浏览器变窃听器,Chrome发现重大bug
作者:星期五, 一月 24, 20140

chrome

近日,Web开发者Tal Ater在Talater 上称他在去年就发现Chrome浏览器上存在bug,并报告给Google,但是到今天bug仍未得到解决,恶意网站利用bug把Chrome变成了一个窃听器,可以记录你在办公室或家里面说的每一句话,只要Chrome在运行。

据Tal Ater本人说,他在建annyang(一个流行的JavaScript语音识别库)的时候就发现了这个漏洞,因为工作的性质,他发现了Chrome上的 多个漏洞,然后把它们汇集到一起。去年9月13号,他向Google的安全团队报告了这些漏洞。到9月19日,他们的工程师便确定了这些bug并建议修复 它们。在9月24号那天,修复漏洞的一个补丁准备好了,三天后,Tal Ater发现自己获得了Chromium安全奖金提名(奖金可高达三万美元)。

从 收到Tal Ater的初步报告到解决问题,Google工程师耗时不到两个星期,Tal Ater对此欣喜若狂,因为他的报告起作用了。但后来,一个半月过去了,漏洞修复解决方案并没有运用到用户的桌面端,于是Tal Ater问他们为什么?他们说正在标准组里进行讨论,暂时无法答复,可直到今天,差不多四个月过去了,Chrome浏览器的bug仍然存在,而 Google依然在等待标准组商定最佳决策。

恶意网站如何窃听用户?

当用户访问网站时,有些网站会请求使用用 户的麦克风,如果用户接受,浏览器就会接收用户的谈话,当用户关闭麦克风或离开网站时,浏览器就会停止接收,这些是安全的网站。然而大部分使用语音识别的 网站,选择使用安全的HTTPS连接,这不意味着这些网站就是安全的,只能说明它们购买了5美元的安全证书。当你使用HTTPS连接到恶意网站时,若允许 该恶意网站使用你的麦克风,Chrome浏览器便会记住你的选择,从此以后一直允许该网站对你进行监听,且无需经过你的同意。这个是可以理解的,因为只要 Chrome给你明确提示,你的说话被记录了,那么这些恶意网站不敢随便在后台监听你的说话。

可怕的事是这样发生的:当你点击语音识别网站上的开始或者停止按钮的时候,恶意网站伪装成为普通的隐藏广告或者其他类似产品,监听你的通话。更糟糕的是,即便你发现了这个窗口,Chrome也不会给出任何提示,不会告诉你这些窗口开启了语音识别功能。

文章来自:Talater

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章