El error de Google chrome permite grabar y grabar videos sin que los usuarios lo sepan

por calpee

Ran bar-Zik, un desarrollador web de AOL, descubrió un error en Google plus Chrome que dejaba al sitio grabar imágenes de audio y vídeo sin indicación visual. Este error no es muy peligroso porque las páginas infectadas aún necesitan que los usuarios permitan la utilización de elementos relacionados con imágenes y sonidos, pero hay muchas formas distintas de grabar o grabar que los individuos ignoran. La única imagen de este error es el ícono que generalmente exhibe Google chrome cuando el usuario graba o transmite el video.

Icono de círculo de cromo rojo

Bar-Zik le dijo a Bleeping Computer que descubrió este error mientras que trabajaba con un sitio web que ejecuta código WebRTC. WebRTC es un protocolo para comunicar audio y video mediante Internet en tiempo real. Para llevar a cabo esto, los individuos deben proveer acceso al componente de audio y vídeo de ese portal web.

Al recibir ingreso, el lugar ejecutará código JavaScript para grabar audio y también imágenes antes de divulgar en Internet a otros competidores de WebRTC. Este proceso de grabación se ejecuta mediante la Interfaz de programación de aplicaciones MediaRecorder basada en JavaScript.

El código de ataque se abre en la ventana emergente de Chrome.

Bar-Zik descubrió que este código se registró sin tener que ejecutarlo en la tarjeta del navegador a la que se le concedió ingreso. Como se concedió acceso a los datos de audio y video a todo el dominio, el desarrollador israelí se dio cuenta de que podía abrir una ventana emergente en Google chrome y ejecutar el código para grabar y grabar.

Ventana nuevo al grabar, grabar

Google chrome exhibe el icono en la pestañita del navegador, no en la ventana emergente, porque esa ventana no posee barra de pestañas.

Reportar un error con Google+, mas el error no se solucionó inmediatamente

Bar-Zik le dijo a Bleeping Computer que, después de comprobar el inconveniente, informó el error a Google+. El informe viene con una demostración que requiere que los usuarios otorguen ingreso, abran una ventana nuevo al hacer clic y graben durante 20 segundos, y después faciliten un enlace para descargar el archivo grabado. Los que leen apasionados ​​pueden bajar el código para probar este error aquí.

En la respuesta que recibió Bar-Zik, Google+ se negó a considerarlo un error de seguridad.

Esto no es realmente una brecha de seguridad. WebRTC, por servirnos de un ejemplo, en dispositivos móviles tampoco tiene un indicador de navegador. Este ícono es un esfuerzo de prioridad ideal que solo puede funcionar en computadoras en el momento en que se puede servir el espacio de el diseño de Google chrome. Hemos intentado mejorar la situación.

El problema se puede utilizar para monitorear sigilo

Bar Zik no está según la evaluación de Google plus. Los estudiosos creen que bastante gente tienden a hacer clic en peticiones que requieren ingreso, incluso sin leer. Después de permitir, de forma no intencionada o bien deliberada, que un sitio web acceda a componentes de audio y video, pueden ocurrir ataques más complejos.

Por servirnos de un ejemplo, Bar-Zik piensa que un agresor podría usar una pequeña ventana emergente para abrir el código de ataque. Este código usa una cámara para tomar fotografías de usuarios, grabaciones o bien sonidos próximos. Si no prestan atención a esta ventana, no lo sabrán porque no hay ninguna indicación de grabación o grabación. Otro escenario es que los usuarios tienen la posibilidad de pensar en esta ventana emergente como un aviso. Si no se apaga inmediatamente, el atacante puede monitorear la computadora del usuario.

Bar-Zik asimismo dijo que un agresor no necesitaría crear un sitio web para pedir acceso. Puede explotar el script XSS (Cross-site scripting), insertar código malicioso en sitios a los que ahora se les ha concedido acceso. Estas vulnerabilidades van a llevar el código de ataque a la PC.

Google plus tampoco se confunde

Ya que esto no se considera un inconveniente de seguridad, Google chrome no recibe restauración de urgencia. Por otro lado, Google+ no se confunde al tener en cuenta esto como un inconveniente de seguridad porque este ícono de círculo rojo no está utilizable en todas y cada una de las ediciones de Chrome. Los individuos que deseen estar protegidos de estos asaltos tienen que prestar atención al acceso que dan al página web.

