เบราว์เซอร์โครมมีช่องทางที่ทำให้เว็บไซต์สามารถแอบบันทึกภาพและเสียงจากคอมพิวเตอร์ของคุณ โดยที่คุณอาจไม่สังเกตเห็น
Ran Bar-Zik นักพัฒนา AOL รายงานปัญหาไปยังกูเกิล เมื่อวันที่ 10 เมษายน 2017 ที่ผ่านมาแล้ว แต่กูเกิลปฏิเสธว่าไม่ใช่ปัญหาด้านความปลอดภัย เป็นปัญหาของผู้ใช้งาน จึงไม่มีความจำเป็นต้องรีบออกแพตช์แก้ไขให้ ยกตัวอย่างเช่นบนโทรศัพท์ก็ไม่มีจุดสีแดงนี้เหมือนกัน (แต่จะมีสัญลักษณ์ที่ status bar)
โดยปกติแล้ว การที่เว็บไซต์จะเข้าถึงกล้องและไมโครโฟนของเครื่องเรา ผู้ใช้จำเป็นต้องกดอนุญาตในครั้งแรกเสียก่อน หลังจากนั้น เว็บไซต์จะสามารถเข้าถึงเมื่อไรก็ได้ จนกว่าคุณจะยกเลิกสิทธิ์นั้น โดยโครมจะมีสัญลักษณ์จุดสีแดงแสดงบนแท็บ เพื่อเตือนผู้ใช้ว่าเว็บไซต์นั้นกำลังเข้าถึงภาพและเสียงของคุณอยู่
แต่หากเรียกหน้าต่างป็อปอัปแบบ headless window ด้วยคำสั่งจาวาสคริปต์ เว็บไซต์จะสามารถบันทึกภาพและเสียง โดยไม่มีสัญลักษณ์จุดสีแดงเพื่อแจ้งเตือนผู้ใช้ (แต่มีสัญลักษณ์กล้อง) ดังนั้น หากผู้ใช้พลาดให้สิทธิ์การเข้าถึงกล้องและไมโครโฟนไปก่อนหน้านี้แล้ว เว็บไซต์อาจจะเรียกป็อปอัปเล็ก ๆ ขึ้นมาเพื่อบันทึกภาพ และรีบปิดไป ก่อนที่ผู้ใช้จะสังเกตเห็นได้
Bar-Zik ได้ปล่อยเว็บไซต์ตัวอย่าง เพื่อให้ทดลองการทำงาน โดยสามารถกดอนุญาตสิทธิ์ และเรียกป็อปอัปเพื่อบันทึกภาพและเสียงได้
ทางที่ดี ผู้ใช้ควรระมัดระวังในการกดอนุญาตสิทธิ์เข้าถึงต่าง ๆ เพื่อความปลอดภัยของผู้ใช้
ที่มา - The Hacker News
Comments
ผมคิดว่าพาดหัวอาจจะเกินจริงไปหน่อยนะครับ อย่างที่เนื้อหาบอกว่าต้องขออนุญาตครั้งแรก และมีรูปกล้องอยู่ใน URL อาจจะเปลี่ยนเป็น "โดยไม่มีสัญลักษณ์จุดแดงเหมือนปกติ"
ไม่เกี่ยวกับข่าวโดยตรง ผมคิดว่าการโจมตีแบบนี้มันจำกัดมากๆ เดสก์ทอปอย่างในข่าวนี้ตัวกล้องมักมีไฟแสดงการทำงานของตัวเองอีกชั้นอยู่แล้ว
lewcpe.com, @wasonliw
ขอบคุณครับ
จริง ๆ ผมว่าเป็นปัญหาของผู้ใช้งาน ผมเห็นบางคนมีปุ่ม Allow ให้กดก็กดเลย โดยไม่ได้สนใจว่าเว็บไซต์ขอสิทธิ์อะไรครับ
ใช่ครับ