Как Google Chrome следит за тобой через веб-камеру
Специалисты по компьютерной безопасности бьют тревогу. Ошибка в реализации технологии Flash, которая используется в Google Chrome, позволяет злоумышленнику тайно включить встроенную в ноутбук или подключаемую через USB web-камеру.
Уже представлен эксплоит, который превращает компьютер жертвы в тайный ретранслятор аудио и видеопотоков с компьютера в сеть.
Для реализации уязвимости используется старинный и проверенный метод кликджекинг (англ. Clickjacking). Его суть проста: предупреждающее о включении камеры и микрофона окно может перекрываться визуальным слоем от злоумышленника и введенный в заблуждение пользователь сам дает права хакеру на выполнение небезопасных действий.
В настоящее время, компания Adobe — разработчик Flash — не представила заплатку, которая устраняла бы проблему. Более того, неизвестно будет ли вообще такая заплатка представлена и когда именно. Компания Google тоже не спешит решать проблему, хотя согласно собственной же политике безопасности, такие ошибки Google обязуется исправлять в течении недели.
Пользователям, которые не желают неожиданно стать звездами Ютюба, до выхода заплатки рекомендуется отключить web-камеру либо в диспетчере устройств, либо физически.
Комментарии
MrBison
19 июня, 2013 - 08:40
У меня у одного при съёмке всегда включается синяя лампочка?
Если серьёзно, то clickjacking -- это не простая дыра. Чтобы её устранить, придётся значительно ограничить возможности HTML и джаваскрипта.
pomodor
20 июня, 2013 - 03:19
Какая глубокая мысль. Т.е., если синяя лампочка есть у Вас, значит она должна быть у всех? ;) Ну, например, на моем старом нетбуке вообще нет никакой лампочки, на новом нетбуке тоже нет ничего. На ноутбуке тоже нет ничего. Подозреваю, что и помимо меня достаточно обделенных синей лампочкой. Или эксперты по безопасности подняли шум только ради того, чтобы потроллить Мистера Бизона, зная, что у него синяя лампочка и проблема для него неактуальна? ;)
Ага, очень-очень серьезно. Аж добавить окну с предупреждением свойство AlwaysOnTop ;)
MrBison
20 июня, 2013 - 08:38
>> Ага, очень-очень серьезно. Аж добавить окну с предупреждением свойство AlwaysOnTop ;)
Только у адоба там не окно, а панель, которая появляется в самом окне плагина флеша.
MrBison
20 июня, 2013 - 10:30
>> Т.е., если синяя лампочка есть у Вас, значит она должна быть у всех? ;)
ЕМНИП, в законах некоторых стран указано, что запись видео должна так или иначе указываться, будь то звуком (как в некоторых мобильниках) или светом (лампочки в фотоаппаратах и веб-камерах).
Поэтому в большинстве веб-камер, будь то встроенных или нет, соответствующие лампочки (вне зависимости от цвета) всё же есть. Даже в тех же Google Glass она есть.
Чингачгук
14 января, 2016 - 14:28
Это реально проделать в системе на ядре Linux :получить удаленный доступ к USB web-камере через
flash ? Что — то мне верится с трудом :)
pomodor
14 января, 2016 - 15:41
При чем тут ядро? Злоумышленник может перекрыть окно с запросом разрешения на включение камеры. «Вы согласны включить камеру?» перекроется надписью «Вы любите деньги?», кнопки ответа останутся теми же. Вот и всё.
Чингачгук
14 января, 2016 - 16:24
В googl-chrome не пробывал ,но в firefox часто переходил по таким ссылкам и ниразу не включалась :)
Может — не попадал пока на матерых кухлацеров ? :)
Чингачгук
14 января, 2016 - 17:04
Всегда заклеиваю изолентой микрофон и камеру на всех компах и планшетах. Проще способа не найти.
Комментировать