Gdy Chrome może Cię podsłuchiwać, w Google spierają się o standardy

Jeśli wierzyć oficjalnym komunikatom rynkowym Google'a, Chromejest najbezpieczniejszą z przeglądarek, a stosowane przez giganta zMountain View procedury zapewniają szybkie łatanie nawetnajdrobniejszych luk, które mogłyby narazić użytkowników naatak. Ostatnio jednak do tego bezpieczeństwa Chrome nie ma zbytwiele szczęścia – do afery z aktualizacjami rozszerzeń, którepo cichu zmieniły właścicieli doszła jeszcze jedna, dotyczącabardzo groźnej luki, dzięki której można zamienić google'owąprzeglądarkę w system podsłuchowy.Interfejsy głosowe to niezła rzecz, szczególnie w urządzeniachmobilnych, szczególnie podczas prowadzenia auta, więc nic dziwnego,że producenci przeglądarek internetowych zaczęli szukać sposobów,dzięki którym moglibyśmy wydawać polecenia czy wypełniaćformularze, po prostu mówiąc do mikrofonu. Już w 2010 roku Googlejako pierwsze wprowadziłodo swojego Chrome eksperymentalną obsługę rozszerzenia VoiceSearch, a z początkiem 2013 roku gotowy był WebSpeech API, interfejs pozwalający na łatwe wykorzystaniegłosowych poleceń na wszelkiej maści stronach internetowych.Pomysł się przyjął, na wielu witrynach internetowych pojawiłysię obok pola wyszukiwania ikonki mikrofonu, pozwalające naaktywowanie poleceń głosowych.[img=podsluch]Tal Ater, izraelski programista, znany przede wszystkim z annyang,całkiem udanej biblioteki JavaScriptu służącej do rozpoznawaniamowy, podczas prac nad nią odkrył w Chrome kilka dośćniespodziewanych błędów. Łącząc je ze sobą, zbudował exploit,który zamienia Chrome w urządzenie podsłuchowe, pozwalającezłośliwym witrynom na nagranie wszystkiego, co mówi się przykomputerze, jeśli tylko przeglądarka ta jest uruchomiona.Sytuacja wygląda następująco: użytkownik odwiedza stronę,strona prosi o zgodę na użycie mikrofonu, użytkownik zgodę wyrażai może teraz sterować stroną za pomocą swego głosu. Fakt tenjest wyraźnie pokazany przez Chrome, które po opuszczeniu stronywyłącza mikrofon. Jeśli jednak o zgodę poprosi ktoś, kto ma złeintencje, to ma spore pole do popisu. Okazuje się, że dla witryndostępnych po szyfrowanym połączeniu HTTPS Chrome zapamiętujezgodę na włączenie mikrofonu i za następnym razem już od witrynyuzyskania takiej zgody nie wymaga. [yt=http://www.youtube.com/watch?v=s5D578JmHdU]Nie ma też większego problemu, by pod przycisk aktywującyrozpoznawanie poleceń głosowych podpiąć funkcję otwierającąokienko ukryte pod głównym oknem przeglądarki. Okienko takiedziedziczy uprawnienia, może więc czekać do zamknięcia głównejwitryny, by rozpocząć podsłuch bez żadnych wizualnych sygnałów,że do tego doszło: Chrome wyświetla powiadomienia tylko nakartach. Co ciekawe, to zachowanie nie jest w pełni zgodne zespecyfikacją Web Speech API, przyjętą jesienią 2012 roku przezW3C.Gdyby problem się tylko na tym skończył, nie byłoby o czympisać – każdego miesiąca odkrywa się takie, a nawet jeszczegorsze luki w przeglądarkach. Programista zgłosiłby lukę dozespołu bezpieczeństwa Google, Google wydałoby aktualizację, o sprawie nikt by się nie dowiedział. Ater wysłał takie zgłoszenie, wraz z działającym exploitem,13 września zeszłego roku. 19 września uzyskał informację, żezlokalizowano błędy i zasugerowano poprawki. 24 września gotowabyła łatka blokująca działanie exploita, a 27 września odkryciezostało nominowane do pieniężnej nagrody. Od zgłoszenia doprzygotowania łatki minęły niecałe dwa tygodnie.I na tym się skończyło – mijały miesiące, a łatka niezostała włączona do kolejnych wydań Chrome. W listopadzie Aterzapytał się, czemu nic się nie dzieje, by uzyskać odpowiedź, żetrwa debata z grupą odpowiedzialną za standardy w sprawiepoprawnego zachowania. Debata trwa do teraz, a Chrome jest wciąż podatne. Izraelskiprogramista postanowił więc upublicznić sprawę – może w Googlektoś się dzięki temu ocknie. Exploit już jest, choć na razie nicnie wiadomo o wykorzystaniu go do realnych ataków. Zaniepokojeniluką mogą sięgnąć np. po Firefoksa, który rozwiązał problemrozpoznawania głosu w najprostszy sposób – narazie go nie rozpoznaje.