脆弱性と考えていないため、Googleは、その問題を修正する予定はありません。

イスラエルの開発者、ラン バージック氏は、ウェブサイトが密かに、映像と音声を録音できるGoogle Chromeブラウザの脆弱性を発見しました。問題は、サイトは、オーディオおよびビデオ・コンポーネントにアクセスするためのユーザー権限を必要とするため、思ったほど深刻ではないが、それは、ユーザーの認識がなくても、映像や音声コンテンツを記録することができるため、攻撃者が悪用する可能性があります。

バル ジック氏は、インターネットプロトコルのWebRTCを使用しているサイトでの作業の過程で脆弱性を発見しました。この技術は、PtoP技術をサポートしているブラウザや他のアプリ間でのストリーミングデータ転送を提供するように設計されています。オーディオとビデオを転送するには、ユーザーがウェブサイトの適切なコンポーネントへのアクセス許可を提供する必要があります。許可を受けた後、サイトは、オーディオとビデオを記録するJavaScriptコードを実行します。研究者たちは、コードが許可が付与された元のタブだけではなく、サブウインドウだけでも実行することができることを発見しました。原則として、Chromeはオーディオやビデオ記録中は、赤い円の形のアイコンを表示しているが、補助ウィンドウにはアイコンが表示されないため、ユーザーは録音中かどうか分かりません。

専門家は、問題をGoogleに通知したが、同社は、脆弱性ではないと述べました。

「実際には、これはセキュリティ上の脆弱性ではありません – モバイルデバイス上のWebRTCはブラウザ内のインジケータが表示されないだけです。ポイント[アイコン]は、Chromeのユーザーインターフェイスで利用可能なスペースがある場合のデスクトップバージョンでのみ動作します。上記のことを念頭において、私たちは、状況を改善する方法を検討している 」と Googleは指摘しました。

しかし、バル ジックは、Googleの意見に同意していません。彼によると、多くのユーザーは同意に注意を払わず、許可を与えます。ユーザーが誤ってまたは不注意にウェブサイトにビデオとオーディオコンポーネントへのアクセス許可を与えた場合、攻撃者は、より複雑な攻撃を行うことができます。例えば、攻撃者がカメラへのアクセスを得るために悪質なコードを実行するために、小さなポップアップウィンドウを使用することができますし、密かに、写真を撮ったり、ユーザーの動きを記録することができます。

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida