مرورگرهای مدرن امروزی برای برقراری یک ارتباط صوتی و تصویری از پروتکل بلادرنگ WebRTC سرنام Web Real-Time Communications استفاده میکنند. این پروتکل به مرورگرها اجازه میدهد بدون آنکه به افزونهای نیاز داشته باشند یک ارتباط نظیر به نظیر را برقرار کنند. با این وجود برای محافظت از ارتباط صوتی و تصویری و ممانعت از دسترسی غیر مجاز به اینگونه محتوا مرورگرها به شکل روشنی از کاربران درخواست میکنند که به سایتها اجازه دهند از پروتکل WebRTC استفاده کرده تا این سایتها بتوانند به دوربین یا میکروفونی که به دستگاه کاربر متصل است دسترسی داشته باشند. زمانی که این مجوز تخصیص داده شود، یک سایت مادامی که کاربر مجوزهای تخصیص یافته به پروتکل webRTC را لغو نکند به میکروفون و دوربین دسترسی خواهند داشت. مرورگرهای وب هنگامی که سایتهای مجاز اقدام به ضبط یک محتوای صوتی یا تصویری میکنند پیغام هشداری را برای پیشگیری از سوء استفاده احتمالی نشان میدهند. مرورگرهای کروم و فایرفاکس با فعال کردن یک رابط برنامهنویسی و از طریق یک آیکون قرمز رنگ که روی یک زبانه به نمایش در میآید این موضوع را به کاربر اطلاع میدهند. (ضبط چندرسانهای روی مرورگر اج هنوز فعال نشده است.)
مطلب پیشنهادی
بارزیک در پستی که در همین ارتباط منتشر کرده است آورده است: «این آیکون قرمز رنگ آخرین و مهمترین حلقه دفاعی است که برای پیشگیری از سوء استفاده مورد استفاده قرار میگیرد. مجوزهای کلی موردنیاز برای دسترسی به دستگاههای صوتی و تصویری تنها یکبار از کاربر درخواست میشوند و همین موضوع باعث گمراه شدن کاربر میشود. زمانی که این مجوز تخصیص داده میشود، باعث میشود تا هشدار مربوط به ضبط محتوای چندرسانهای دیگر نشان داده نشود.»
این پژوهشگر کشف کرده است واسط برنامهنویسی جدید موجود در HTML5 در نسخه دسکتاپ مرورگر کروم دارای مشکلات مربوط به حریم خصوصی بوده که به هکرها اجازه میدهد به منظور نظارت بر کامپیوتر کاربران از آن استفاده کنند. این آسیبپذیری به هکرها اجازه میدهد بدون نمایش هیچگونه پیغام هشداری واسط برنامهنویسی MediaRecorder را فعال کنند. این کارشناس در پست خود نوشته است: «توسعهدهندگان از طریق یک دستکاری کوچک UX قادر هستند از این آسیبپذیری بهرهبرداری کرده و API مربوطه را به دور از چشم کاربر فعال کنند. این فرآیند به سادگی انجام میشود.»
این پژوهشگر یک کد اثبات مفهومی را در این خصوص منتشر کرده و نشان داده است پس از تخصیص مجوز به پروتکل WebRTC بدون اطلاع کاربر میتوان نزدیک به 30 ثانیه صوت را ضبط کرد هر چند این پژوهشگر از یک سایت ساده و همراه با دو دکمه برای نشان دادن این حمله استفاده کرده است اما گفته است که هکرها از طریق نمایش یک پنجره پاپآپ کاملا کوچک قادر هستند این مجوز را دریافت کنند. بدون آنکه کاربران در این خصوص مشکوک شوند.
این پژوهشگر گفته است در تاریخ 10 آوریل این آسیبپذیری را به گوگل گزارش داده اما این شرکت گفته است آسیبپذیری فوق یک اشکال امنیتی نیست. با این وجود در آینده وصله مربوطه برای این مشکل را ارائه خواهد کرد. یکی از اعضاء گروه کرومیوم گوگل گفته است: «این یک مشکل امنیتی نیست. به واسطه آنکه WebRTC روی دستگاههای همراه هیچگونه نشانهای در این خصوص روی مرورگرها نشان نمیدهد. اما برای محافظت از کامپیوترهای شخصی پیشنهاد میکنیم پروتکل WebRTC را غیرفعال کنید.»
==============================
شاید به این مقالات هم علاقمند باشید:
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