LINUX.ORG.RU
ФорумSecurity

firefox 3.0.8, js, доступ на запись в sysfs ?


0

0

Вцера вышел на www.skype.com, после загрузки страницы включилась камера. Я припух ... Если можно включить камеру, значит можно так-же и выключить fan-ы например, да и вообще. Если это конечно сделано через sysfs ... Просто в голову ничего кроме, не приходит. Уж не напрямую-же firefoх с девайсом коммуницирует ...


Ответ на: комментарий от isden

js включен ? флаш плагин активирован ? нашел в коде страницы обращение eluminate.js, код обфускированый, да и я в js не ни уха ни рыла.

pazak
() автор топика
Ответ на: комментарий от isden

Только что проверили на другом нотбуке. У сотрудника, лампочка камеры просто включилась на короткое время. Тоже линукс и тоже firefoх и тоже флаш.

pazak
() автор топика
Ответ на: комментарий от pazak

я под оперой пробовал )) попробуй флэш для этого сайта запретить и потестить. у меня есть очень сильные подозрения что средствами JS такую штуку с камерой не провернуть.

isden ★★★★★
()

как вариант примера "включения" камеры обычным лузером (без эскалации прав):

#!/bin/sh
mplayer -fps 15 tv:// -tv driver=v4l2:device=/dev/video0

sda00 ★★★
()
Ответ на: комментарий от Lumi

>> А этот лузер точно обычный? Что скажет про него id?
совершенно стандартный. предполагается, что результат загрузки v4l (и активации /dev/video* или /dev/v4l/* ) даст нам +r, что собсно de-facto и имеем на большинстве систем. вопрос скорее в том, как рассматривать/контролировать дефолтные пресеты по созданию новых "зверьков" и в обязательном внимании к пресетам hal/dbus + прочая...

sda00 ★★★
()

Значит, оно в sysfs уже включено было, и просто кто-то обратился к /dev/video0. Однако, если flash это делает без разрешения, то это либо баг, либо сознательно оставленный бэкдор, и следует нафиг снести плагин.

INFOMAN ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security