logistic ready

Fachportal für Intralogistik

Ein Fehler in der Google Chrome-Erweiterung ermöglicht es Ihnen, Ihre Webcam auf Ihrem Computer aufzuzeichnen

Die beliebte Screencastify-Erweiterung, mit der Sie Ihren Computer aufzeichnen und Videos direkt vom Google Chrome-Browser aus bearbeiten können, hat eine Lösung für eine Schwachstelle angekündigt, die es böswilligen Akteuren ermöglichte, die Kontrolle über die Webcams Ihres Computers zu übernehmen und Videos aufzuzeichnen. Die App hat laut ihrer offiziellen Seite im Google Web Store mehr als 10 Millionen Downloads erzielt.

Der Fehler wurde ursprünglich im Februar 2022 vom Standardsicherheitsforscher Wladmir Palant detailliert beschrieben, der die Schwachstelle den Entwicklern der Erweiterung meldete. Während der kritische Fehler ausgelöst wurde, wurden andere Probleme, die der Experte angesprochen hat, wie z. B. Datenschutzmängel in der Lösung, noch nicht behoben.

Eine Zugriffsaufforderung, die angezeigt wird, wenn Sie die Screencastify Chrome-Erweiterung zum ersten Mal starten. (Foto: Klon / Palant.info)

Der behobene Fehler ist darauf zurückzuführen, dass Screencastify, um eigene Videobearbeitungsoptionen anzubieten, sich direkt mit der Website seiner Entwickler verbindet, mit einer XSS-Schlupfstelle (über die Programmierseiteeine Art bösartiger Code-Injection-Angriff auf Webanwendungen) auf der Seite vorhanden ist und es somit böswilligen Akteuren ermöglicht, Aufzeichnungen ohne Wissen des Benutzers zu starten.

Noch gefährlicher ist, dass Kriminelle Zugriff auf den Cloud-Speicher der Benutzer erhalten und jede darauf gespeicherte Datei herunterladen können, da die App Zugriff auf Google Drive benötigt, um aufgezeichnete Videos zu laden, und über ein permanentes OAuth-Token verfügt.

Auch mit dem Fix bleiben die Sicherheitsrisiken der Chrome-Erweiterung bestehen

Selbst wenn der Fehler bereits behoben ist, gibt es laut Experte Wladmir Palant immer noch Sicherheitsrisiken in Screencastify, das immer noch die geheime Aufnahme von Videos über die Erweiterung erlaubt.

Der Forscher behauptet, dass dies daran liegt, dass die für die Videoverarbeitung verwendete Domain Screencastify auch von mehreren anderen Unternehmen wie Atlassian und ZenDesk verwendet wird – und der betreffende XSS-Fehler möglicherweise noch nicht behoben wurde. beim

Siehe auch  Fall Guys kündigt Ratchet & Clank-Event in neuem Trailer anائي

Aber selbst in der neuesten Version von Screencastify können die oben gemeldeten Probleme immer noch von anderen Domänenbenutzern missbraucht werden, wodurch Benutzer und ihre Privatsphäre gefährdet werden.

Für Palant sagten die Entwickler von Screencastify, dass sie das Problem überwachen und Wege sehen, ihre Benutzer zu schützen, aber obwohl eine endgültige Lösung nicht verfügbar ist, sagt der Experte, dass das Risiko für die Benutzer der Erweiterung weiterhin besteht.

Quelle: Palant.info