流行的 Screencastify Chrome 扩展修复了一个漏洞，该漏洞允许恶意网站劫持用户的网络摄像头并窃取录制的视频。但是，仍然存在可能被不道德的内部人员利用的安全漏洞。

该供应商承认了跨站点脚本 (XSS) 漏洞，并在安全研究员 Wladimir Palant 于 2022 年 2 月 14 日负责任地报告该漏洞后立即修复了该漏洞。

然而，同样的隐私和安全相关风险仍未得到解决，使用户面临来自与 Screencastify 平台合作的网站的潜在风险

Palant 决定在他的博客上发表一篇文章，警告数百万使用 Screencastify 的人潜在的风险，因为供应商在三个月后还没有完全解决这些问题。

一个方便的视频工具
Screencastify 是一款屏幕录像机、视频编辑器和媒体共享浏览器扩展，在 Chrome 网上商店的安装量超过 10,000,000。

Chrome 网上商店中的 Screencastify
安装数量可能要高得多，因为一千万是平台支持的最大下载量。

在大流行期间，该工具的受欢迎程度呈爆炸式增长，因为它是一种易于使用且功能强大的实用程序，可以证明对一系列日常任务很有帮助。

该扩展与供应商的网站集成，这是提供视频编辑功能所必需的。不幸的是，虽然这既方便又直接，但它也是风险的来源。

Google 云端硬盘和 API 访问权限
第一个问题源于 Screencastify 请求访问用户的 Google Drive 并为其帐户创建永久 Google OAuth 访问令牌。

需要此访问令牌来创建一个隐藏文件夹，该文件夹托管用户的视频项目，使用该服务上传或下载这些视频项目，无需额外的用户操作。

该平台还请求一次访问 Chrome 的 desktopCapture API、tabCapture API 和 WebRTC API 的权限，因此从用户第一次尝试录制开始就可以访问网络摄像头和基于软件的捕获功能。

在 Chrome 上请求记录 API 访问权限 (palant.info)
静音网络摄像头启动

扩展中存在的 XSS 漏洞允许任何站点启用 Screencastify 录制视频，该视频将上传到 Google Drive。同样的漏洞允许窃取 Google Drive OAuth 令牌，然后威胁者可以使用该令牌下载创建的视频以及存储在 Google Drive 上的任何其他内容。

更糟糕的是，研究人员开发了一个 PoC 漏洞利用攻击者可以用来启动 Screencastify 扩展用户的网络摄像头，而无需指示操作。

“如果您已经向挑战提交了视频并尝试提交另一个视频，则问题位于显示的错误页面中，”Palant 在他的博客文章中解释道

“这个错误页面位于固定地址下，所以可以直接打开而不触发错误条件。”

可利用的错误页面 (palant.info)
由于这里没有进行验证，如果攻击者将此链接发送到目标并诱使他们单击“查看教室”按钮，他们可能会实现 XSS 条件。

研究人员通过创建一个概念页面来开发点击劫持攻击，该页面将易受攻击的错误页面加载到一个不可见的框架中，并将按钮定位在受害者的光标下。

一旦用户单击鼠标（这是漏洞利用所需的唯一操作），Screencastify 就会检索 Google 访问令牌，从而使攻击者可以进行视频录制或 Drive 访问。

问题依然存在
虽然 Screencastify 修复了允许任何恶意网站劫持网络摄像头的 XSS 漏洞，但仍然存在可能允许员工或受感染网站以静默方式从 Screencastify 用户设备录制视频的问题。

根据 Palant 的说法，Screencastify 的域服务于使用该项目的多家公司的多个应用程序，这开辟了一个大型 XSS 攻击面。

这些公司是 Webflow、Teachable、Atlassian、Netlify、Marketo 和 ZenDesk，它们都控制着子域，在内容安全方面没有真正的保护。

据分析师称，Screencastify 的最新版本 2.69.0.4425 仍然容易受到未经授权的 API 和 Google OAuth 令牌访问的攻击，并且开始视频录制的处理程序仍然存在。

“这里似乎没有太大变化，我可以验证仍然可以在没有任何视觉线索的情况下开始网络摄像头录制。” 研究人员说。

供应商告诉 Palant，他们计划添加严格的内容安全策略，但这还没有发生，因此缺乏框架保护仍然是扩展用户面临的风险。

即使所有使用 Screencastify 的公司都解决了 XSS 缺陷，但对这些实体的信任问题仍然存在，因为选择使用该扩展程序是在委托第三方完全访问您的 Google Drive 内容。

这些网站只需被流氓员工或黑客修改这些网站，他们会再次入侵网站，从 Screencastify 用户的网络摄像头中录制视频。

ZZQIDC已就剩余问题与 Screencastify 联系，但目前尚未收到回复。