Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/01/2014
Una vulnerabilitat de Chrome permetria escoltar el que dius
El desenrotllador Tal Ater (@talater) ha anunciat una vulnerabilitat en el navegador Google Chrome que podria permetre a un atacant remot escoltar totes les conversacions que es produïsquen en l’entorn de l’ordinador.
Ater va descobrir el problema mentre treballava amb annyang (una coneguda llibreria JavaScript de reconeixement de veu).
D’esta manera, una pàgina maliciosa pot activar el micròfon de l’ordinador sense coneixement de l’usuari i escoltar qualsevol cosa que es diga en el seu entorn, inclús després d’haver tancat el lloc. El problema, segons explica el seu descobridor, residix en l’ús dels permisos “https” del lloc.
Chrome recorda quan s’han aplicat permisos de micròfon a un lloc “https”, per tant no requerix una nova aprovació cada vegada que es visite el lloc esmentat. Açò pot permetre a un atacant obrir una finestra latent i continuar usant el micròfon sense el permís de l’usuari (i sense el seu coneixement).
El desenvolupador confirma que va reportar el problema a l’equip de seguretat de Google el 13 de setembre, però quatre mesos després la solució encara no ha arribat als escriptoris. Segons Google, el problema està en el fet que el grup d’estàndards no ha decidit quin ha de ser el comportament correcte del navegador davant d’este problema.