Sites maliciosos conseguem se aproveitar de configuração do navegador do Google para espionar intimidade dos usuários. Gigante de buscas promete melhorias.
O Google vem tentando há algum tempo incorporar recursos de reconhecimento de voz nos seus aplicativos web. Mas um exploit no Chrome que consegue transcrever secretamente suas conversas a não ser que você esteja prestando atenção não é o que a empresa tinha em mente.
Sempre que um site quer acessar seu microfone, o Chrome pede por permissão. Uma caixa de diálogo aparece no topo da janela do navegador, e após você dar OK, um ícone aparece na área da aba, te informando que o microfone está sendo usado. Feche a aba ou visite outro site, e o acesso ao microfone deve ser interrompido.
Mas como o desenvolvedor Tal Ater descobriu, sites maliciosos podem usar janelas pop-under para continuar ouvindo o que o usuário fala mesmo depois de ele ter ido para outro site ou fechado a janela principal do navegador. Ao contrário de uma aba normal do browser, as janelas pop-under não mostram o status de gravação, e podem continuar ouvindo por todo o tempo que estiverem abertas. O exploit também pode permanecer dormente até que o usuário fale determinadas frases chave.
O “truque”, segundo Ater, está no uso das permissões HTTPS do site. O Chrome lembra que você já deu ao microfone os privilégios de um site HTTPS, por isso você não precisa clicar em um botão de aprovação sempre que visita-lo. Infelizmente, isso também permite que o site abra uma janela pop-under e continue acessando o microfone sem permissão expressa.
Sim, as chances de um usuário habilitar o reconhecimento de voz em um site malicioso e então ficar alheio às janelas pop-under parecem pequenas. Talvez seja por isso que o Google não pareça muito preocupado em consertar logo o problema. Ater afirma que o Google está esperando o grupo de padrões W3C decidir o curso apropriado da ação, quatro meses depois de o desenvolvedor trazer o assunto à tona.
Em um comunicado ao Ars Technica, o Google disse que não vê uma ameaça imediata uma vez que os usuários precisam, primeiramente, habilitar o reconhecimento de voz para cada site. “O recurso está em acordo com o padrão atual da W3C, e continuamos trabalhando em melhorias”, afirmou a empresa em um comunicado oficial.
Enquanto isso, você pode ver quais sites possuem privilégios de microfone no Chrome ao acessar chrome://settings/contentExceptions#media-stream. Também é possível cortar completamente o acesso ao microfone acessando tochrome://settings/content, indo até a seção Media e selecionar a opção “Do not allow sites to access my camera and microphone”.
IDGNOW