Google: уязвимость, позволяющая прослушивать разговоры пользователя, в Chrome отсутствует

Недавно стало известно, что в браузере Chrome существует уязвимость, обнаруженная 4 месяца назад израильским исследователем Талом Атером, которая позволяет прослушивать разговоры пользователя через кнопку распознавания речи. По словам эксперта, эксплуатация уязвимости возможна, когда сайты не запрашивают разрешение на использование микрофона.

Как правило, пользователи должны дать разрешение на каждом сайте, запрашивающем разрешение, и Chrome отображает мигающую красную точку на вкладке страницы, пока сайт находится в режиме записи. Однако Атер говорит, что этого не достаточно для обеспечения безопасности.

Напомним, что эксперт сообщил о бреши еще в сентябре прошлого года, однако Google не выпустила патч, хотя ее инженеры и разработали исправление. Примечательно, что сейчас компания отрицает существование уязвимости.

«Безопасность пользователей является для нас наивысшим приоритетом, и эта функция (распознавание голоса) разработана с учетом безопасности», — заявил пресс-секретарь Google. Согласно документам компании, об использовании микрофона сообщает не только мерцающий красный огонек. Можно также определить, какой именно сайт в данный момент использует технологию распознавания голоса.

«Функция соответствует действующим спецификациям W3C (Консорциум Всемирной паутины), и мы продолжаем совершенствовать ее», — заявил пресс-секретарь компании.

Тем не менее, по словам Атера, индикатор использования включенного микрофона в браузере отсутствует. В таком случае, в документации Google допущена ошибка. По крайней мере, указанная в ней информация не соответствует настоящей сборке Chrome.

Спонсором новости выступает компания «Микротест» - лидер российского рынка системной интеграции и консалтинга в части реализации наиболее сложных проектов и внедрению следующих решений: Защита периметра и сетевая безопасность (Network Security), Безопасность данных и приложений (Application & Content Security), Управление и мониторинг ИБ (Information Security Management) в частости рекоменую обратить внимание на Управление событиями ИБ (Security Information and Event Management – SIEM). Данные системы позволяют автоматизировать процесс анализа событий поступающих от средств защиты информации и повысить эффективность управления сетевой инфраструктурой в целом. Компания «Микротест» уделяет особое внимание качеству, отказоустойчивости и защищенности информационных и телекоммуникационных систем своих клиентов.