近日，Web开发者Tal Ater在Talater 上称他在去年就发现Chrome浏览器上存在bug，并报告给Google，但是到今天bug仍未得到解决，恶意网站利用bug把Chrome变成了一个窃听器，可以记录你在办公室或家里面说的每一句话，只要Chrome在运行。

据Tal Ater本人说，他在建annyang（一个流行的JavaScript语音识别库）的时候就发现了这个漏洞，因为工作的性质，他发现了Chrome上的 多个漏洞，然后把它们汇集到一起。去年9月13号，他向Google的安全团队报告了这些漏洞。到9月19日，他们的工程师便确定了这些bug并建议修复 它们。在9月24号那天，修复漏洞的一个补丁准备好了，三天后，Tal Ater发现自己获得了Chromium安全奖金提名（奖金可高达三万美元）。

从 收到Tal Ater的初步报告到解决问题，Google工程师耗时不到两个星期，Tal Ater对此欣喜若狂，因为他的报告起作用了。但后来，一个半月过去了，漏洞修复解决方案并没有运用到用户的桌面端，于是Tal Ater问他们为什么？他们说正在标准组里进行讨论，暂时无法答复，可直到今天，差不多四个月过去了，Chrome浏览器的bug仍然存在，而 Google依然在等待标准组商定最佳决策。

恶意网站如何窃听用户？

当用户访问网站时，有些网站会请求使用用 户的麦克风，如果用户接受，浏览器就会接收用户的谈话，当用户关闭麦克风或离开网站时，浏览器就会停止接收，这些是安全的网站。然而大部分使用语音识别的 网站，选择使用安全的HTTPS连接，这不意味着这些网站就是安全的，只能说明它们购买了5美元的安全证书。当你使用HTTPS连接到恶意网站时，若允许 该恶意网站使用你的麦克风，Chrome浏览器便会记住你的选择，从此以后一直允许该网站对你进行监听，且无需经过你的同意。这个是可以理解的，因为只要 Chrome给你明确提示，你的说话被记录了，那么这些恶意网站不敢随便在后台监听你的说话。

可怕的事是这样发生的：当你点击语音识别网站上的开始或者停止按钮的时候，恶意网站伪装成为普通的隐藏广告或者其他类似产品，监听你的通话。更糟糕的是，即便你发现了这个窗口，Chrome也不会给出任何提示，不会告诉你这些窗口开启了语音识别功能。

文章来自：Talater