Hacker News 中文摘要

RSS订阅

Jitsi隐私漏洞可实现一键隐蔽音频视频捕获 -- Jitsi privacy flaw enables one-click stealth audio and video capture

原文链接 | HN讨论 | 2025-07-24 15:13:10

文章摘要

Jitsi存在隐私漏洞,允许攻击者通过一键操作秘密录制音频和视频,严重威胁用户隐私安全。

文章总结

Jitsi隐私漏洞:一键窃取音频和视频

Jitsi是一款开源的网络会议应用,拥有数百万的月活跃用户。然而,近期发现的一个隐私漏洞使得攻击者能够在用户不知情的情况下,通过一键操作窃取用户的麦克风和摄像头数据。

攻击场景

假设攻击者在Jitsi的公共实例上创建了一个名为MiniGinger的会议。当用户访问攻击者控制的网页CuteCats.com时,页面会在后台将用户重定向到以下链接:

https://meet.jit.si/MiniGinger#config.prejoinConfig.enabled=false

如果用户之前曾访问过其他Jitsi会议并允许其访问麦克风和摄像头,那么攻击者的会议将在后台自动运行,无需用户任何操作。通过这种方式,攻击者可以在用户毫无察觉的情况下获取其音频和视频数据。

技术细节

攻击者还可以使用以下代码,使链接在后台打开,用户可能完全不会注意到后台正在运行的Jitsi会议:

window.open(location.href) location.href= ('https://meet.jit.si/MiniGinger#config.prejoinConfig.enabled=false')

披露时间线

  1. 2025年6月17日:作者向Jitsi团队报告了这一发现。
  2. 2025年6月17日:Jitsi回应称这是一个功能,而非漏洞。
  3. 2025年6月18日:作者询问是否可以公开讨论此功能,但未收到回复。
  4. 2025年7月23日:在等待一个多月后,作者发布了这篇文章。

Jitsi的回应

Jitsi团队表示,这一功能是设计的一部分,目前没有修复的计划。作者认为,至少应该从公共实例中移除这一功能,以降低安全风险。

总结

这一漏洞的存在使得用户的隐私面临严重威胁,尤其是在公共实例上使用时。尽管Jitsi将其视为功能,但作者认为这更像是一个安全隐患,建议用户提高警惕,并呼吁Jitsi团队采取相应措施。

讨论

欢迎在评论区分享您对这一功能的看法。

评论总结

评论内容总结:

  1. 关于漏洞的疑问与讨论

    • 评论1(o11c)提出疑问,询问该漏洞是否适用于iframe。
      引用:Does this apply even for iframes, or not?
    • 评论3(unsnap_biceps)质疑自动加入音频/视频的功能是否有合理用途。
      引用:Can someone describe the feature that this is used for? I struggle to think of any valid reason for automatic joining with audio/video like that.

  2. 对漏洞的担忧与反思

    • 评论2(3eb7988a1663)表示对已打开标签页的安全性感到担忧,认为其他漏洞可能早已被利用。
      引用:Not that I use Jitsi, but I suddenly feel more embarrassed about my number of open tabs. Some other exploit could have silently been launched long ago.
    • 评论7(markasoftware)指出,类似的隐蔽音频和视频捕获漏洞其实很常见。
      引用:this sort of vulnerability (stealth audio and video capture) is surprisingly common.

  3. 对漏洞的严重性认定

    • 评论8(cornholio)明确表示这是一个重大漏洞,而非功能,属于权限/凭证劫持。
      引用:This is clearly a major vulnerability and not a feature, it's a permissions/credentials hijack.

  4. 对漏洞的亲身经历与讨论

    • 评论4(firefax)提到自己在疫情期间可能已经遭遇过该漏洞,并愿意私下讨论。
      引用:Is this understood to be new? I think I got hit with this quite a long time ago.
    • 评论5(Telemakhos)分享个人经验,表示每次使用Jitsi时都需要明确授权麦克风和摄像头的使用。
      引用:Maybe my Mac is set to be paranoid, but can you share video without being asked to give the mic and camera permission to operate?

  5. 对漏洞的幽默与轻松评论

    • 评论6(spaceport)以幽默的方式表达对安全研究的兴趣,希望看到以猫咪为主题的漏洞分析。
      引用:Where do I pay to read security research writeups with only cats used in explainer images and examples? This exploit is cute.

总结:评论主要围绕Jitsi漏洞的性质、影响和个人经历展开,既有对漏洞严重性的担忧,也有对功能合理性的质疑,同时夹杂着幽默轻松的讨论。