CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

14/04/2014

Vulnerabilidad en Chrome permite que sitios web te escuchen

Chrome Con frecuencia escuchamos la frase célebre “las paredes oyen”. Ahora, parece que tu computadora también lo hace: se ha descubierto una vulnerabilidad en Google Chrome que permite a los atacantes escuchar lo que dices sin permiso, incluso si el micrófono está deshabilitado.

La falla fue advertida por el investigador de seguridad israelí Guy Aharonovsky, quien escribió en su blog: “Ni siquiera bloqueando el acceso al micrófono a través de chrome://settings/content se solucionará”.

Veamos de qué se trata.

Google ha creado una API (Application Programming Interface) que permite que sitios web interactúen con Google Chrome y el micrófono de la computadora, ofreciendo así la posibilidad de que el usuario utilice el navegador con “manos libres”, hablando en vez de escribiendo para hacer búsquedas, tipear, e incluso traducir audio.

En enero, se había reportado una falla en Chrome que permitía a sitios maliciosos con software de reconocimiento de voz escuchar las conversaciones de los usuarios sin que estos lo supieran, utilizando una API de Google desactualizada.

Lo mismo sucede con la vulnerabilidad reportada en esta ocasión por Aharonovsky, que explota la funcionalidad “-x-webkit-speech” de la API de reconocimiento de voz de Chrome.

El investigador también publicó una prueba de concepto y un video demostrando la misma (en inglés), diseñado para Chrome en Mac, pero la falla afecta al navegador en cualquier sistema operativo.

Aharonovsky reportó la falla a Google vía Chromium, su servicio de reporte de vulnerabilidades. Desde allí confirmaron su existencia, y le asignaron un nivel “bajo” de riesgo, lo que significa que Google no ofrecerá una solución inmediata.

En caso de que tengas dudas sobre el uso de esta funcionalidad, recomendamos evitar su uso hasta que Google haga la actualización correspondiente.

Fuente: We Live Security

CSIRT-CV