Dviejų metų senumo Flash spraga leidžia sekti Chrome vartotojus naudojant kompiuterio Web kamerą
Antradienį, Rusijos saugumo ekspertas Egor Homakov paskelbė įrodymą, kad dviejų metų senumo Flash saugumo spraga leidžia paspaudimui aktyviame paveiksliuke paslėpti Flash kodą, suteikiantį galimybę aktyvuoti Google Chrome vartotojo Web kamerą ir, vartotojui to nežinant, jį fotografuoti.
Anot Homakov’o, šis niekšiška sekimo galimybė buvo aptikta kito Rusijos programišiaus ir Adobe apie ją žino du metus, tačiau ši saugumo spraga iki šiol nėra ištaisyta, bent jau Google Chrome vartotojams.
Savo, šiek tiek nesaugioje naudojimui, demonstracinėje svetainėje kur ant nevisiškai apsirengusių merginų nuotraukų yra „play“ mygtukas, Rusijos saugumo konsultantas demonstruoja, šios spragos galimybes. Paspaudus „play“ mygtuką (naudojant Google Chrome naršyklę) jei vartotojo kompiuteris turi Web kamerą - jis bus nufotografuotas ir jo nuotrauka parodyta ekrane. Homakov’as sako, jis galėtų išsaugoti šias nuotraukas serveryje, bet to nedaro.
Ši klaida yra labai paprasta ir keista, kad ji vis dar neištaisyta. Internetas nesaugus nes jūs galite paspausti ant nematomo paveiksliuko ir suteiksite prieigą prie savo kompiuterio Web kameros.
Kai kurios naršyklės neleidžia naudoti tokių permatomų „iframe“ tagų ir apsaugo nuo tokio kodo paleidimo. Firefox tiek Mac, tiek Windows, Internet Explorer’yje ir Safari šis kodas arba neveikia arba iššoka langas prašantis leidimo prieiti prie Web kameros, tačiau Windows 7 ir Mac OS X Lion Google Chrome - vienu paspaudimu paslėptam kodui leido pasinaudoti kompiuterio kamera.
Adobe deklaravo, kad šią klaidą ištaisė dar 2011 metais.
Visokios pornografijos svetainės, galėtų pasinaudoti šia klaida ir fotografuoti lankytojus „bežiūrinėjančius“ ten esančią medžiagą ir paskui arba viešinti arba prašyti kad ir simbolinio, bet mokesčio už tos nuotraukos pašalinimą iš serverio.
Dabartinėje situacijoje Google Chrome vartotojai gali arba pasinaudoti kokiais nors Chrome priedais leidžiančiais apsaugoti nuo tokių išpuolių, pvz. NotScript ar ScriptSafe arba paprasčiausiai užklijuoti Post-it ant kameros „akutės“.
Vienas is saugiausiu budu isvis nesijunkti prie interneto. Va kad lempute neuzsidektu kai filmuoja tai cia butu idomu.
Kompe galima padaryti, kad neužsidegtų lemputė, per internetą valdyti iki lemputės lygio gal kiek sudėtinga, bet pakišus kokį kirminą - galima.
Gal isduosi paslapti kaip?
Susiinstaliuok kokią nors apsaugos nuo vagystės programą į Mac'ą, kuri leidžia fotografuoti tą, kuris juo naudojasi ir turėsi tą galimybę :)
Arba galima pasirašyti kokią „programulką“, kuri valdo kamerą.