Tạo bài viết
Đăng ký
18/09/2018, 11:33

Lỗ hổng trong Google Chrome cho phép ghi lén audio/video

Một lỗ hổng trong trình duyệt web Google Chrome cho phép tin tặc ghi lén âm thanh, hình ảnh mà người dùng không hề hay biết. Lập trình viên Ran Bar-Zik thuộc công ty AOL đã báo cáo lỗ hổng tới Google vào ngày 10/4/2017 nhưng Google từ chối coi đây là lỗ hổng bảo mật, do đó hiện tại không có ...

Một lỗ hổng trong trình duyệt web Google Chrome  cho phép tin tặc ghi lén âm thanh, hình ảnh mà người dùng không hề hay biết.

Lập trình viên  Ran Bar-Zik thuộc công ty AOL đã báo cáo lỗ hổng tới Google vào ngày 10/4/2017 nhưng Google từ chối coi đây là lỗ hổng bảo mật, do đó hiện tại không có bản vá chính thức nào cho lỗ hổng này.

Trước khi đi vào chi tiết lỗ hổng, điều đầu tiên bạn cần biết đó là trình duyệt web sử dụng giao thức WebRTC  (Web Real-Time Communications) để phục vụ giao tiếp liên lạc audio-video. WebRTC là một tập hợp các giao thức liên lạc được hầu hết các trình duyệt web hỗ trợ phục vụ mục đích kết nối thời gian thực giữa các thiết bị  mà không cần sử dụng plugin nào khác.

Để bảo vệ người dùng, trình duyệt web sẽ hiển thị yêu cầu đồng ý từ người dùng để có thể truy cập vào camera/microphone của thiết bị. Sau khi được cấp phép, website sẽ có quyền truy cập và sử dụng WebRTC vĩnh viễn cho đến khi người dùng thu hồi quyền truy cập bằng cách thủ công.

Để tránh trường hợp các website “đã được cấp phép” lén ghi âm hoặc truyền video, trình duyệt web sử dụng một dấu hiệu nào đó khi có âm thanh hoặc video được ghi. Trong trường hợp của Google Chrome, “dấu chấm đỏ” sẽ hiển thị trên thẻ Tab.

WEBSITE LÉN THEO DÕI NGƯỜI DÙNG NHƯ THẾ NÀO ?

Các nhà nghiên cứu phát hiện ra rằng nếu việc cập phép truy cập camera/microphone được thực hiện thông qua một cửa sổ pop-up không có thẻ Tab bằng mã JavaScript, nó có thể ghi lén âm thanh, hình ảnh mà không hiển thị “dấu chấm đỏ”.

Bar-Zik cũng cung cấp mã chứng minh (PoC) cùng với website tái hiện lỗ hổng. Trong đó website sẽ yêu cầu người dùng quyền được sử dụng WebRTC, hiển thị một pop-up và ghi âm trong 20 giây mà không để lại dấu hiệu gì.

Google không coi đây là lỗ hổng

Dù Google có coi đây là lỗ hổng hay không thì đây chắc chắn là một vấn đề ảnh hưởng tới quyền riêng tư của người dùng và có thể bị khai thác bởi tin tặc nhằm thực hiện các cuộc tấn công phức tạp hơn. CEO Facebook Mark Zuckerberg và cựu giám đốc FBI James Comey thừa nhận rằng họ phải dán băng keo lên webcam laptop nhằm đảm bảo an toàn.

THN

Bùi Văn Nam

27 chủ đề

7090 bài viết

Có thể bạn quan tâm
0
Các chủ đề đang được quan tâm
phần mềm lập trình php | lập trình web php + mysql | khóa học lập trình php | tự học lập trình php | học php cơ bản thachpham | Code24h | Cho thuê phòng trọ hà nội | Cho thuê phòng trọ bình thạnh | Cho thuê phòng trọ | Cho thuê nhà trọ
Đăng ký

Đăng ký nhận thông báo

Các bài học thú vị sẽ được gửi đến inbox của bạn

HỖ TRỢ HỌC VIÊN
VỀ CODE24H
HỢP TÁC VÀ LIÊN KẾT
KẾT NỐI VỚI CHÚNG TÔI
TẢI ỨNG DỤNG TRÊN ĐIỆN THOẠI

CCode 24h, code mọi lúc, mọi nơi

© Copy right 2018 - 2024