一旦你在Chrome中允许了某个启用了HTTPS的站点使用你的麦克风,然后该站点的每个实例都会获得许可,甚至在后台弹出一个不容易被注意到的窗口。而引发这一风险的,则是Chrome的麦克风权限设置。遗憾的是,Google到现在都没有为Chrome的语音识别漏洞发布补丁。
继续之前的报道。昨天,我们报道了《Chrome在浏览器便签页被关闭后,仍可被网站继续“后台监听”》的消息。一旦你在Chrome中允许了某个启用了HTTPS的站点使用你的麦克风,然后该站点的每个实例都会获得许可,甚至在后台弹出一个不容易被注意到的窗口。而引发这一风险的,则是Chrome的麦克风权限设置。遗憾的是,Google到现在都没有为Chrome的语音识别漏洞发布补丁。
这个漏洞已经存在4个月之久,恶意网站可以通过Chrome的语言识别功能而"破解"并盗用用户的麦克风。Google表示,公司内部已经展开了讨论,但是未能决定何时发布更新。
Tal Ater表示,鉴于漏洞已存在4个月之久,用户设备极有可能遭受黑客和间谍攻击。
用户可以授权某站点使用其麦克风,Chrome也会给出提示。但是恶意网站可以在标签页被关闭后继续监听。该语音识别开发者表示,HTTPS连接并不能保证安全。
相反的是,Chrome将不再询问之后的麦克风访问请求,使得站点科技继续监听用户的谈话。此外,Atar也提醒道,隐藏的banner和弹出式窗口也能够作为"伪装",以便在浏览器被关闭后继续音频录制。
Atar希望新补丁能够对必要的网站给出"语音识别已打开"之类的视觉提示。
网友评论