Kolejny sposób na podsłuchiwanie przez Chrome

[remool]

Dziwicie się dlaczego w tym dziale?...ponieważ uważam chrome jak i wszystkie inne programy i usługi od googla za złośliwe oprogramowanie
Kolejny sposób na podsłuchiwanie przez Chrome: winna nieprzemyślana implementacja

W styczniu tego roku izraelski programista przypadkiem odkrył, jak łatwo jest przekształcić Google Chrome w urządzenie podsłuchowe

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

wykorzystując nie do końca zgodne ze standardami zachowanie tej przeglądarki. Teraz inny izraelski programista pokazuje podobny atak, pozwalający przejąć transkrypcję mowy na tekst podsłuchanej przez mikrofon komputera – i to nawet jeśli użytkownik nie dał aplikacji dostępu do mikrofonu.

Sprytne nadużycie starego interfejsu mowy w Google Chrome, -x-webkit-speech, możliwe jest temu, że element HTML, który przyjmuje mowę użytkownika, może przyjąć dowolny rozmiar i poziom przezroczystości, nie tracąc nic na funkcjonalności. Taki niewidzialny element może przejmować wszystkie kliknięcia na stronie.

Jak widać, nie jest to jakaś wyrafinowana technika, raczej wykorzystanie nieprzemyślanej implementacji interfejsu mowy, aktywowanego elementem <input-x-webkit-speech />. Nie ma tu żadnych specjalnych okienek dialogowych dla uzyskania zgody na nagrywanie, a wskaźnik mówiący informujący o tym, że trwa nagrywanie na stronie, może być łatwo ukryty, wyrzucony poza widoczny obszar ekran.Przykład takiego ataku jego odkrywca Guy Aharonovski, przedstawił na poniższym filmie. Choć zademonstrowano go na wersji Chrome dla OS-a X, działa on też na Windows i Linuksie. Możecie też sami wypróbować jego działanie, klikając tutaj.

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Co gorsze, nawet jeśli zablokować aplikacjom dostęp do kamery i mikrofonu w panelu chrome://settings/content, atak wciąż jest możliwy.Błąd został zgłoszony do Google przez tracker projektu Chromium. Specjalnego wrażenia na programistach Google'a jednak nie zrobił, oznaczono go jako mało istotny, co oznacza, że opracowanie łatki nie jest priorytetem. Dopiero ujawnienie sprawy na łamach Reddita spowodowało podwyższenie oszacowania poziomu ryzyka, i opracowanie łatki.

Zastanawiam się nad jednym...czy faktycznie nieprzemyślana ..a może wręcz odwrotnie...przemyślana i to bardzo dokładnie

 

[Anonymous]

Zastanawiam się nad jednym...czy faktycznie nieprzemyślana ..a może wręcz odwrotnie...przemyślana i to bardzo dokładnie

Chyba raczej, to drugie )