2014年1月24日

Chrome 關閉後仍可竊聽 語音識別成元兇

雖然我們已經習慣了與手機中的Siri、汽車語音控制系統甚至是谷歌眼鏡聊天,但是對著電腦說話仍然讓我們覺得很奇怪。不過相信經常使用谷歌搜索都 人知道,在訪問Google.com之後在搜索框的右側有一個小小的麥克風圖標,而按下這個按鈕瀏覽器就會詢問是否允許使用麥克風並且開始使用語音搜索。

但是這個被許多用戶視作為非常方便的功能現在已經有可能被非法的惡意網站利用,將谷歌Chrome瀏覽器變成竊聽器,即使當前標籤或瀏覽器被關閉仍然可以繼續被竊聽

漏洞詳情

本週一位名叫Tal Ater的開發人員在測試語音識別應用時發現了非常奇怪的現象,由於Chrome瀏覽器的麥克風設定問題,因此任何支持語音識別的網站,幾乎可以通過一個彈出窗口,在後台無限地進行「錄製」。而這個漏洞可以從電腦麥克風監聽用戶的談話。如果中招的話,即便未開啟Chrome瀏覽器,或是未主動使用麥克風,使用者的談話也會被竊聽。而Ater還特意錄製了一段視頻來印證了自己的發現。

Ater表示,他發現這個問題出在Chrome瀏覽器的麥克風許可政策。如果用戶允許支持HTTPS的網站在Chrome瀏覽器中使用麥克風,則該 網站的任何實例都可以獲得該許可,包括不受注意的在後台彈出的窗口,且由於代碼是在另外的窗口執行的,所以Chrome的錄製圖標並不會顯示出來。因此從 表面上看,該網站並沒有訪問計算機。而唯一的解決辦法是人工撤銷麥克風權限許可,但大多數用戶一般都不會考慮到這一點,甚至根本都知道這一點。

更糟糕的是,即使用戶已經意識到了有窗口在運行並且關閉,只要有其它常規的Chrome標籤存在,這種麥克風的激活狀態仍然不會改變,並且依然在 「錄音中」的狀態。而這將是一個非常令人不安的狀況,如果一旦有惡意網站來利用Chrome的這個語音搜索機制監聽用戶的離線內容,將會給用戶的安全和隱 私造成非常大的影響。

Chrome关闭后仍可窃听 语音识别成元凶

谷歌公司的反應

Ater表示他曾經早在去年9月就向谷歌發出了關於此事的警告,之後才將漏洞進行公開。谷歌公司曾向Ater表態會修復這些漏洞,但他在4個月後發現漏洞依然存在。

不過谷歌公司在一份安全生聲明中就已經表示用戶的安全是最重要的事情,而Chrome瀏覽器的語音識別功能在設計時就已經考慮了使用的安全性和隱 私。谷歌認為,Chrome用戶必須靠點擊一個按鈕,才可以開啟語音識別功能,網站才可以接受電腦的麥克風訊號,而且這一功能是兼容網頁標準的。另外,有 的網站會設置為,每次在被訪問時均跳出權限申請請求提示。

而最終谷歌公司決定不做改動,是因為用戶在具體使用中,一定會允許網站訪問自己的麥克風,另外也是因為要保證這一語音識別工具與網頁標準兼容。據悉,谷歌公司現正準備使用更顯眼的提示,讓用戶清楚麥克風的權限被授予到了哪些網站手中

因此從目前來看,谷歌公司雖然已經針對此問題召開了內部會議討論,但是依然沒有是否將此視作真正的漏洞修復而達成共識。因此希望使用過Chrome 語音功能的用戶採取手動的方式將麥克風進行關閉,拒絕惡意網站控制麥克風,只要通過六步操作查看哪些網站獲得權限,並且拒絕訪問這些惡意網站即可。

詳細步驟為點擊Chrome瀏覽器的「Chrome菜單」、點選「設置」、點選「顯示高級設置」、點選「隱私」下的「內容設置」、點選「媒體」下的「管理例外」、然後就可以看到獲得權限的網站列表。

沒有留言:

發佈留言