Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/04/2014
Vulnerabilitat en Chrome permet que llocs web t’escolten
Ben sovint escoltem la frase cèlebre “les parets senten”. Ara, pareix que la teua computadora també ho fa: s’ha descobert una vulnerabilitat en Google Chrome que permet als atacants escoltar el que dius sense permís, inclús si el micròfon està deshabilitat.
La fallada va ser advertida per l’investigador de seguretat israeliana Guy Aharonovsky, qui va escriure en el seu blog: “Ni tan sols bloquejant l’accés al micròfon a través de chrome://settings/content se solucionarà”.
Vegem de què es tracta.
Google ha creat una API (Application Programming Interface) que permet que llocs web interactuen amb Google Chrome i el micròfon de la computadora, oferint així la possibilitat que l’usuari utilitze el navegador amb “mans lliures”, parlant en compte d’escrivint per a fer busques, teclejar, i inclús traduir àudio.
Al gener, s’havia reportat una falla en Chrome que permetia a llocs maliciosos amb programari de reconeixement de veu escoltar les conversacions dels usuaris sense que estos ho saberen, utilitzant una API de Google desactualitzada.
El mateix succeïx amb la vulnerabilitat reportada en esta ocasió per Aharonovsky, que explota la funcionalitat “-x-webkit-speech” de l’API de reconeixement de veu de Chrome.
L’investigador també va publicar una prova de concepte i un vídeo demostrant-la (en anglés) dissenyat, per a Chrome en Mac, però la fallada afecta el navegador en qualsevol sistema operatiu.
Aharonovsky va reportar la falla a Google via Chromium, el seu servici de report de vulnerabilitats. Des d’allí van confirmar la seua existència, i li van assignar un nivell “baix” de risc, la qual cosa significa que Google no oferirà una solució immediata.
En el cas que tingues dubtes sobre l’ús d’esta funcionalitat, recomanem evitar que l'uses fins que Google faça l’actualització corresponent.