Google Chrome, hack trasforma il riconoscimento vocale in una "cimice" per spiare il prossimo

Google ascolta ogni parola che dite? È in un certo senso vero da quando c'è il riconoscimento vocale, ma di solito partiamo dal presupposto che se la tenga per sè. Un hack può cambiare drammaticamente le cose!

google-riconoscimento-vocale-hack

Il browser Google Chrome si è rivelato vulnerabile a un attacco che consente a qualche hacker privo di scrupoli di sfruttare il riconoscimento vocale per cogliere le conversazioni fatte attorno al PC della sfortunata vittima.

Le condizioni per far funzionare questo hack sono tuttavia piuttosto difficili da ottenere, perché l’unica maniera è che l’utente dia inizialmente il permesso per stabilire la comunicazione tra il proprio microfono e un sito web (in questo caso, ovviamente, parliamo di un sito infettato da malware appositi).

Normalmente Chrome segnala che il microfono e la webcam sono attivi, ma grazie a questa vulnerabilità anche abbandonando la pagina in questione il microfono resta acceso, e nessuna lucina rossa o icona sul tab restano visibili, come sarebbe la regola.

Come funziona



Questo video dimostra l’hack all’opera, simulando la visita di un utente a un sito infetto. Come l’esperto di sicurezza isreaeliano Tel Ater ci fa sapere, una volta attivato per la prima volta il microfono, da quel punto in poi Chrome attiva la registrazione vocale a partire da una parola o frase stabilita dall’hacker (invece di iniziare come al solito da “hey Google”).

Finché Chrome continua a girare, tutto quello che l’utente dice è compromesso e potrebbe essere registrato. Ironia della sorte, Google aiuta l’hacker a farlo: tutto l’audio viene spedito a Google, analizzato dai suoi algoritmi e poi rispedito indietro al sito una volta riconosciute le parole.

Soluzioni


Oltre a chiudere Chrome, l’unica altra soluzione è andare sul browser, cliccare su Impostazioni sul menù a destra, scendere fino al link delle impostazioni avanzate, scendere alla categoria Privacy e cliccare su Impostazione Contenuti. Qui è possibile individuare “Multimediali” e poi cliccare su Gestisci eccezioni. Facile e intuitivo, vero? No, direi proprio di no. Qui, comunque, è facile trovare i siti che hanno i permessi per accedere al microfono e disattivarli manualmente.

La risposta di Google


Google su questa faccenda è riuscito a fare una pessima figura dal punto di vista mediatico. Tel Ater, l’esperto di cui parlavamo prima, è stato il primo a informare Google del problema, e gli è stato detto addirittura in settembre che il bug sarebbe stato patchato in pochi giorni - e che lui aveva i requisiti per il sostanzioso premio Bug Hunter (fino a $30.000).

Come avrete potuto supporre a questo punto, non è arrivato né premio né patch (peggio di quanto non faccia Yahoo!). Google ha fatto prima sapere che c’era una discussione in atto nel gruppo che si occupa degli standard. Ora che la notizia è venuta alla luce la risposta di Mountain View fa letteralmente cadere le braccia:

“La sicurezza degli utenti è prioritaria […] non riteniamo che ci sia alcuna minaccia immediata, dato che un utente deve autorizzare singolarmente il riconoscimento vocale per ogni sito che lo richiede. Questa feature è in armonia con gli attuali standard W3C, e continuiamo a lavorare a possibili miglioramenti”.

Via | Ars Technica

  • shares
  • +1
  • Mail