Как
сообщил
израильский эксперт по кибербезопасности Таль Атер (Tal Ater),
популярный интернет-браузер Google Chrome содержит ряд уязвимостей,
позволяющих злоумышленникам прослушивать все разговоры жертвы.
Дело в том, что ранее в этом году разработчики реализовали в браузере
поддержку голосового ввода, используя который пользователи могут
открывать различные сайты. В связи с этим, появилось много сайтов,
предлагающих услуги по распознаванию речи.
Для того чтобы корректно различать слова пользователя, такие ресурсы
запрашивают доступ к микрофону компьютера. Если доступ предоставлен, в
браузере отображается красный индикатор, который сообщает пользователю о
том, что его слушают.
В идеале, при закрытии браузера прослушивание должно прекращаться.
Однако, как заявил Атер, данный функционал может использоваться
злоумышленниками в собственных целях.
«Большинство сайтов, распознающих речь пользователя, используют
безопасное соединение по HTTPS, однако это совсем не означает, что
пользователь защищен, а только указывает на то, что владелец сайта
потратил $5 на установку сертификата, - отмечает исследователь. – Когда
пользователь предоставляет сайту доступ к микрофону, Chrome запоминает
его выбор, и сможет предоставлять доступ к микрофону в будущем без
запроса о разрешении. В этом нет ничего плохого до тех пор, пока
индикатор сообщает, что браузер подключен к микрофону и слушает, а сайт
не может прослушивать разговоры в фоновом окне, спрятанном от владельца
компьютера».
По словам эксперта, дело в том, что не все пользователи обращают
внимание на важную деталь – когда на сайте, способном распознавать речь,
нажимается кнопка старта прослушивания, нет гарантии, что ресурс не
запустил свой функционал во всплывающем скрытом окне. Это окно может
бездействовать, пока открыт браузер, а как только Google Chrome будет
закрыт, начинает запись разговоров пользователя без каких-либо запросов и
разрешений.
Более того, даже если пользователь и заметил это всплывающее окно и
закрыл его, есть вероятность того, что индикатор в браузере не будет
отображать запись голоса пользователя, в то время, как все разговоры
продолжат передаваться в Сеть.
Атер отмечает, что обнаружил возможность осуществления подобной атаки в
сентябре прошлого года, когда работал над JavaScript –библиотекой
распознавания речи «JavaScript Speech Recognition».
Он рассказал об обнаруженных уязвимостях разработчикам Google, которые
пообещали устранить бреши и в ближайшее время выпустить обновление.
Однако исправление уязвимостей так и не увидело свет, и на запрос Атера
спустя 4 месяца в компании заявили, что проводят обсуждение с
Консорциумом по WWW (World Wide Web Consortium), по поводу подходящего
времени для релиза.
Эксперт отмечает, что обезопасить себя от слежки можно вручную, изменив
настройки браузера. Сделать это можно так: Настройки-Показать
расширенные настройки: Настройки содержимого: Запретить сайтам получать
доступ к камере и микрофону.