Chrome podría tener un error al acecho que permite a los sitios web grabar su contenido de audio y vídeo sin que ni siquiera lo sepa. Es decir, Chrome normalmente tiene un indicador rojo que se muestra en una ficha donde se está grabando el contenido de vídeo. Sin embargo, según un investigador, tal indicación puede no siempre estar presente.
La falla: Ran Bar-Zik es un desarrollador web que trabaja en AOL y es la persona que encontró la falla en Google Chrome.
Según Bar-Zik, el error permite a un sitio web grabar contenido de video y audio una vez que el usuario concede permiso al sitio web para hacerlo. Sin embargo, a veces no hay indicios de que tal grabación esté teniendo lugar.
Aunque el error es bastante inofensivo, el investigador, sin embargo, afirma que puede ser explotado para ataques más sofisticados, informa BleepingComputer.
El círculo rojo: Cuando un sitio web está grabando un video o audio, aparece un círculo rojo en una pestaña. Esta pestaña pertenece a la ventana donde se está ejecutando el código para facilitar la grabación.
Sin embargo, Bar-Zik encontró que esto puede no ser el caso. Esto se debe a que dicho contenido sólo comienza a grabarse una vez que el usuario concede permiso para hacerlo.
Esto puede significar que una pequeña ventana emergente puede estar ejecutando el código para grabar contenido de audio y video. Dado que una ventana emergente no tiene una pestaña, el círculo rojo no se mostrará y, por lo tanto, el usuario puede no ser consciente de que su vídeo o audio está siendo grabado.
Esto también puede tener lugar dentro de un pop-up muy pequeño que puede pasar desapercibido por el usuario.
Chrome puede estar sigilosamente permitiendo grabaciones de video y audio / Crédito de la imagen: BleepingComputer
¿Cual es el problema? Usted puede preguntarse por qué el investigador es tan serio acerca de la falla. Esencialmente, el investigador cree que los usuarios a veces accidentalmente conceder permiso a varios sitios web para grabar vídeo y contenido de audio.
Ellos pueden hacerlo sin siquiera darse cuenta de lo que era el permiso y por lo tanto no saben que era para la grabación de vídeo y contenido de audio. Como tal, los atacantes pueden explotar el error engañando al usuario para que le conceda permiso y comience a grabar el video y el audio de un usuario para realizar posiblemente una especie de espionaje secreto en el usuario.
Además, Bar-Zik dice que el atacante puede comenzar a grabar incluso sin tener un sitio web pedir permiso en el primer lugar. Lo hacen explotando otra falla asociada con las secuencias de comandos entre sitios.
El problema fue reportado a Google inmediatamente después de que se descubrió. Sin embargo, Google respondió que el problema no plantea una amenaza de seguridad y que el punto rojo no aparece en dispositivos móviles de todos modos.
Además, Google dice que el usuario está obligado a dar permiso y es responsabilidad del usuario leer lo que es el permiso antes de concederlo.
Esto se aplica especialmente a aquellos que están en versiones más recientes de Chrome ya que la indicación de punto rojo no está disponible en ellos.
Como tal, es responsabilidad del usuario evitar la concesión de permisos a sitios web desconocidos y por lo tanto permanecer a salvo de tales vulnerabilidades.
No hay comentarios:
Publicar un comentario