Exploit do Chrome escuta conversas sem usuário saber

chromeO Google vem tentando há algum tempo incorporar recursos de reconhecimento de voz nos seus aplicativos web. Mas um exploit no Chrome que consegue transcrever secretamente suas conversas a não ser que você esteja prestando atenção não é o que a empresa tinha em mente.

Sempre que um site quer acessar seu microfone, o Chrome pede por permissão. Uma caixa de diálogo aparece no topo da janela do navegador, e após você dar OK, um ícone aparece na área da aba, te informando que o microfone está sendo usado. Feche a aba ou visite outro site, e o acesso ao microfone deve ser interrompido.

Mas como o desenvolvedor Tal Ater descobriu, sites maliciosos podem usar janelas pop-under para continuar ouvindo o que o usuário fala mesmo depois de ele ter ido para outro site ou fechado a janela principal do navegador. Ao contrário de uma aba normal do browser, as janelas pop-under não mostram o status de gravação, e podem continuar ouvindo por todo o tempo que estiverem abertas. O exploit também pode permanecer dormente até que o usuário fale determinadas frases chave.

O “truque”, segundo Ater, está no uso das permissões HTTPS do site. O Chrome lembra que você já deu ao microfone os privilégios de um site HTTPS, por isso você não precisa clicar em um botão de aprovação sempre que visita-lo. Infelizmente, isso também permite que o site abra uma janela pop-under e continue acessando o microfone sem permissão expressa.

Sim, as chances de um usuário habilitar o reconhecimento de voz em um site malicioso e então ficar alheio às janelas pop-under parecem pequenas. Talvez seja por isso que o Google não pareça muito preocupado em consertar logo o problema. Ater afirma que o Google está esperando o grupo de padrões W3C decidir o curso apropriado da ação, quatro meses depois de o desenvolvedor trazer o assunto à tona.

Em um comunicado ao Ars Technica, o Google disse que não vê uma ameaça imediata uma vez que os usuários precisam, primeiramente, habilitar o reconhecimento de voz para cada site. “O recurso está em acordo com o padrão atual da W3C, e continuamos trabalhando em melhorias”, afirmou a empresa em um comunicado oficial.

Enquanto isso, você pode ver quais sites possuem privilégios de microfone no Chrome ao acessar chrome://settings/contentExceptions#media-stream. Também é possível cortar completamente o acesso ao microfone acessando tochrome://settings/content, indo até a seção Media e selecionar a opção “Do not allow sites to access my camera and microphone”.

Fonte: IDG NoW!

Anúncios

2 pensamentos sobre “Exploit do Chrome escuta conversas sem usuário saber

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s