$1000 Hidden Browser Permission Execution via Picture-in-Picture Overlay
Hi, I’m a bug bounty hunter and cybersecurity enthusiast who began my journey in 2023. I enjoy exploring and discovering hidden vulnerabilities in browsers, applications, and various platforms—especially those that are rarely examined by others. My focus is on browser and website security issues. I also share my findings and educational content through my YouTube channel, Lazy Cyber Security. https://8da993bf3fa4.ngrok-free.app
Saya menemukan bug pada browser di mana fitur Picture-in-Picture (PiP) dapat menutupi dialog permission, seperti permission akses kamera dan permission sensitif lainnya.
Meskipun dialog permission tersebut tertutup oleh overlay PiP, permission tetap dapat dieksekusi.
Pada bug yang saya temukan, PiP dapat menutupi permission open camera, dan permission tersebut dapat dijalankan hanya dengan menekan tombol Enter. Akibatnya, kamera akan menyala tanpa sepengetahuan user/victim, karena dialog permission tidak terlihat oleh user akibat tertutup oleh PiP.
Bug ini menunjukkan bahwa permission masih menerima input meskipun tidak terlihat, sehingga memungkinkan eksekusi permission dengan interaksi user yang sangat minim.
Bagi kalian yang tidak tau picture in picture itu apa kalian bisa baca ini
https://developer.chrome.com/docs/web-platform/document-picture-in-picture
![[Bug Bounty] Race Condition: Redeeming Single-Use Coupon Multiple Times](/_next/image?url=https%3A%2F%2Fcdn.hashnode.com%2Fres%2Fhashnode%2Fimage%2Fupload%2Fv1770116456998%2F629ff44d-4a0a-4445-91bf-c37d3e84c104.jpeg&w=3840&q=75)