Proponha uma correção, faça uma sugestão
Novo bug do Chrome permite captura do áudio sem autorização
Os desenvolvimentos que a Google tem colocado no Chrome tornam-no num dos melhores browser que podemos usar para navegar na Internet. Extravasa os conteúdos que esta disponibiliza e permite que tenhamos uma interacção com o próprio browser que nos leva muito mais longe que o rato e o teclado.
E é precisamente num dessas formas de interacção que o Chrome disponibiliza que surgiu mais um bug. Existe mais uma forma de conseguirmos capturar o áudio no Chrome sem a necessidade de autorização do utilizador e sem que este se aperceba do que está a ser feito!
Este não é o primeiro bug a surgir associado à captura de áudio no Chrome. No passado mês de Janeiro já tinha sido mostrado que facilmente é possível a um site malicioso capturar o áudio de um utilizador sem que este tivesse consciência de que estava a ser escutado ou sem que seja apresentado qualquer sinal visual desta captura.
Este novo bug, que foi descoberto pelo mesmo programador que descobriu acidentalmente o anterior, permite que através da utilização de uma API antiga de reconhecimento de voz da Google é possível que todo o áudio de um utilizador seja capturado enquanto este visita um site.
Esta API, apesar de antiga e estar a cair em desuso, ainda é usada por alguns sites e está disponível para utilização. A sua introdução foi feita na versão 11 do Chrome e pensa-se que desde essa altura este bug exista. Na versão 25 do Chrome a nova API foi introduzida, mas esta que apresenta problemas foi mantida.
Os problemas com esta API, e que permitem o ataque assentam em três factores:
- A visibilidade do elemento de captura de áudio pode ser alterado em tamanho ou opacidade e ainda se manter completamente funcional.
- O elemento de captura de áudio pode usar os cliques na página, mantendo-se na mesma completamente invisível.
- A caixa de indicação de captura de áudio pode ser ofuscada e apresentada fora do ecrã.
Usando estes três elementos é possível criar uma página que consegue, sem que o utilizador tenha noção disso, capturar todo o áudio que seja produzido e transmiti-lo para o servidor remoto.
No site onde o bug é apresentado podem comprovar que o problema é real. Está disponibilizado o mesmo site que foi mostrado no vídeo e podem ver o problema a acontecer.
Este bug e a forma de ser usado já foi comunicado à Google, devendo esta estar a proceder à sua resolução, de forma a mitigar este problema.
Não é um bug tão crítico como o anteriormente descoberto e que permitia a captura do áudio também sem a autorização do utilizador, mas sem que houvesse a necessidade deste ter o separador seleccionado.
Este artigo tem mais de um ano
Loading ...
É bem feita… LOL
LOL Então e os bug’s do IOS, já antes apresentados!? Esses aí já não te lembras não é…
Que bugs?
é bem feita? a sério?
Se estivessem mais atentos ao produto deles…
http://www.pwn2own.com/2014/03/pwn2own-results-for-wednesday-day-one/
Que conveniente, só colocaste os resultados do dia que te interessou.
http://www.pwn2own.com/2014/03/pwn2own-results-thursday-day-two/
Shitposters são assim. Pedantes e parece que têm palas, só vêem para um lado.
Não consegue ver porque passa maior parte do tempo apanhar o sabonete!! Anda tomar banho ò Nelso!!
Enfim… Nem lê a notícia… Quem não tem uma vida…
Não me digas que ficaste chateado por a Google ter hackeado o Safari no Pwn2Own.
Não percebo o motivo para estares feliz. Pessoas que defendem corporações/marcas são facilmente o pior tipo de pessoas. Já alguma vez paraste para pensar que essas grandes empresas não querem saber dos seus utilizadores e exploram-nos constantemente?
De qualquer das maneiras, uso Srware Iron (fork do chromium, practicamente o mesmo mas com flash player integrado, que eu actualizei, e algumas diferenças minúsculas e sem auto updater) com ADB plus, scriptsafe e um ficheiro de hosts com milhares de servidores de ads; se toda a gente fosse consciente e usa-se common sense 2014 AV, isto não seria um problema.
Aliás, já não é a primeira vez que arranjo PCs com ransomware obtido através do clique de uma ad no facebook! Só de pensar nisso fico revoltado, pois costuma acontecer múltiplas vezes por pessoa, em curtos espaços de tempo. Nunca aprendem!
Se calhar a Microsoft faz melhor… Pelo menos a Google ainda corrige, outros demorão anos a fazê-lo.
E “prontos”…
Não percebo o quê que andam a fazer… só vejo bugs atrás de bugs e não me refiro apenas ao Chrome. Devem rever melhor as coisas antes de lançarem publicamente. Não faz muito sentido lançar uma nova build se passado umas horas são descobertas n falhas…
Será mesmo um BUG? Será que a Google não consegue capturar audio e video de todos os equipamentos que usem estes periféricos e ocultar o seu funcionamento? Por exemplo, desligando o led que indica que a camara está a funcionar.
Pode acontecer sempre que se usa o seu browser ou o seu sistema operativo.
Projeto NSA versão 2.0.
Hehehe… não estás fora da realidade não senhor 😉 nunca se sabe!!!
Mas está no 34, do artigo anterior?
Muito provavelmente. Senão, refeririam que tinha sido corrigida na 34.
É impossível lançar coisas sempre sem bugs… o bom no Chrome é que normalmente resolvem os problemas em poucos dias e o update é garantido, ao contrário dos Internet Explorer’s e Safari’s que são actualizados de “ano a ano”.
Mas não são perfeitos… aquele “bug” com as webfonts em windows ainda está para ser resolvido depois de 2 anos…
qual deles?
Os 3 desastres no SSL, em poucas semanas, preocupam-me mais…
amadores….. ios7( <==the best so,lol) e google… ta tudo bugado. hi/tc software.
estou para ver o wp. no seu update , os fans perdoam tudo, mas que quero qualidade, da MS.
Não há SO perfeito meu caro, são todos bons e são todos peças inacabadas. Tem isso em conta.