Уязвимость в браузере Chrome позволяет подслушивать разговоры пользователей

Новости

Сейчас никого уже не удивляют голосовые команды Siri, обращения к автомобилю, возможность задавать вопросы собственным очкам, однако, разговоры с компьютером все еще кажутся необычными. Впрочем, Google уже активно работает над подобным функционалом, о чем свидетельствует кнопка распознавания речи, расположенная под строкой поиска на Google.com.

Google распространяет вредоносное ПОИсследователь из Израиля Тал Алтер обнаружил в Google Chrome уязвимость, эксплуатация которой позволяет превратить браузер в устройство для подслушивания разговоров ничего не подозревающего пользователя. Злоумышленники могут записывать речь пока Chrome открыт.

«Я обнаружил этот эксплоит, работая с популярной библиотекой распознавания речи на JavaScript — annyang. Во время работы я нашел множественные уязвимости в Chrome, и я разработал эксплоит, позволяющий скомбинировать их в единое целое», — сообщил Алтер.

Уязвимость в браузере Chrome13 сентября прошлого года эксперт лично сообщил о своем открытии экспертам по безопасности Google. 19 сентября инженеры компании обнаружили уязвимости и, предположительно, исправили их, а 24 – был готов патч. Алтер даже был номинирован на получение премии за найденные уязвимости в рамках поощрительной программы Chromium’s Reward Panel.

«Как я и предполагал, инженеры Google доказали свой талант и устранили уязвимости менее, чем за 2 недели после моего сообщения. Я был в восторге — система работала», — отметил исследователь.

Уязвимость в браузере Chrome

Тем не менее, по прошествии определенного времени выпущенные исправления не принесли ожидаемого результата. Алтер поинтересовался у Google, почему пользователи так и не получили патчи. Представители компании ответили, что дальнейшие действия по поводу выпуска исправлений все еще находятся на стадии обсуждения. С тех пор прошло уже четыре месяца, а Google все еще ведет переговоры, в то время как браузер по-прежнему уязвим.

Как работает уязвимость? Когда пользователь заходит на сайт, использующий технологию распознавания речи, ему предлагается использовать микрофон. Соглашаясь, пользователь может руководить своими действиями на сайте с помощью голосовых команд. Многие подобные ресурсы используют защищенный протокол передачи данных HTTPS. Это вовсе не означает, что сайт безопасный, просто его владельцы купили цифровой сертификат за $5.



Chrome
«запоминает», что на определенном ресурсе пользователь позволил использование технологии распознавания голоса, и при следующем посещении сайта разрешает ее автоматически, без предварительного запроса. Если пользователь выключил данную функцию, открывается еще одно, скрытое окно, которое продолжает «подслушивать» его разговор. Стоит отметить, что это окно абсолютно не заметно для пользователя, который даже не догадывается о его существовании. Код эксплоита в настоящее время доступен на GitHub.

Смотрите также:

Пожалуйста, оцените статью

Средняя оценка / 5. Количество оценок:

Оценок пока нет. Поставьте оценку первым.