Нововведения Google Chrome вызывают опасения экспертов ИБ

image

Теги: Google Chrome, уязвимость, новость

По мнению аналитиков, появление в браузере Getusermedia API упрощает задачу киберпреступников, которым требуется воспользоваться web-камерой и микрофоном жертвы.

Корпорация Google сообщила о релизе Chrome 21 beta, которая по данным The Inquirer вызывает опасения экспертов информационной безопасности, связанные с использованием API Getusermedia. Этот API позволяет браузеру напрямую подключаться к мультимедиа устройствам, таким как web-камера и микрофон, без использования дополнительных плагинов.

«Getusermedia API также предоставляет сайтам новые возможности, которые ранее были недоступными» - сообщается в блоге Google. Автор публикации приводит пример разработанной онлайн службы, которая позволяет проигрывать звуки, просто размахивая руками перед web-камерой.

Однако руководитель исследовательского центра Trend Micro Рик Фергюсон (Rik Ferguson) заявил, что наличие в браузере Getusermedia будет очень удобным нововведением для киберпреступников. «Нам уже попадались, как банковские трояны, так и, естественно, таргетированные угрозы, которые используют видео устройства жертвы…», - заявил Фергюсон.

«От преступника всего лишь требуется создать JavaScript, который запрашивает доступ к видео и\или аудио оборудованию, - отметил эксперт. – Getusermedia не использует локальные файлы, которые последовательно обновляются, вместо этого передается видео и аудио поток в реальном времени прямо через web-страницу, что усугубляет беспокойство по поводу безопасности.

Собственное мнение о beta релизе Google Chrome выразил также Шон Салливан, аналитик компании F-Secure. «Я не беспокоюсь о взломах так, как меня волнует хищение кликов, – отметил аналитик. - Еще одна неприятная мысль, которая у меня возникла, связана с тем, является ли Google осторожной при публикации конечного кода. Представьте себе, как вы используете голосовой поиск и внезапно… микрофон не прекратил запись и собрал слишком много информации – а ля Google Street View».

Отметим также, что вчера Google выпустила обновление безопасности для стабильной ветки браузера Chrome, которое устраняет три уязвимости с высоким рейтингом опасности. Две уязвимости использования после освобождения были обнаружены исследователем под псевдонимом miaubiz, который получил от компании $2000 долларов. Третья уязвимость, связанная с получением доступа к определенным объектам при работе с PDF документами, была обнаружена сотрудником Google Алексеем Самсоновым.

С подробным описанием уязвимостей можно ознакомиться по адресу:
http://www.securitylab.ru/vulnerability/426931.php


comments powered by Disqus