Ran Bar-Zik ซึ่งเป็น Web Developer ที่ AOL พบ bug ใน Google Chrome ทำให้ Hacker ปิดสถานะการอัดเสียงและ VDO ผ่านเว็บบราวเซอร์ และได้ report ไปยัง Google แล้ว

บัคดังกล่าวยังคงต้องอาศัยให้ User กดยินยอมการอัดเสียงและ VDO ผ่าน Browser แต่สามารถปิดการแสดงสถานะการทำงานได้อยู่เท่านั้น ซึ่งโดยปกติเมื่อมีการอัดเสียงหรือ VDO ใดๆ จะมีการแสดงเป็นปุ่มสีแดงๆใน Header Tab ของ Google Chrome

แต่ Bar-Zik พบ bug ในเว็บไซด์ที่รัน WebRTC Code , โดย WebRTC เป็น Protocol สำหรับ streaming เสียงและภาพผ่าน internet แบบ real time, เมื่อได้รับอนุญาตจาก user ให้สามารถทำ streaming ได้ เว็บไซด์สามารถรัน JavaScript เพื่อทำการ record เสียงหรือ VDO ได้โดยกระทำผ่าน JavaScript-based MediaRecorder API.

Bar-Zik พบว่าการกระทำ recording นั้นไม่จำเป็นต้องอยู่ใน tab เดียวกับที่ขอ permission แต่อย่างใด เพราะการให้ permission  นั้นเป็นการให้ทั้ง domain  ดังนั้นถ้าเป็นหน้าต่างแบบไม่มีหัวของ page (headless) ด้วยการเปิดเป็น Popup ก็สามารถทำได้เช่นกัน ซึ่งพอไม่มีหัวของ page ก็จะกลายเป็นไม่มีการแสดงสถานะการ record เสียงหรือ VDO อยู่นั่นเอง

ทาง Google ได้รับเรื่องการ report แล้วแต่บอกว่าจะไม่มีการออก urgently fix หรือ hotfix แต่อย่างใด เพราะทาง Google มองว่าไม่ใช่เรื่องใหญ่ แต่จะพยายามปรับปรุงต่อไป

Source:: BleepingComputer