Tal Ater, программист из Израиля, обнаружил в Google Chrome уязвимость, которая позволяет сайту, однажды получившему разрешение использовать микрофон пользователя, использовать в дальнейшем микрофон без разрешения и без индикации записи.
Для этого сайт может открыть «попап», замаскированный под баннер, и невозбранно слушать посетителя.
По словам автора расследования, он сообщил в Google о находке 13 сентября 2013. Позже, 24 сентября, инженеры Google создали «патч» для решения этой проблемы, а Tal Ater был номинирован на приз в $30К. Однако, код с исправлением до сих пор так и не попал в «сборку» для конечных пользователей и уязвимость до сих пор (уже 4 месяца) присутствует в в браузере.
Google Chrome — системообразующий продукт Google, работающий на многих платформах, и являющийся важнейшей частью Chrome OS. По сути, Chrome сам по себе является платформой для веб-приложений от Google и от сторонних поставщиков. Более того, существует несколько параллельных проектов по развертыванию Chrome как платформы и библиотеки для десктопных приложений.
Чуть ранее, на прошлой неделе, в прессу попал другой случай, в котором через плагины Chrome, из-за плохо дизайна обновлений плагинов, распространялся вредоносный код.
Добавить 2 комментария
А зачем кому-то может понадобиться предоставлять подозртельным сайтам разрешение использовать их микрофон?
А от приза 30к он, выходит, отказался?