Autor: Batou | 12.4.2014 |
Zásluhy si tentokrát připsal izraelský bezpečnostní výzkumník Guy Aharonovsky a chyba byla, jak asi tušíte, objevena v API hlasového rozpoznávání. To umožňuje, podobně jako v androidích zařízeních, diktovat prohlížeči dotaz k vyhledání pomocí hlasu a Chromu. Podobná chyba byla nalezena již v lednu tohoto roku.
Jak Aharonovsky uvádí na svém blogu, využití této zranitelnosti nelze předejít ani zablokováním mikrofonu v Chromu (chrome://settings/content). Nahlášená zranitelnost umožňuje exploitaci tzv. „-x-webkit-speech“ a s pomocí škodlivé webové aplikace je na odposlech zaděláno. A přitom stačí jediný řádek HTML kódu:
<input -x-webkit-speech="" />
Aharonovsky také zveřejnil proof-of-concept na YT: