CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/01/2014

Una vulnerabilidad de Chrome permitiría escuchar lo que dices

Chrome El desarrollador Tal Ater (@talater) ha anunciado una vulnerabilidad en el navegador Google Chrome que podría permitir a un atacante remoto escuchar todas las conversaciones que se produzcan en el entorno del ordenador.

Ater descubrió el problema mientras trabajaba con annyang (una conocida librería JavaScript de reconocimiento de voz).

De este modo, una página maliciosa puede activar el micrófono del ordenador sin conocimiento del usuario y escuchar cualquier cosa que se diga en su entorno, incluso después de haber cerrado el sitio. El problema, según explica su descubridor, reside en el uso de los permisos “https” del sitio.

Chrome recuerda cuando se han aplicado permisos de micrófono a un sitio “https”, por lo que no requiere una nueva aprobación cada vez que se visite dicho sitio. Esto puede permitir a un atacante abrir una ventana pop-under y continuar usando el micrófono sin el permiso del usuario (y sin su conocimiento).

El desarrollador confirma que reportó el problema al equipo de seguridad de Google el 13 de septiembre, pero cuatro meses después la solución todavía no ha llegado a los escritorios. Según Google, el problema está en que el grupo de estándares no ha decidido cual debe ser el comportamiento correcto del navegador ante este problema.

Fuente: MuySeguridad.net

CSIRT-CV