Ran bar-Zik, un desarrollador web de AOL, descubrió un error en Google plus Google chrome que permitía al sitio grabar imágenes de audio y vídeo sin indicación visual. Este error no es peligrosísimo porque las páginas inficionadas aún necesitan que los usuarios dejen la utilización de elementos relacionados con imágenes y sonidos, mas existen muchas formas distintas de grabar o bien grabar que los usuarios ignoran. La única imagen de este error es el ícono que normalmente exhibe Google chrome cuando el usuario graba o transmite el vídeo.

Icono de círculo rojo niquelado

Bar-Zik le dijo a Bleeping Computer que descubrió este error mientras trabajaba con un portal de internet que ejecuta código WebRTC. WebRTC es un protocolo para comunicar audio y vídeo por medio de Internet en tiempo real. Para hacer esto, los usuarios tienen que proporcionar acceso al componente de audio y video de ese sitio web.

Al recibir acceso, el lugar ejecutará código JavaScript para grabar audio e imágenes antes de difundir en Internet a otros participantes de WebRTC. Este desarrollo de grabación se ejecuta a través de la Interfaz de programación de aplicaciones MediaRecorder fundamentada en JavaScript.

El código de ataque se abre en la ventana emergente de Chrome.

Bar-Zik descubrió que este código se registró sin la necesidad de ejecutarlo en la tarjeta del navegador a la que se le concedió acceso. Como se concedió ingreso a los datos de audio y video a todo el dominio, el desarrollador israelí se dio cuenta de que podía abrir una ventana nuevo en Google chrome y realizar el código para grabar y grabar.

Ventana nuevo al grabar, grabar

Chrome exhibe el icono en la pestañita del navegador, no en la ventana emergente, porque esta ventana no tiene barra de pestañas.

Reportar un error con Google+, pero el error no se solventó inmediatamente

Bar-Zik le dijo a Bleeping Computer que, tras verificar el inconveniente, notificó el error a Google plus. El informe viene con una demostración que necesita que los usuarios otorguen ingreso, abran una ventana emergente al clickear y graben a lo largo de 20 segundos, y luego faciliten un enlace para bajar el fichero grabado. Los lectores apasionados ​​tienen la posibilidad de descargar el código para evaluar este error aquí.

En la respuesta que recibió Bar-Zik, Google plus se negó a considerarlo un error de seguridad.

Esto no es verdaderamente una violación de seguridad. WebRTC, por servirnos de un ejemplo, en gadgets móviles inteligentes tampoco tiene un indicador de navegador. Este ícono es un esfuerzo de prioridad ideal que solo puede trabajar en PCs cuando se puede ser útil el espacio de el diseño de Google chrome. Hemos intentado hacer mejor la situación.

El inconveniente se puede usar para monitorear sigilo

Bar Zik no está de acuerdo con la evaluación de Google plus. Los investigadores creen que bastante gente tienden a hacer clic en solicitudes que requieren acceso, inclusive sin leer. Tras permitir, de forma no intencionada o bien deliberada, que un sitio web acceda a elementos de audio y vídeo, tienen la posibilidad de acontecer asaltos más complejos.

Por ejemplo, Bar-Zik piensa que un atacante podría emplear una pequeña ventana nuevo para abrir el código de ataque. Este código utiliza una cámara para tomar fotografías de usuarios, grabaciones o sonidos próximos. Si no prestan atención a esta ventana, no lo van a saber porque no hay ninguna indicación de grabación o bien grabación. Otro escenario es que los usuarios tienen la posibilidad de pensar en esta ventana emergente como un anuncio. Si no se apaga inmediatamente, el atacante puede monitorear la computadora del usuario.

Bar-Zik también mencionó que un atacante no necesitaría crear un portal de internet para pedir acceso. Puede explotar el script XSS (Cross-site scripting), insertar código malicioso en sitios a los que ahora se les ha concedido acceso. Estas inseguridades van a llevar el código de ataque a la computadora.

Google+ tampoco se confunde

Ya que esto no se considera un problema de seguridad, Google chrome no recibe recuperación de urgencia. Por otro lado, Google+ no se confunde al tener en cuenta esto como un inconveniente de seguridad porque este ícono de círculo rojo no está disponible en todas las ediciones de Google chrome. Los individuos que deseen estar protegidos de estos ataques tienen que prestar atención al acceso que dan al cibersitio.

You may also like