17/09/2018, 16:26

Lỗ hổng trên Google Chrome cho phép nghe lén cuộc trò chuyện

Hãy tưởng tượng bạn đang ngồi trước chiếc laptop và chiếc laptop của bạn đang lắng nghe những cuộc trò chuyện xung quanh. Điều gì sẽ xảy ra nếu bản ghi âm cuộc trò chuyện đó được đăng tải lên một trang web có chứa mã độc? Google đã tạo ra một API nhận dạng lời nói, cho phép các website tương tác ...

Hãy tưởng tượng bạn đang ngồi trước chiếc laptop và chiếc laptop của bạn đang lắng nghe những cuộc trò chuyện xung quanh. Điều gì sẽ xảy ra nếu bản ghi âm cuộc trò chuyện đó được đăng tải lên một trang web có chứa mã độc?

Google đã tạo ra một API nhận dạng lời nói, cho phép các website tương tác với Google Chrome và hệ thống microphone của máy tính sử dụng lời nói thay vì phải gõ chữ, tạo nên chế độ tìm kiếm tiện lợi và tăng tốc cuộc hội thoại.

Trong tháng Một, một lỗ hổng được phát hiện trong Google Chrome cho phép các website chứa mã độc có thể tích các phần mềm nhận dạng lời nói để nghe trộm những cuộc hội thoại của người dùng mà không cần sử các API của Google.

Chrome đang nghe lén bạn

Một lỗ hổng mới tương tự trên Google Chrome vừa được phát hiện bới một nhà nghiên cứu bảo mật người Israeli, Guy Aharonovsky cho biết, API nhận dạng giọng nói có một lỗ hổng cho phép những kẻ tấn công tấn công có thể chuyển máy tính của nạn nhân thành một thiết bị nghe lén mà không cần có bất kỳ một sự cho phép nào từ người dùng thậm chí microphone của bạn hoàn toàn không cần hoạt động.

Guy chia sẻ trên một blog rằng: “Thậm chí bạn ngăn chặn các truy cập vào microphone của mình thông qua các cài đặt trong Google Chrome (chrome://settings/content) cũng sẽ không thể khắc phục được lỗ hổng này”.

Lỗ hổng được thông báo đã khai thác tính năng “-x-webkit-speech” của API nhận dạng lời nói và cho phép một ứng dụng web chứa mã độc nghe trộm những cuộc trò chuyện mà không cần bất kỳ sự cho phép nào của người dùng cho dù microphone của họ không hề hoạt động.

Guy cũng công bố một trang web và một video minh họa cho lỗ hổng này, được thiết kế để khai thác Google Chrome trên hệ điều hành Mac. Trong video minh họa, ông đã sử dụng tính năng HTML 5 toàn màn hình để che dấu việc sử dụng và khai thác các API bên trong.

[embedyt]http://www.youtube.com/watch?v=K1BbPLkN-hg[/embedyt]

Trong Google Chrome tất cả các yêu cầu để truy cập vào một cuộc hội thoại của người dùng sử dụng dòng mã: <input -x-webkit-speech=”” />. Khi người dùng nhấp chuột vào biểu tượng micro màu xám, nó sẽ ghi âm. Người dùng sẽ nhìn thấy một “bảng hướng dẫn” nói rằng “ Đang nói” nhưng có thể bị đẩy ra khỏi màn hình.”

Guy cũng vừa báo lỗi này với Goolge thông qua hệ thống theo dõi lỗ hổng Chromium của Google. Google đã xác nhận sự tồn tại của hỗ hổng này, tuy nhiên họ cho rằng mức độ nghiêm trọng của lỗ hổng ở mức “thấp“, và vì vậy Google sẽ không cung bất kỳ một biện pháp khắc phục ngay lập tức nào cho lỗ hổng này.

0