Chrome umožňuje odposlouchávání uživatelů

26. 1. 2014

Sdílet

 Autor: © olly - Fotolia.com
Vývojář objevil v internetovém prohlížeči zranitelnost, kterou lze využít k odposlouchávání dění v okolí počítače. Podle Googlu jde o vlastnost ukotvenou ve specifikacích W3C, která není nebezpečná.

Izraelský kóder Tal Ater na chybu narazil při vývoji vlastního softwaru pro rozpoznávání lidské řeči.

Přestože Google přišel na způsob, jakým lze chybu snadno opravit, již v říjnu loňského roku, opravnou aktualizaci podle Atera dosud nevydal. Podle Googlu se tak nestalo, protože chyba nepředstavovala pro uživatele vážnou hrozbu.

„I když zrovna nejste u počítače, celá vaše konverzace a všechny vaše telefonní hovory mohou být nahrávány a zneužity,“ napsal ve svém blogovém příspěvku Ater.

Chyba se prý objeví ve chvíli, kdy se škodlivá webová stránka pokusí změnit způsob, jakým Chrome pracuje s rozpoznáváním řeči.

Běžná praxe v Chromu je taková, že uživatelé musejí udělit ruční potvrzení každé webové stránce, která žádá o přístup k jejich mikrofonu. Po udělení povolení pak Chrome uživatele na každé používání mikrofonu upozorní blikající červenou tečkou v záložce daného webu.

Ve videu přiloženém k článku Ater názorně ukazuje, jak mohou útočníci pomocí speciálního kódu zneužít udělená povolení ke spuštění skrytého okna, které aktivuje systém pro rozpoznávání řeči.

„Škodlivé stránky, které jste jednou navštívili, pak mohou v odposlouchávání pokračovat i poté, co z nich odejdete. Dokud neukončíte samotný Chrome, nemůžete si být svým soukromím jisti,“ napsal Ater.

Google byl podle Atera o chybě informován již loni v říjnu a velmi brzy přišel na způsob, jak ji odstranit. V aktualizacích se však oprava zatím neobjevila.

bitcoin školení listopad 24

Společnost Google se ke zprávě vyjádřila slovy PR manažerky pro ČR Janky Miklík Zichové: „Bezpečí našich uživatelů je pro nás nejvyšší prioritou, a i zmíněná funkce pro rozpoznávání řeči byla navržena v souladu s ochranou soukromí a bezpečností. Poté, co jsme to znovu prošetřili, nadále věříme, že zde není žádná bezprostřední hrozba, jelikož uživatel musí nejdřív funkci rozpoznávání řeči povolit, a to na každé stránce, která o to žádá. Tato funkce je v souladu se stávajícím standardem W3C, a my ji budeme samozřejmě nadále vylepšovat."