从2013年2月开始,Chrome浏览器就包含了一个非常实用的功能:语音识别。它允许互联网用户通过语音进行谷歌搜索。第三方网站也可能使用它,例如促进其网站上的导航。
但这个功能也有不健康的一面,以色列开发商 Tal Ater 刚刚透露了这一点。通过摆弄 Google 提供的 Web Speech API,他发现语音识别可以在用户没有意识到的情况下被激活。因此,她可以在不知不觉中记录下所说的一切。
一扇隐藏的窗户,倾听你的声音
这怎么可能?通常,当网站要求互联网用户激活语音识别时,他们必须始终表示同意。如果是这样,选项卡顶部的图标会告诉它录音正在进行中。他所要做的就是点击它来阻止它。但有一个缺陷。当使用 HTTPS 加密与相关网站的连接时,Chrome 将记住授予的权限,并且当用户返回该网站时将不再请求该权限。
问题是可以在辅助窗口中激活语音识别,该窗口将隐藏在主导航选项卡下方(“弹出窗口”)。没有任何图形或音频指示会提醒互联网用户录音正在进行中。间谍窗口甚至可以以广告横幅的形式伪装。以下视频演示了该缺陷的利用:
当去年 9 月发现这个缺陷时,Tal Ater 立即联系了 Google 团队,后者在两周内开发了补丁。但奇怪的是,这个补丁至今仍未分发给互联网用户。因此,当前版本的 Chrome 仍然容易受到攻击。谷歌再次联系开发者,解释说“目前尚未做出任何决定”。
Tal Ater 失去了耐心,决定创建一个网站来公开此缺陷,希望能够实现这一目标。但目前,谷歌似乎并不想着急。接受 The Verge 采访时,这家网络巨头认为,目前还没有“直接风险,因为用户必须首先授权网站的语音识别”。没什么好生气的,所以...
另请阅读:
Chrome 升级至版本 25,现已识别主人的声音,2013 年 2 月 22 日
Chrome 现在无需点击鼠标即可响应语音命令,于 28/11/2013
来源:
