Chrome tồn tại lỗi nghiêm trọng cho phép trang web ghi âm, quay lén người dùng

Một nhà nghiên cứu bảo mật vừa phát hiện ra lỗ hổng nghiêm trọng trên trình duyệt Chrome phổ biến nhất thế giới. Hãy cẩn thận khi duyệt web nếu bạn thấy xuất hiện một chấm tròn đỏ trên tab trình duyệt. Lỗi này cho phép các trang web có thể lén ghi âm và quay phim mà người dùng không hề hay biết. Trong khi đó, Google không hoàn toàn xem đây là một lỗi bảo mật.

Các chuyên gia bảo mật cho biết tin tặc có thể lợi dụng lỗ hổng này làm vũ khí cho các chiến dịch tấn công mạng, theo dõi hoạt động của bất kỳ người dùng internet nào thông qua những trang web mà họ đã truy cập bằng trình duyệt Chrome. May mắn là khả năng xấu này chỉ có thể xảy ra nếu chủ nhân của thiết bị duyệt quyền sử dụng các tính năng micro và camera của thiết bị

Song Google lại không cho rằng đây là một loại lỗ hổng bảo mật đúng nghĩa, ám chỉ vấn đề chưa thể giải quyết dứt điểm. Chuyên gia đã phát hiện ra lỗ hổng, ông Bar-Zik trả lời tờ BleepingComputer cho biết, ông phát hiện lỗi khi xử lý một trang web chạy mã WebRTC, một giao thức cho phép phát video và âm thanh trực tuyến trên Internet theo thời gian thực.

Khi âm thanh và video được ghi lại trên Chrome, một chấm tròn đỏ xuất hiện trên tab thông báo quá trình phát trực tuyến đang hoạt động (như hình trên). Tuy nhiên, Bar-Zik nhận thấy mã thu âm không phải lúc nào cũng chạy trên tab Chrome theo quy định cho phép. Thay vào đó, lỗi trình duyệt cho phép ông khởi chạy pop-up để bắt đầu ghi âm và quay video mà không làm xuất hiện chấm tròn đỏ.

Mặc dù phủ nhận đây không phải là một lỗi bảo mật trên sản phẩm của mình, Google vẫn tiếp thu ý kiến và tìm phương thức giải quyết (nghĩa là người phát hiện lỗi sẽ không được thưởng theo chính sách của Google). Phía Google chỉ coi đó như một lỗi thực sự nếu như không xuất hiện vòng tròn màu đỏ thông báo ở tất cả các phiên bản trình duyệt. Tuy nhiên, lỗ hổng này hoàn toàn có thể bị khai thác.

Người dùng nên cảnh giác trong vấn đề cấp phép cho các trang web để tránh hậu quả đáng tiếc vì có thể vô tình chấp nhận các điều khoản để đồng ý cấp phép cho tin tặc quyền truy cập tính năng phần cứng.

Xuân Dung