Как Google Chrome следит за тобой через веб-камеру

Специалисты по компьютерной безопасности бьют тревогу. Ошибка в реализации технологии Flash, которая используется в Google Chrome, позволяет злоумышленнику тайно включить встроенную в ноутбук или подключаемую через USB web-камеру.

Уже представлен эксплоит, который превращает компьютер жертвы в тайный ретранслятор аудио и видеопотоков с компьютера в сеть.

Для реализации уязвимости используется старинный и проверенный метод кликджекинг (англ. Clickjacking). Его суть проста: предупреждающее о включении камеры и микрофона окно может перекрываться визуальным слоем от злоумышленника и введенный в заблуждение пользователь сам дает права хакеру на выполнение небезопасных действий.

В настоящее время, компания Adobe — разработчик Flash — не представила заплатку, которая устраняла бы проблему. Более того, неизвестно будет ли вообще такая заплатка представлена и когда именно. Компания Google тоже не спешит решать проблему, хотя согласно собственной же политике безопасности, такие ошибки Google обязуется исправлять в течении недели.

Пользователям, которые не желают неожиданно стать звездами Ютюба, до выхода заплатки рекомендуется отключить web-камеру либо в диспетчере устройств, либо физически.

Компании: 
Названия программ: 
Программное обеспечение: 
Пользовательские теги: 

Комментарии

У меня у одного при съёмке всегда включается синяя лампочка?

Если серьёзно, то clickjacking -- это не простая дыра. Чтобы её устранить, придётся значительно ограничить возможности HTML и джаваскрипта.

Какая глубокая мысль. Т.е., если синяя лампочка есть у Вас, значит она должна быть у всех? ;) Ну, например, на моем старом нетбуке вообще нет никакой лампочки, на новом нетбуке тоже нет ничего. На ноутбуке тоже нет ничего. Подозреваю, что и помимо меня достаточно обделенных синей лампочкой. Или эксперты по безопасности подняли шум только ради того, чтобы потроллить Мистера Бизона, зная, что у него синяя лампочка и проблема для него неактуальна? ;)

Чтобы её устранить, придётся значительно ограничить возможности HTML и джаваскрипта.

Ага, очень-очень серьезно. Аж добавить окну с предупреждением свойство AlwaysOnTop ;)

>> Ага, очень-очень серьезно. Аж добавить окну с предупреждением свойство AlwaysOnTop ;)

Только у адоба там не окно, а панель, которая появляется в самом окне плагина флеша.

>> Т.е., если синяя лампочка есть у Вас, значит она должна быть у всех? ;)

ЕМНИП, в законах некоторых стран указано, что запись видео должна так или иначе указываться, будь то звуком (как в некоторых мобильниках) или светом (лампочки в фотоаппаратах и веб-камерах).

Поэтому в большинстве веб-камер, будь то встроенных или нет, соответствующие лампочки (вне зависимости от цвета) всё же есть. Даже в тех же Google Glass она есть.

Это реально проделать в системе на ядре Linux :получить удаленный доступ к USB web-камере через
flash ? Что — то мне верится с трудом :)

При чем тут ядро? Злоумышленник может перекрыть окно с запросом разрешения на включение камеры. «Вы согласны включить камеру?» перекроется надписью «Вы любите деньги?», кнопки ответа останутся теми же. Вот и всё.

В googl-chrome не пробывал ,но в firefox часто переходил по таким ссылкам и ниразу не включалась :)
Может — не попадал пока на матерых кухлацеров ? :)

Всегда заклеиваю изолентой микрофон и камеру на всех компах и планшетах. Проще способа не найти.

Комментировать

Filtered HTML

  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.