Google Chrome tem um bug que permite que qualquer um ouça o que você diz

Comandos de voz representam uma maneira incrivelmente futurística de controlar nossas tecnologias como se fossemos homens do espaço, mas apenas se você puder confiar neles. Então talvez você precise ficar esperto com o Chrome; o navegador do Google tem uma falha de segurança perigosa que permite a sites maliciosos bisbilhotarem o que você faz. Descoberta […]

Comandos de voz representam uma maneira incrivelmente futurística de controlar nossas tecnologias como se fossemos homens do espaço, mas apenas se você puder confiar neles. Então talvez você precise ficar esperto com o Chrome; o navegador do Google tem uma falha de segurança perigosa que permite a sites maliciosos bisbilhotarem o que você faz.

Descoberta pelo desenvolvedor web e leitor do Gizmodo Tal Ater, o bug em questão é simples quando explorado. Tudo o que um site malicioso precisa fazer é forçá-lo a ativar o controle de voz para qualquer fim legítimo – talvez você queira ditar algum texto para um webapp, ou gravar algum ruído por qualquer motivo – e ele potencialmente consegue acessar o microfone do seu computador mesmo muito depois de você sair.

Tudo o que ele precisa é abrir uma janela pop-up disfarçada como um simples anúncio para manter seu microfone ligado. Enquanto permanecer aberta, todos os barulhos que você fizer serão enviados para o Google através do Chrome, e então para os bisbilhoteiros por qualquer motivo que eles queiram. E não há como você dizer se o site que você visitou há 20 minutos ainda está rastreando o que você faz.

ku-xlarge

O truque sujo na verdade exige o uso de diversas falhas, mas o maior deles está no Chrome, já que apenas abas completas indicam que estão ouvindo o que você diz via microfone. Janelas pequenas podem continuar ouvindo o que você diz sem que você perceba. Tal entrou em contato com o Google para falar sobre a falha há meses, e o Google confirmou a ele que de fato eram vulnerabilidades de segurança. Mas, passados quatro meses, nada de correção para os usuários. Hoje, a falha ainda funciona.

A boa notícia é que você precisa iniciar o reconhecimento de voz do Chrome para isso funcionar. Enquanto não sair a correção, você pode se proteger ao nunca conversar com o Chrome, ou apenas ativar o microfone em sites confiáveis. Ainda assim, a existência de uma falha assim faz com que fiquemos menos entusiasmados com um futuro de Star Trek onde um microfone sempre está esperando para ouvir a nossa voz.

Entramos em contato com o Google, que respondeu o seguinte:

A segurança dos nossos usuários é uma das nossas prioridades, e essa funcionalidade foi projetada com segurança e privacidade em mente. Estamos investigando isso e este erro não rende recompensa, já que o usuário precisa ativar o reconhecimento de voz para cada site que quiser usar. O recurso está de acordo com as especificações atuais da W3C, e estamos trabalhando em melhorias.

Em outras palavras, parece que o comportamento do reconhecimento de voz está de acordo com o que o Google planeja no Chrome. Mas o Google modificou o comportamento dos pop-ups, e está buscando indicadores visuais alternativos para mostrar aos usuários quando um site está gravando o que é dito no microfone.

Você pode ler mais sobre o bug no site de Tal (em inglês), e checar o código no GitHub.

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas