击者可以完全跳过权限部分，而是“利用跨站点脚本（XSS）缺陷已经获得了对用户音频和视频组件访问的合法网站。这些XSS缺陷可用于提供攻击代码。“

无论您是否同意谷歌或与Bar-Zik的同意，如果这是一个Chrome Bug，保护自己的最佳方式是要注意您授予网站甚至扩展的权限。如果您有一个网络摄像头，除非您正在使用它，否则请放置粘滞便笺或其他东西以覆盖相机。

在个人用品上，谢谢你的阅读安全性是过去的八年性感。据报道，IDG的一部分，据据据据报道，据据据据报道，从这里覆盖安全问题。留意我的Twitter Feed，因为我可能会推出一个现场，我将继续涵盖安全/黑客/网络犯罪/监督/隐私 - 我深深地关心的问题 - 以及更多的技术，抓住我的注意力。再次，感谢您现在阅读和Buh-Bye。