Эксперт обнаружил уязвимости в браузере, превращающие его в средство слежки за владельцем компьютера.
Как сообщил израильский эксперт по кибербезопасности Таль Атер (Tal Ater), популярный интернет-браузер Google Chrome содержит ряд уязвимостей, позволяющих злоумышленникам прослушивать все разговоры жертвы.
Дело в том, что ранее в этом году разработчики реализовали в браузере поддержку голосового ввода, используя который пользователи могут открывать различные сайты. В связи с этим, появилось много сайтов, предлагающих услуги по распознаванию речи.
Для того чтобы корректно различать слова пользователя, такие ресурсы запрашивают доступ к микрофону компьютера. Если доступ предоставлен, в браузере отображается красный индикатор, который сообщает пользователю о том, что его слушают.
В идеале, при закрытии браузера прослушивание должно прекращаться. Однако, как заявил Атер, данный функционал может использоваться злоумышленниками в собственных целях.
«Большинство сайтов, распознающих речь пользователя, используют безопасное соединение по HTTPS, однако это совсем не означает, что пользователь защищен, а только указывает на то, что владелец сайта потратил $5 на установку сертификата, - отмечает исследователь. – Когда пользователь предоставляет сайту доступ к микрофону, Chrome запоминает его выбор, и сможет предоставлять доступ к микрофону в будущем без запроса о разрешении. В этом нет ничего плохого до тех пор, пока индикатор сообщает, что браузер подключен к микрофону и слушает, а сайт не может прослушивать разговоры в фоновом окне, спрятанном от владельца компьютера».
По словам эксперта, дело в том, что не все пользователи обращают внимание на важную деталь – когда на сайте, способном распознавать речь, нажимается кнопка старта прослушивания, нет гарантии, что ресурс не запустил свой функционал во всплывающем скрытом окне. Это окно может бездействовать, пока открыт браузер, а как только Google Chrome будет закрыт, начинает запись разговоров пользователя без каких-либо запросов и разрешений.
Более того, даже если пользователь и заметил это всплывающее окно и закрыл его, есть вероятность того, что индикатор в браузере не будет отображать запись голоса пользователя, в то время, как все разговоры продолжат передаваться в Сеть.
Атер отмечает, что обнаружил возможность осуществления подобной атаки в сентябре прошлого года, когда работал над JavaScript –библиотекой распознавания речи «JavaScript Speech Recognition».
Он рассказал об обнаруженных уязвимостях разработчикам Google, которые пообещали устранить бреши и в ближайшее время выпустить обновление. Однако исправление уязвимостей так и не увидело свет, и на запрос Атера спустя 4 месяца в компании заявили, что проводят обсуждение с Консорциумом по WWW (World Wide Web Consortium), по поводу подходящего времени для релиза.
Эксперт отмечает, что обезопасить себя от слежки можно вручную, изменив настройки браузера. Сделать это можно так: Настройки-Показать расширенные настройки: Настройки содержимого: Запретить сайтам получать доступ к камере и микрофону.
Источник: securitylab.ru.
|