无感知启用前置摄像头拍摄并上传测试

2021-03-29 18:06:00

围观(8042)

今天朋友发了个网址过来，打开一看有点意思，使用微信打开生成的 URL 可以实现无感知的拍摄。如果在微信上发给好友，可以轻易的获取该好友此时此刻的“人脸”。

更骚操作的是，他这个页面直接提供了源码下载。

博主下载源码简单看了一下，原理挺简单，先是获取摄像头视频录制的权限，再进行视频录制，将录制到的视频进行绘制到 Canvas. 接下来就会将这个 Canvas 的数据填充到 Input 输入框（图片的 BASE64 编码）再执行表单提交。

博主在 PC 使用 Google Chrome 和火狐浏览器测试了一下，都是提示需要允许摄像头权限才能继续，这两个浏览器安全性还是可以的。

在手机上使用微信 / QQ / 小米自带浏览器也测试了一遍，微信是直接无感知的就给了网页拍摄权限，侧面说明微信的安全做得并不完美。

而 QQ 和小米自带的浏览器都是提示需要相机 / 摄像头权限才能继续。

博主的手机应用权限设置，QQ 和微信都是给了 “使用中允许” 这样的权限。

QQ 和微信虽然都是腾讯的，但是 QQ 的安全性在这方面比微信好。

博主用的微信版本是 8.0.1

如果版本比这个高，并且无法重现这个无感知拍摄，可能微信修复了这个安全问题。

如果想体验一下，可以使用博主稍微修改了一下的版本（加上了一些提醒）：https://test.ll9.top/takePhoto

该链接随时可能删掉，所以仅供测试。

第 1 条附言 2021-03-29 18:10:06

博主的微信内置浏览器内核版本是：45521(20210302153753) 查看内核信息：http://debugtbs.qq.com

本文地址 : bubaijun.com/page.php?id=233

评论:我要评论

锤子要授权~. ~

评论时间：2021-04-30 10:41:28

@锤子 😢😢

评论时间：2021-04-30 10:43:16

@不败君 不可以

评论时间：2021-04-30 11:27:46

@不败君 唉又可以了就是玩

评论时间：2021-04-30 11:29:00

微信点完回跳转页面告诉会获取摄像头权限，但是还是拍照了

评论时间：2021-06-25 12:17:58

危险危险危险！

评论时间：2022-06-01 16:09:42

发布评论: