当前的位置是:主页 >> 保险

Chrome关闭后仍可窃听语音识别成元凶注意

2020-11-20

Chrome关闭后仍可窃听 语音识别成元凶

虽然我们已经习惯了与中的Siri、汽车语音控制系统甚至是谷歌眼镜聊天,但是对着电脑说话仍然让我们觉得很奇怪。不过相信经常使用谷歌搜索都人知道,在访问之后在搜索框的右侧有一个小小的麦克风图标,而按下这个按钮浏览器就会询问是否允许使用麦克风并且开始使用语音搜索。

但是这个被许多用户视作为非常方便的功能现在已经有可能被非法的恶意站利用,将谷歌Chrome浏览器变成窃听器

,即使当前标签或浏览器被关闭仍然可以继续被窃听。

漏洞详情

本周一位又在此基础上增加了素质班招生名叫Tal Ater的开发人员在测试语音识别应用时发现了非常奇怪的现象,由于Chrome浏览器的麦克风设定问题,因此任何支持语音识别的站,几乎可以通过一个弹出窗口,在后台无限地进行录制。而这个漏洞可以从电脑麦克风监听用户的谈话。如果中招的话,即便未开启Chrome浏览器,或是未主动使用麦克风,使用者的谈话也会被窃听。而Ater还特意录制了一段视频来印证了自己的发现。

Ater表示,他发现这个问题出在Chrome浏览器的麦克风许可政策。如果用户允许支持HTTPS的站在Chrome浏览器中使用麦克风,则该站的任何实例都可以获得该许可,包括不受注意的在后台弹出的窗口,且由于代码是在另外的窗口执行的,所以Chrome的录制图标并不会显示出来。因此从表面上看,该站并没有访问计算机。而唯一的解决办法是人工撤销麦克风权限许可,但大多数用户一般都不会考虑到这一点,甚至根本都知道这一点。

更糟糕的是,即使用户已经意识到了有窗口在运行并且关闭,只要有其它常规的Chrome标签存在,这种麦克风的激活状态仍然不会改变,并且依然在录音中的状态。而这将是一个非常令人不安的状况,如果一旦有恶意站来利用Chrome的这个语音搜索机制监听用户的离线内容,将会给用户的安全和隐私造成非常大的影响。

谷歌公司的反应

Ater表示他曾经早在去年9月就向谷歌发出了关于此事的警告,之后才将漏洞进行公开。谷歌公司曾向Ater表态会修复这些漏洞,但他在4个月后发现漏洞依然存在。

不过谷歌公司在一份安全生声明中就已经表示用户的安全是最重要的事情,而Chrome浏览器的语音识别功能在设计时就已经考虑了使用的安全性和隐私。谷歌认为,Chrome用户必须靠点击一个按钮,才可以开启语音识别功能,站才可以接受电脑的麦克风讯号,而且这一功能是兼容页标准的。另外,有的站会设置为,每次在被访问时均跳出权限申请请求提示。

而最终谷歌公司决定不做改动,是因为用并修改个性签名为活动指定签名户在具体使用中,一定会允许站访问自己的麦克风,另外也是因为要保证这一语音识别工具与页标准兼容。据悉,谷歌公司现正准备使用更显眼的提示,让用户清楚麦克风的权限被授予到了哪些站手中。

因此从目前来看,谷歌公司虽然已经针对此问题召开了内部会议讨论,但是依然没有是否将此视作真正的漏洞修复而达成共识。因此希望使用过Chrome语音功能的用户采取手动的方式将麦克风进行关闭,拒绝恶意站控制麦克风,只要通过六步操作查看哪些站获得权限,并且拒绝访问这些恶意站即可。

详细步骤为点击Chrome浏览器的Chrome菜单、点选设置、点选显示高级设置、点选隐私下的内容设置、点选媒体下的管理例外、然后就可以看到获得权限的站列表。

朔州白癜风重点医院
哪些患者不可以用伏格列波糖
幼儿病毒性腹泻
标签
友情链接