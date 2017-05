Normaal gesproken als een website video of audio opneemt, verschijnt er een rood opname-icoontje in de desbetreffende tab. De bug zorgt er echter voor dat deze niet altijd zichtbaar is. Bar-Zik ontdekte dat de code die het opnameproces start, niet per se in de originele tab hoeft te draaien waarin de gebruiker toestemming heeft gegeven.

Malafide gebruikers kunnen daar misbruik van maken door een pop-up-scherm te openen waarin de code kan worden uitgevoerd om media op te nemen. Het opname-icoontje blijft in de (onderliggende) tab en kan op deze manier dus worden "verstopt".

De ontwikkelaar heeft na een aantal tests een bug gemeld bij Google, een demonstratie gemaakt en een Proof of concept (zip) gemaakt.

Google ziet deze bug niet als beveiligingslek omdat gebruikers nog steeds toestemming moeten geven als websites daadwerkelijk video en audio willen opnemen. Bovendien is het opname-icoontje niet aanwezig in alle versies van Chrome (de mobiele versie van Chrome heeft deze functie bijvoorbeeld niet).

"Dit is niet echt een beveiligings-kwetsbaarheid, WebRTC op mobiele apparaten geeft helemaal geen indicator weer. Het icoontje is een best-effort [oplossing] die alleen werkt op de desktop als er Chrome-UI-ruimte beschikbaar is. Wij zullen kijken naar een oplossing om deze situatie te verbeteren," aldus Google.

Op de volgende pagina: Misbruik?