Израильский программист Таль Атер утверждает, что нашел возможность подслушивать чужие разговоры через браузер Chrome. Google же существование такой угрозы отрицает.
Если верить Атеру, то он обнаружил несколько уязвимостей в ПО, отвечающем за распознавание речи, о чем и сообщил сотрудникам компании еще 13 сентября 2013 года.
Суть проблемы вот в чем. Открывая в Google Chrome сайт, на котором есть возможность делать голосовые запросы, пользователь дает согласие на использование микрофона. Если он это сделал, то на вкладке с веб-страницей отображается особый индикатор, показывающий, что голосовые запросы доступны и ведется запись. В теории должно быть так: сайт закрылся – запись оборвалась. На практике некоторые сайты открывают всплывающее окно, в котором индикатор записи почему-то не отображается. Пользователь закрывает основную страницу, а запись продолжается. Получается, что сайт «подслушивает» ни о чем не подозревающего человека!
Израильский программист также заметил, что однажды получив разрешение использовать микрофон на конкретном сайте, Chrome запоминает это и может больше не обращаться к пользователю за подтверждением. А еще Таль Атер создал эксплойт, позволяющий получить доступ к микрофону компьютера, когда пользователь уже покинул сайт, и сделал предположение, что вредоносное ПО для прослушки можно замаскировать с помощью всплывающего окна, к примеру, обычного рекламного баннера.
«На первый взгляд может показаться, что рассказать об этой уязвимости – это то же самое, что выстрелить себе в ногу! Но я уверен, что, распространив эту информацию, можно быть уверенным в максимально скором решении данной проблемы», – говорит Атер. Израильтянин также утверждает, что в сентябре прошлого года Google признал существование уязвимости и к 24 сентября создал соответствующий патч. Более того, корпорация даже назначила Атеру награду за нахождение уязвимости. Однако позже в Google почему-то передумали: премия была отменена, а работа над патчем – свернута.
Представители американской компании сделали официальное заявление о том, что все программное обеспечение, предназначенное для распознавания речи, полностью соответствует стандартам безопасности W3C (World Wide Web Consortium ). «Мы провели дополнительные исследования и установили, что непосредственной угрозы нет, т.к. пользователь должен всякий раз разрешать использовать функцию распознавания речи каждому сайту, который обращается с такой просьбой», – говорится в заявлении.
