Mener Chrome kan avlyttes


Google Chrome er etter alt å dømme den eneste nettleseren som har innebygd støtte for talekjennelse, det vil si Web Speech API. Riktignok gjøres det aller mest av den faktiske gjenkjennelsen i serverne i Google, men dette kan med Chrome gjøres uten bruk av plugins.

I september skal webutvikleren Tal Ater ha oppdaget noe mener er en alvorlig sårbarhet i implementeringen av Web Speech API i Chrome. I en video demonstrerer han hvor dette kan utnyttes av nettsteder til avlytte omgivelsene rundt pc-en Chrome kjøres på.

Når en bruker for første gang tar i bruk en webapplikasjon med støtte for Web Speech, må brukeren i nettleseren godkjenne at applikasjonen får tilgang til å lytte til mikrofonen. Fra og med Chrome 32, den nyeste utgaven, vises det da et rødt merke i toppen av fanen så lenge lyttingen skjer. Dette er ifølge Ater vel og bra.

Det Ater derimot har oppdaget, er at det er mulig for en ondsinnet applikasjon å åpne et nytt vindu bak det vinduet brukeren («pop-under») benytter, hvor det i det skjulte kjøres kode som også lytter til bruken. Dette er mulig så lenge den ondsinnede applikasjonen benytter en HTTPS-forbindelse, for da behøver ikke brukeren på nytt å gi sitt samtykke til at det samme domenet får tilgang til mikrofonen. I praksis gis altså slike tillatelser på domenenivå, ikke per fane eller vindu.

Lytter i skjul
Selv om brukeren forlater den ondsinnede applikasjonen i vinduet som ligger fremst, vil applikasjonen i det bakre vinduet kunne fortsette å lytte til via mikrofonen. Dette skje ifølge Ater uten at det bakre vinduet på noen måte markerer at mikrofonen er i bruk, slik det gjøres i det fremste vinduet.

Ater mener at dette er en sårbarhet og varslet Google om det i september. Google skal raskt ha bekreftet feilen og laget en feilfiks, men feilfiksen har aldri blitt tatt i bruk. Fra Chrome-teamet har Ater fått beskjed om at det foregår en diskusjon om hvordan dette skal håndteres innen det han kaller Standard-gruppen og at man ikke har avgjort noe ennå. Men ifølge Ater har W3C allerede i oktober 2012, gjennom en oppdatering av Web Speech API-spesifikasjonen. Dette er foreløpig ikke noen offisiell W3C-standard, og spesifikasjonen er skrevet av to Google-ansatte.

Diskuteres?
Nå har det gått fire måneder og Ater mener at det var på tide å gjøre sårbarheten offentlig kjent. Det er ikke noe kritikkverdig ved dette når Google har blitt gitt så lang tid til å rette opp. Selskapet har jo flere ganger vist at det er i stand til å fjerne sårbarheter i Chrome på under et døgn.

Slike avsløringer kan få fortgang på utgivelsen av feilfikser, men det ser ikke ut til at Google mener det er noen hast.

– Ingen trussel
– Vi har undersøkt på nytt og mener fortsatt det ikke finnes noen umiddelbar trussel, siden en bruker først må aktivere talegjenkjennelse for hvert nettsted som ber om det, sier Google i en uttalelse til Infoworld.

Uansett om Google gjør en endring i hvordan Chrome håndterer det nevnte problemet, bør man nok unngå å gi ukjente nettsteder tilgang til mikrofonen, eller til webkameraet for den sakens skyld. Det sistnevnte gjelder selvfølgelig ikke bare i Chrome.

Leave a Reply

Your email address will not be published.