Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza

Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
A distanza di circa 8 mesi arriva l’importante aggiornamento dei MacBook Air: nessun cambiamento estetico, ma una revisione hardware interna con l’upgrade al processore M3. Le prestazioni migliorano rispetto alle generazioni precedenti, e questo fa sorgere una domanda spontanea: a chi è rivolto oggi questo laptop? Cerchiamo di capirlo nella nostra recensione 
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 31-05-2017, 12:37   #1
c.m.g
Senior Member
 
L'Avatar di c.m.g
 
Iscritto dal: Mar 2006
Messaggi: 22109
[NEWS] Chrome, un bug per spiarci tutti?

mercoledì 31 maggio 2017

Spoiler:
Quote:
Uno sviluppatore ha dimostrato come sia possibile registrare audio e video senza che vi siano indicatori visibili sulla pagina. Tuttavia il team di Chromium, per il momento, sembra sottovalutare il problema


Roma - Uno sviluppatore israeliano che lavora presso AOL, Ran Bar-Zik, ha aperto un bug di sicurezza a Chromium, progetto open source gestito da sviluppatori Google, che condivide la quasi totalità del codice e delle caratteristiche con Google Chrome. Lo sviluppatore sostiene che sia possibile effettuare registrazioni audio e video attraverso il browser - usando la tecnologia Web Real Time Communication - senza che l'utente ne abbia la percezione.

In verità, all'utente viene comunque richiesta l'autorizzazione per l'utilizzo di webcam e microfono, tuttavia il codice javascript del front-end è in grado di nascondere gli elementi grafici indicanti il fatto che ci sia una registrazione in corso.

Bar-Zik ha allegato alla segnalazione un frammento di codice, disponibile sia come proof-of-concept che al download.Dal codice è possibile evincere come sia possibile costruire un'istanza MediaRecorder all'interno di una nuova finestra, associando alla suddetta istanza il data stream relativo alla finestra - o tab - corrente, sulla quale sono stati ottenuti dall'utente i permessi necessari alla registrazione di contenuti audio e video.
Il risultato finale consiste in un popup in grado di spiare l'utente, senza che vi siano avvisi grafici di alcun tipo: questo in quanto un popup è privo della tab-bar su cui compare il pallino rosso indicante la registrazione, che normalmente appare nel tab su cui l'utente ha accordato i permessi.



Il team di Chromium ha prontamente replicato allo sviluppatore, minimizzando il problema e affermando che in realtà non si tratta di una scopertura di sicurezza, per il fatto che l'autorizzazione deve essere comunque fornita dall'utente, e che gli elementi grafici indicanti una registrazione in corso fanno parte esclusivamente della versione desktop del browser, non essendo presenti, ad esempio, in quella mobile. In ogni caso, il team di Chromium dichiara che ci sono "lavori in corso" per migliorare la situazione in essere; al difetto, catalogato come privacy, è stata assegnata priorità 2 nelle settimane successive.

Secondo una conversazione privata con Bar-Zik riportata da Bleeping Computer, lo sviluppatore non sarebbe d'accordo con il team di Chromium: sostiene infatti che una scopertura di questo tipo potrebbe portare ad attacchi ben più subdoli, creando finestre popup di dimensioni molto piccole difficilmente individuabili dall'utente, con i quali sarebbe possibile scattare una foto all'utente in pochi millisecondi, oppure sorvegliarne le attività per diverso tempo. Inoltre, un eventuale attaccante potrebbe sfruttare i vari siti che richiedono questo tipo di permesso e condurre un attacco XSS - cross-site scripting - così da non dover richiedere egli stesso le autorizzazioni necessarie.

Nonostante la gravità del bug sia mitigata dalla necessità per l'attaccante di ottenere, più o meno lecitamente, le autorizzazioni, questa è la seconda scopertura rilevata su Chrome in questi ultimi giorni: risale infatti a due settimane fa la notizia di un bug con il quale sarebbe possibile rubare credenziali Windows; Google ha sì vinto la guerra dei browser, tuttavia va ricordato che la guerra è stata persa da Microsoft proprio perché ha sottovalutato per anni problematiche relative alla sicurezza (e non solo).

Elia Tufarolo







Fonte Immagine: https://www.bleepstatic.com/images/n...ecord-icon.png

Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.
c.m.g è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Apple MacBook Air M3: chi deve davvero comprarlo? La recensione Apple MacBook Air M3: chi deve davvero comprarlo...
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
NIO inizia la produzione del sistema a 9...
Microsoft Edge consentirà di limi...
I driver NVIDIA crashano al torneo milio...
Rinviato l'ultimo lancio del razzo spazi...
CMF Buds by Nothing: gli auricolari econ...
Accordo di intesa firmato, saranno di SK...
iPhone, il supporto alla messaggistica R...
Una GeForce RTX 3080 a meno di 800 euro ...
Ecco le migliori offerte sui processori ...
Polestar presenta Polestar Charge, il se...
PyPI bersagli di un attacco malware: reg...
Putin ha chiesto al governo russo di pen...
Un display AMOLED curvo su un dissipator...
Speciale sedie da ufficio e gaming in of...
Aggiornamenti per Sony Alpha 1, Alpha 9 ...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 14:11.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www1v