. Intenção maliciosa pode transformar o reconhecimento de voz Chrome em dispositivo de espionagem - Tudo Sobre Tecnologia

Um especialista em reconhecimento de voz afirma jogadores maliciosos podem transformar o navegador web do Google Chrome em um dispositivo de escuta remota. 
 
Microfone Chrome 1.jpg
 
No ano passado, por esta altura, o Google Chrome atualizado, adicionando um recurso exclusivo para web browser da empresa de Reconhecimento de Fala . Seis meses depois,Tal Atar , uma PME neste campo, descobriu o que considerou uma violação grave de segurança no navegador Chrome, eo culpado-de reconhecimento de voz.

Como reconhecimento de voz do Chrome funciona

O Google criou um discurso de reconhecimento de Application Programming Interface (API) que informa sites desenvolvedores de construção como interagir com o Google Chrome e microfone do computador. O propósito é dar aos visitantes do site a capacidade de controlar sua experiência com comandos de voz, ao invés de ter que digitar ou clicar.
O que faz a interessante característica é que o Google transcreve o comando de voz em texto.Após a transcrição, o Chrome envia o texto para o site, onde o servidor web decifra o comando, em seguida, executa-lo. Visitante este link irá demonstrar a API de reconhecimento de voz.

Alegação de Ater

Quando os visitantes chegam em um site habilitado de reconhecimento de voz, que são oferecidos uma escolha, interface com o site normalmente, ou dar a permissão de site para usar o microfone. 

Microfone Chrome 2.jpg
 
Deve haver uma indicação semelhante ao slide visto acima, notificando que o microfone está ativo. Preocupação com a segurança de Ater gira em torno de como o site pode habilitar o microfone sem publicidade que ele está ativo. Um exemplo foi o que ele chamou de uma janela pop-under:
"Quando você clica no botão para iniciar ou parar o reconhecimento de voz no site, o que você não vai notar é que o site também pode ter aberto um outro pop-under escondido janela. Essa janela pode esperar até que o site principal está fechada, e, em seguida, começar a ouvir em sem pedir permissão. Isso pode ser feito em uma janela que você nunca viu, nunca interagiu com, e provavelmente nem sabia estava lá. "
Isto pode ser um pouco difícil de visualizar. Para esclarecer o processo, Ater criado um Vídeo do YouTube que mostra como o pop-under obras janela.
Bottom line, se a alegação de Ater é válido, colocando API de reconhecimento de voz do Chrome nas mãos de um desenvolvedor de site mal-intencionado poderia transformar navegador Chrome de um computador remoto e microfone embutido em um dispositivo de escuta.

Como funciona o aparelho de escuta

Vamos dizer que um cara mau criado um site malicioso que usa reconhecimento de voz. Após a exibição, o site malicioso parece ser uma cópia exata de alguém site favorito. Esse usuário recebe um e-mail dizendo que não há um presente esperando por ele em seu site favorito, basta clicar no link. Desconhecido para essa pessoa, que é um e-mail phishing, eo link envia essa pessoa para o site malicioso em seu lugar. Essa pessoa é convidada a experimentar o novo recurso de reconhecimento de voz. Eles dizem que sim.
De acordo com a Ater, este computador é agora um dispositivo de escuta remota. O site malicioso será capaz de monitorar tudo dentro do alcance do microfone, se o usuário saiba ou não.

Google ou Ater, quem está certo?

Ater primeiro relatou suas descobertas em particular com o Google em setembro de 2013. Ater disse que os engenheiros do Google teve uma correção dentro de semanas. Em seguida, há uma semana, sem evidência de Google a remoção do bug do Chrome, Ater decidiu ir a público:
"A partir de hoje, quase quatro meses depois de aprender sobre este assunto, o Google ainda está esperando para o grupo padrões de concordar sobre o melhor curso de ação, e seu navegador ainda está vulnerável."
O grupo de normas Ater está previsto para o World Wide Web Consortium (W3C). E, o Google acredita que a sua implementação da API de reconhecimento de voz está de acordo com a Seção 4,Segurança e Privacidade Considerações do relatório W3C sobre reconhecimento de fala.
Ater discorda:
"[T] organização de padrões da web ele, o W3C, já definiu o comportamento correto, o que teria impedido isso ... Isso foi feito em sua especificação para a API Speech Web, em outubro de 2012."

Opções para evitar a espionagem

Quero reiterar, para o reconhecimento de voz para o trabalho, o visitante deve inicialmente dar a permissão site para usar o microfone do computador. Se a permissão não é dada, o exploit se desfaz.
Há maneiras de evitar a espionagem para aqueles que querem usar o reconhecimento de voz.Há também maneiras de desativar o reconhecimento de voz completamente. Por exemplo:
A configuração padrão no Chrome é "Pergunte se um microfone requer acesso" (veja a deslizar abaixo). Uma opção é confiar que o Chrome pedindo permissão, além de algum tipo de indicação de que o microfone está ligado será a segurança suficiente.
Os usuários que visitam sites que utilizam o reconhecimento de voz e quer usá-lo, mas não confia o indicador de software tem a capacidade de alternar o microfone ligado e desligado, como mostrado abaixo.
Os usuários que estão preocupados com escutando mais do que usar o reconhecimento de voz pode clicar no cenário circulado em vermelho (como visto abaixo) e deixá-lo. 

Microfone Chrome 3.jpg
 
Um problema: todas as opções acima são baseadas em software. Não há nenhum interruptor de hard-wired para desligar o microfone on-board off. Para aqueles preocupados com isso, existem duas opções adicionais:
Visite o Speech API Web website demonstração que mencionei anteriormente. Se o microfone estiver desligado, você terá verificação semelhante para o slide abaixo.
Para aqueles que querem ter certeza absoluta, desativar fisicamente o microfone on-board, e quando um microfone é necessário, conecte um microfone auxiliar na tomada apropriada. 

Microfone Chrome 4.jpg
 Autor:

Sobre 

Michael Kassner Atualmente é gerente de sistemas de uma empresa internacional.Juntamente com seu filho, ele corre MKassner Net, uma pequena consultoria publicação de TI.

0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo