呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：Chrome有臭蟲!? 惡意網站可利用WebRTC暗中錄音錄影測試網頁： https://internet-israel.com/internet_files/webrtc/index.html 摘要： WebRTC是讓網站即時串流影音內容的協定。透過WebRTC執行串流時，網站需先取得使用者同意以存取影、音內容，之後再執行JavaScript，經由MediaRecorder API錄下影音再送上網際網路給其他支援WebRTC串流的用戶端。但研究人員發現，當網站取得使用者許可時，是取得了使用者整個網域的錄製權限，而不見得只是用戶開放錄製的內容。研究人員指出，Chrome在錄製時會在工具列顯示一個紅色圈內有個紅點的圖示，但是在跳出式網頁中由於不具有工具列，而不會顯示這個圖示。因此惡意網站可以先要求用戶准許進行WebRTC串流，再誘使用戶開啟JavaScript跳出視窗，這個視窗的JavaScript程式碼就能錄下用戶影像和聲音，而不必通知用戶。這項臭蟲出現在Chrome 57.0.2987以前的版本。原始資料： https://www.bleepingcomputer.com/news/security/chrome-bug-allows-sites-to-record-audio-and-video-without-a-visual-indicator/ 引用來源： http://www.ithome.com.tw/news/114522 #592d681a095fd1548944efcd

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：Chrome有臭蟲!? 惡意網站可利用WebRTC暗中錄音錄影測試網頁： https://internet-israel.com/internet_files/webrtc/index.html 摘要： WebRTC是讓網站即時串流影音內容的協定。透過WebRTC執行串流時，網站需先取得使用者同意以存取影、音內容，之後再執行JavaScript，經由MediaRecorder API錄下影音再送上網際網路給其他支援WebRTC串流的用戶端。但研究人員發現，當網站取得使用者許可時，是取得了使用者整個網域的錄製權限，而不見得只是用戶開放錄製的內容。研究人員指出，Chrome在錄製時會在工具列顯示一個紅色圈內有個紅點的圖示，但是在跳出式網頁中由於不具有工具列，而不會顯示這個圖示。因此惡意網站可以先要求用戶准許進行WebRTC串流，再誘使用戶開啟JavaScript跳出視窗，這個視窗的JavaScript程式碼就能錄下用戶影像和聲音，而不必通知用戶。這項臭蟲出現在Chrome 57.0.2987以前的版本。原始資料： https://www.bleepingcomputer.com/news/security/chrome-bug-allows-sites-to-record-audio-and-video-without-a-visual-indicator/ 引用來源： http://www.ithome.com.tw/news/114522

at Tue, May 30, 2017 8:39 PM