Chrome漏洞可让网站标签页被关闭后仍可偷偷监听你
jopen 11年前
开发者 Tal Ater 在玩语音识别应用时发现,Chrome 的一项麦克风设置有可能导致任何支持语音识别的网站利用弹出窗口在后台不间断地录音。
Ater 在演示中关闭标签页后继续说话,主窗口后面的弹出窗仍会采录他所说的一切东西。因此恶意网站有可能可以利用此漏洞来监听用户线下的谈话。
问题出在 Chrome 的麦克风许可政策。如果用户允许支持 HTTPS 的网站在 Chrome 中使用麦克风,则该网站的任何实例都可以获得该许可,包括不受注意的在后台弹出的窗口,且由于代码是在另外的窗口执行的,所以 Chrome 的录制图标并不会显示出来。即从表面上看,该网站并没有访问计算机。唯一的办法是人工撤销麦克风权限许可,但大多数用户一般都不会考虑到这一点。
该漏洞于去年 9 月首次被发现,并获得了 Chromium Reward 的提名。但由于 Google 工程师很容易就隔离了此问题,所以尚未对用户桌面版的 Chrome 进行修补。Google 发言人称,该公司认为这个漏洞并非立即威胁,因为用户首先需要为要求语音识别的每个网站进行激活。
除了 Chrome 以外,许多要求更多富有攻击性权限的新型应用有可能还会引发更大的问题。像 Hangouts 这样的浏览器内服务在用户无需为每次会话对麦克风进行再验证时使用起来会更加便利,但就有可能会导致隐私问题。
来自: 36氪