Google Chromeにパソコンを盗聴器に変える脆弱性

cat-it毎度いろいろなPCの悪用方法が発見されていて実は脆弱性じゃなくて隠し機能にクラッカーが気付いたんじゃないかとも思えます、不具合が多くて評判の悪いChrome32から対策としてマイクや動画が機能していたらタブに表示するようになっています。

GoogleがPCでの音声検索対応初めたせいでブラウザでマイクの利用率が増えたんですが、未知の盗聴の対策としてカメラやマイクが必要なアプリ(Skype等のアプリ)を使う時以外はマイクをミュートしておくかオフしておけば漏れても多少安心です。

こういう事考えなきゃPC使えないって世知辛い不幸な時代だと思います。

以下引用元: ニュース – Google Chromeにパソコンを盗聴器に変える脆弱性、—米メディアが報道:ITpro.

米GoogleのWebブラウザ-「Chrome」に、パソコンを盗聴器に変えてしまう脆弱性が見つかったと、複数の米メディア(InformationWeek、Gizmodoなど)が現地時間2014年1月22日に報じた。悪意のあるサイトは同脆弱性を利用することで、パソコンのマイクを起動し、パソコン周辺の音声を拾って記録できるという。

 Chromeの脆弱性を最初に確認したイスラエルのWeb開発者、Tal Ater氏によると、ユーザーが不正サイトから離れても盗聴は継続され、Chromeが起動している限り、パソコンのすぐそばで行われる会話や通話が記録される可能性がある。

 ユーザーがChromeの音声認識技術に対応したサイトを訪れた場合、サイトはマイクを使用する許可をユーザーに求める。ユーザーが承認すると、音声認識が有効になっていることを示すアイコンがタブに表れる。通常、ユーザーが音声認識を無効に切り替えたり、サイトを移動したりすると、Chromeは音声の聴取を終了する。

 しかし不正なサイトでユーザーが音声認識を有効にすると、隠れたウィンドウが開き、メインのウインドウが閉じられた後に、ユーザーの許可なく音声聴取を開始する。たとえユーザーがウインドウの存在に気づいても、音声認識が機能していること示す目印はどこにも表示されないため、盗聴されていることは分かりにくい。

 Ater氏が9月13日にGoogleに脆弱性の発見を報告したところ、9月19日までに同社エンジニアはバグを特定し、修正すると答え、9月24日にパッチが用意された。しかし、いっこうにパッチがリリースされないためGoogleのエンジニアリングチームに問い合わせたところ、標準化関連部門の承認を得られていないとの回答だった。最初の報告から4カ月が経った現在も、脆弱性は修正されていないという。

広告