Mener Chrome kan avlyttes

Men Google ser ingen umiddelbar trussel.

Talegjenkjenning i Chrome kan være en sikkerhetsrisiko, men det avhenger av at brukeren er uforsiktig.
Talegjenkjenning i Chrome kan være en sikkerhetsrisiko, men det avhenger av at brukeren er uforsiktig.
Harald BrombachHarald BrombachNyhetsleder
24. jan. 2014 - 09:33

Google Chrome er etter alt å dømme den eneste nettleseren som har innebygd støtte for talekjennelse, det vil si Web Speech API. Riktignok gjøres det aller mest av den faktiske gjenkjennelsen i serverne i Google, men dette kan med Chrome gjøres uten bruk av plugins.

I september skal webutvikleren Tal Ater ha oppdaget noe mener er en alvorlig sårbarhet i implementeringen av Web Speech API i Chrome. I en video demonstrerer han hvor dette kan utnyttes av nettsteder til avlytte omgivelsene rundt pc-en Chrome kjøres på.

Når en bruker for første gang tar i bruk en webapplikasjon med støtte for Web Speech, må brukeren i nettleseren godkjenne at applikasjonen får tilgang til å lytte til mikrofonen. Fra og med Chrome 32, den nyeste utgaven, vises det da et rødt merke i toppen av fanen så lenge lyttingen skjer. Dette er ifølge Ater vel og bra.

Det Ater derimot har oppdaget, er at det er mulig for en ondsinnet applikasjon å åpne et nytt vindu bak det vinduet brukeren («pop-under») benytter, hvor det i det skjulte kjøres kode som også lytter til bruken. Dette er mulig så lenge den ondsinnede applikasjonen benytter en HTTPS-forbindelse, for da behøver ikke brukeren på nytt å gi sitt samtykke til at det samme domenet får tilgang til mikrofonen. I praksis gis altså slike tillatelser på domenenivå, ikke per fane eller vindu.

Lytter i skjul

Selv om brukeren forlater den ondsinnede applikasjonen i vinduet som ligger fremst, vil applikasjonen i det bakre vinduet kunne fortsette å lytte til via mikrofonen. Dette skje ifølge Ater uten at det bakre vinduet på noen måte markerer at mikrofonen er i bruk, slik det gjøres i det fremste vinduet.

Ater mener at dette er en sårbarhet og varslet Google om det i september. Google skal raskt ha bekreftet feilen og laget en feilfiks, men feilfiksen har aldri blitt tatt i bruk. Fra Chrome-teamet har Ater fått beskjed om at det foregår en diskusjon om hvordan dette skal håndteres innen det han kaller Standard-gruppen og at man ikke har avgjort noe ennå. Men ifølge Ater har W3C allerede i oktober 2012, gjennom en oppdatering av Web Speech API-spesifikasjonen, definert den rette atferden for omstendigheter som dette. Spesifikasjonen er foreløpig ikke noen offisiell W3C-standard. Den er skrevet av to Google-ansatte.

Diskuteres?

Nå har det gått fire måneder og Ater mener at det var på tide å gjøre sårbarheten offentlig kjent. Det er ikke noe kritikkverdig ved dette når Google har blitt gitt så lang tid til å rette opp. Selskapet har jo flere ganger vist at det er i stand til å fjerne sårbarheter i Chrome på under et døgn.

Slike avsløringer kan få fortgang på utgivelsen av feilfikser, men det ser ikke ut til at Google mener det er noen hast.

– Ingen trussel

– Vi har undersøkt på nytt og mener fortsatt det ikke finnes noen umiddelbar trussel, siden en bruker først må aktivere talegjenkjennelse for hvert nettsted som ber om det, sier Google i en uttalelse til Infoworld.

Uansett om Google gjør en endring i hvordan Chrome håndterer det nevnte problemet, bør man nok unngå å gi ukjente nettsteder tilgang til mikrofonen, eller til webkameraet for den sakens skyld. Det sistnevnte gjelder selvfølgelig ikke bare i Chrome.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.