Техника атаки, позволяющей продолжить запись с микрофона после закрытия сайта

Найден способ взломать любой компьютер | KV.by

В свете появления в браузерах новых API для доступа к оборудованию, появляются и новые виды атак. В частности, продемонстрирован простой метод атаки на Google Chrome, позволяющей сохранить доступ к микрофону после закрытия пользователем страницы, на которой такой доступ был разрешён. Суть метода сводится к незаметному открытию в фоне всплывающего окна, которое остаётся перекрыто основным окном и без сворачивания основного окна браузера остаётся незамеченным. Подобное окно сохраняет права доступа к микрофону, которое пользователь явно предоставил странице во вкладке из которой было открыто данное всплывающее окно.

При этом возможность записи из окна сохраняется и после закрытия основной вкладки, которой был делегирован доступ к микрофону, без видимой индикации факта записи (на вкладке в которой открыт доступ к микрофону отображался специальный значок, в окне такого значка нет). Код с демонстрацией использования указанной особенности для скрытой записи разговоров рядом с компьютером опубликован на GitHub, для распознавания речи задействован Web Speech API, появившийся в Chrome 25.

Компания Google была уведомлена о проблеме в начале сентябре, после чего в течение двух недель инженеры Google выявили источник проблемы, подготовили исправления и утвердили автора уведомления на получение вознаграждения за выявление уязвимости в Chrome. К сожалению спустя четыре месяца созданный патч так и не включен в состав выпусков Chrome, так как изменение поведения наследования свойств для всплывающих окон было приостановлено группой контроля соблюдения web-стандартов, которая пока не приняла окончательного решения о целесообразности принятия патча.

0 0 vote
Article Rating

Publication author

offline 2 days

ViGo

Comments: 0Publics: 471Registration: 29-04-2020
Если Вам понравилась статья, то поделитесь ею в соц.сетях:
 
guest
0 Комментарий
Inline Feedbacks
View all comments