Другие новости
Вице-президент «Тинькофф» рассказал о планах банков создать альтернативную платежную систему
Андрей Борис рассказал о втором гражданстве как способе свободного передвижения по миру
«Здоровое Отечество» поучаствует в проведении мероприятий для инвалидов
ЕвроХим ввел в эксплуатацию современный комплекс по производству фосфатных удобрений в Бразилии
Huawei представляет первую большую модель сети — Net Master для рынков за пределами Китая
«Креативные индустрии 2024»: в номинации «Музыкальный проект года» победил Владимир Котов
Google и Mozilla необходимо ограничить способность браузеров следить за пользователями
Экономика
Исследователи предупреждают, что веб-сайты и приложения, сообщающиеся через WebRTC, могут иметь более широкий доступ к микрофонам и камерам компьютеров, чем пользователи осознают.
Производителям браузеров необходимо предупреждать пользователей, когда веб-сайты и приложения могут их смотреть и слушать, говорят европейские исследователи в области безопасности.
В настоящее время, Chrome и Firefox полагаются на «грубые разрешения» для предоставления сайту доступа к камере и микрофону пользователей для связи через WebRTC, говорят исследователи из финансируемой Евросоюзом группы Strews.
«Браузеры обеспечивают лишь грубые разрешения, но просят их при старте конкретного приложения, что может привести пользователя к убеждению, что он дал специальное разрешение, хотя на самом деле он дал широкий круг разрешений», сообщается в докладе.
«Разрешения касаются сервера, так что если тот же сервер предлагает другое, вредоносное приложение, пользователь может быть введен в заблуждение и открыть его. При этом, приложение будет автоматически иметь доступ к камере и микрофону».
WebRTC позволяет встраивать видео-чат в веб-сайты и приложения без использования плагинов, и аналитики Gartner предсказывают, что это «значительно нарушит» рынок голосовых услуг в ближайшие годы.
Сайты и приложения, использующие WebRTC, сохраняют разрешение на доступ к микрофону и камере, пока браузер не будет закрыт в Firefox и, если страница использует HTTPS в Chrome.
Исследователи опасаются, что эти разрешения предоставляют возможности для слежки за пользователями без их ведома, особенно с планшета или телефона, где приложения работают в фоновом режиме.
«На мобильном устройстве может быть не так очевидно определить, что браузер запущен, или как его остановить. Таким образом, пользователь может остановить веб-приложение (закрыть окно или жестом свайпа убрать его с экрана), но браузер может быть на самом деле запущен, и разрешение остается в силе», говорится в докладе.
Chrome предоставляет постоянное разрешение на сайтах и приложениях для доступа к микрофон и камеру, если веб-страница отображается через HTTPS. Такая перспектива тоже беспокоит исследователей.
«В случае Chrome, разрешения являются постоянными (если приложение загружается через ссылку HTTPS) и, таким образом, остаются в силе, когда пользователь возвращается позже, чтобы снова использовать приложение. Приложение может эволюционировать в нечто, что не понравится пользователю, или доменное имя может измениться и приложение будет заменено на совершенно другое».
В докладе также подчеркиваются преимущества WebRTC для тех, кто озабочен «всеобъемлющим мониторингом», поскольку эта технология позволяет прямую связь между браузерами, и эта связь будет зашифрована по умолчанию — посредством Datagram Transport Layer Security (DTLS).
Тем не менее, модель разрешений в Chrome и Firefox достаточно открыта для злоупотреблений.
«Если … вы озабочены персональной свободой от всепроникающего контроля, то вы должны быть обеспокоены WebRTC, так как это означает, что браузеры по умолчанию включают в себя возможность слушать и наблюдать пользователей, а также используют модель разрешений, которая, скорее всего, не понятна многими пользователям», говорится в докладе.
«Кроме того, WebRTC-медиа, хотя и защищены с помощью DTLS, часто не могут быть общаться только между двумя браузерами, но между браузером и одним или более серверами, на которых используется обычный LI (Legal Intercept), значит перехват можно реализовать».
Кроме того, поскольку WebRTC предназначен для обеспечения прямой связи браузера с браузером, какой браузер будет отправлять видео и аудио пользователя, определяется на стороне сервера.
Встроенная поддержка WebRTC пока не доступна в Internet Explorer и Safari.
Google и Mozilla пока не прокомментировали данный доклад.