Lỗ hổng trên trình duyệt Chrome “mở cửa” cho các web bí mật ghi âm và quay phim người dùng

Lỗ hổng trên trình duyệt Chrome “mở cửa” cho các web bí mật ghi âm và quay phim người dùng

Google nói sẽ “cải thiện tình hình” nhưng lại không coi đó như một lỗ hổng bảo mật đúng nghĩa, trong khi chuyên gia AOL lo ngại lỗi sẽ tạo điều kiện cho hacker theo dõi người dùng Chrome.

Nhà phát triển Ran Bar-Zik của AOL vừa mới phát hiện một lỗi nghiêm trọng trên trình duyệt Google. Từ đây, các trang web mà người dùng truy cập có thể bí mật ghi âm và quay video. Tất nhiên, chỉ khi chủ nhân thiết bị cho phép quyền sử dụng các tính năng micro và camera của máy. Giới bảo mật cảnh báo lỗ hổng có thể trở thành “vũ khí” cho tin tặc tấn công và theo dõi hoạt động của bất kỳ cá nhân nào dùng trình duyệt Chrome.

Chrome để các website bí mật quay video và ghi âm thiết bị người dùng.
Chrome để các website bí mật quay video và ghi âm thiết bị người dùng.

Phía Google lại không coi đây là lỗ hổng bảo mật đúng nghĩa, ám chỉ vấn đề chưa thể giải quyết dứt điểm. Bar-Zik trả lời tờ BleepingComputer cho biết, ông phát hiện lỗi khi xử lý một trang web chạy mã WebRTC, một giao thức cho phép phát video và âm thanh trực tuyến trên Internet theo thời gian thực.

Khi âm thanh và video được ghi lại trên Chrome, một chấm tròn đỏ xuất hiện trên tab thông báo quá trình phát trực tuyến đang hoạt động. Tuy nhiên, Bar-Zik nhận thấy mã thu âm không phải lúc nào cũng chạy trên tab Chrome theo quy định cho phép. Thay vào đó, lỗi trình duyệt cho phép ông khởi chạy pop-up để bắt đầu ghi âm và quay video mà không làm xuất hiện chấm tròn đỏ.


Trong khi Google không coi đây là lỗi, chuyên gia Ran Bar-Zik lại lo ngại hậu quả có thể rất lớn

Trong khi Google không coi đây là lỗi, chuyên gia Ran Bar-Zik lại lo ngại hậu quả có thể rất lớn

Mặc dù từ chối công nhận đây là một lỗ hổng bảo mật nhưng Google đã đồng ý tìm cách cải thiện tình hình. Trong khi đó, Bar-Zik lại cho rằng gã khổng lồ tìm kiếm đã đánh giá thấp vấn đề. Ông cảnh báo, người dùng có thể vô tình chấp nhận các điều khoản để đồng ý cấp phép cho tin tặc quyền truy cập tính năng phần cứng.

Phía Google chỉ coi đó như một lỗi thực sự nếu như không xuất hiện vòng tròn màu đỏ thông báo ở tất cả các phiên bản trình duyệt. Tuy nhiên, lỗ hổng này hoàn toàn có thể bị khai thác. Người dùng nên cảnh giác trong vấn đề cấp phép cho các trang web để tránh hậu quả đáng tiếc.

Trả lời

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Scroll Up