Meio Bit » Baú » Hardware » Falha no Chrome permite que sites fiquem ouvindo o usuário mais do que deveriam

Falha no Chrome permite que sites fiquem ouvindo o usuário mais do que deveriam

Falha descoberta no Google Chrome permite que sites mal-intencionados continuem tendo acesso ao microfone do usuário mesmo após o site ter sido fechado

22/01/2014 às 17:16

chrome_falha_acesso_microfone

Particularmente, gosto muito dos sistemas de reconhecimento de voz. Seja para falar com um assistente virtual (Siri e Now), seja para fazer uma simples pesquisa no Chrome do desktop sem ter que digitar uma única letra, o sistema facilita muito a vida dos usuários. O problema é quando a coisa começa a fugir do controle.

No Chrome, por exemplo, quando o usuário permite que um determinado site comece a ouvi-lo ou vê-lo, a partir de versão 32, o navegador informa, de maneira clara e evidente, o que está ocorrendo através de ícones que são exibidos na própria guia. Mas, de acordo com o pesquisador israelense Tal Ater, quando os sites são fechados, mas o navegador continua sendo executado, o acesso aos dados não é interrompido, permitindo que sites fiquem ouvindo os usuários por horas e horas sem que qualquer tipo de alerta seja dado.

Segundo o pesquisador, um site mal-intencionado poderá não somente ficar monitorando as conversas do usuário, mas, também, ser programado para somente começar a gravar quando determinadas palavras forem pronunciadas. Assim, um site do governo americano, em uma hipótese hipotética (eu sei!), poderia começar a captar tudo o que o usuário fala após termos como “NSA”, “Edward Snowden” ou “Globo Mente” serem pronunciados. A partir daí, adeus visto para conhecer a Disneyland.

Enquanto o Chrome está sendo executado, as transcrições de tudo o que se diz perto do computador pode ser registrado pelo site malicioso, desde as suas conversas privadas ao telefone até reuniões. Qualquer coisa ao alcance do microfone do computador está comprometido. Essa é uma vulnerabilidade única, uma vez que, essencialmente, transforma o Chrome em uma possível ferramenta de espionagem, com consequências sobre o mundo físico.”

No vídeo abaixo, é possível ver a vulnerabilidade do Chrome sendo explorada:

O mais curioso da história é que, de acordo com Ater, a vulnerabilidade foi reportada pelo Google em 13 de setembro de 2013 e, no dia 24 do mesmo mês, o Google afirmou que uma correção estava pronta e que, pela descoberta, o pesquisador era elegível para receber US$ 30 mil através do programa de recompensas da empresa. Em novembro, quando o pesquisador verificou que o Chrome continuava com a vulnerabilidade, entrou em contato com o Google e recebeu, como resposta, a informação de que havia uma discussão dentro do grupo do navegador sobre se o comportamento atual (com a falha) era o esperado e que nada havia sido decidido até então.

O pessoal do Ars Technica procurou o Google, que afirmou o seguinte:

A segurança de nossos usuários é uma prioridade, e esta característica foi projetada com segurança e privacidade em mente. Nós investigamos novamente e ainda acreditamos que não há ameaça imediata, uma vez que o usuário deve, primeiro, ativar o reconhecimento de voz para cada site que o solicita. O recurso está em conformidade com o padrão W3C atual, e nós continuamos trabalhando em melhorias.”

Pessoalmente, não vejo como o fato de um site continuar tendo acesso ao microfone do meu navegador, mesmo após a guia em que estava aberto ser fechada, algo normal. Infelizmente, até que o Google decida mudar de posição (o que pode nunca acontecer), só resta, ao usuário, passar a ter mais cuidado com as permissões que dá, ou, ainda, revogar toda e qualquer permissão encontrada dentro das configurações do navegador. Ou mudando de navegador, é claro.

Fonte: Ars Technica.

relacionados


Comentários