從2013年2月開始,Chrome瀏覽器就包含了一個非常實用的功能:語音辨識。它允許互聯網用戶透過語音進行Google搜尋。第三方網站也可能使用它,例如促進其網站上的導航。
但這個功能也有不健康的一面,以色列開發商 Tal Ater 剛剛透露了這一點。透過擺弄 Google 提供的 Web Speech API,他發現語音辨識可以在用戶沒有意識到的情況下啟動。因此,她可以在不知不覺中記錄下所說的一切。
一扇隱藏的窗戶,傾聽你的聲音
這怎麼可能?通常,當網站要求網路使用者啟動語音辨識時,他們必須始終表示同意。如果是這樣,選項卡頂部的圖示會告訴它錄音正在進行中。他所要做的就是點擊它來阻止它。但有一個缺陷。當使用 HTTPS 加密與相關網站的連線時,Chrome 將記住授予的權限,並且當使用者返回網站時將不再請求該權限。
問題是可以在輔助視窗中啟動語音識別,該視窗將隱藏在主導航標籤下方(“彈出視窗”)。沒有任何圖形或音訊指示會提醒網路使用者錄音正在進行中。間諜視窗甚至可以以廣告橫幅的形式偽裝。以下影片示範了此缺陷的利用:
當去年 9 月發現這個缺陷時,Tal Ater 立即聯繫了 Google 團隊,後者在兩週內開發了補丁。但奇怪的是,這個補丁至今仍未分送給網路使用者。因此,目前版本的 Chrome 仍然容易受到攻擊。谷歌再次聯繫開發者,解釋說“目前尚未做出任何決定”。
Tal Ater 失去了耐心,決定創建一個網站來公開此缺陷,希望能夠實現這一目標。但目前,谷歌似乎不想著急。接受 The Verge 採訪時,這家網路巨頭認為,目前還沒有“直接風險,因為用戶必須先授權網站的語音識別”。沒什麼好生氣的,所以...
另請閱讀:
Chrome 升級至版本 25,現已辨識主人的聲音,2013 年 2 月 22 日
Chrome 現在無需點擊滑鼠即可回應語音指令,於 28/11/2013
來源:
