Ouça, Chrome…

Parece que não são apenas os PCs que são capazes de espionar você através das webcams. Elas estão bem equipadas para que manter você bem vigiada e de uma maneira

Parece que não são apenas os PCs que são capazes de espionar você através das webcams. Elas estão bem equipadas para que manter você bem vigiada e de uma maneira muito mais discreta! Só precisa que o usuário tenha o Google Chrome instalado no PC  e  um microfone.

chrome

Não é nenhuma surpresa que os sites modernos são capazes de interagir com uma grande variedade de periféricos de PC. Bem, é claro, que o usuário tem que dar o seu consentimento, mas geralmente o processo é muito fácil e envolve apenas um clique no botão “Aceitar”. Por exemplo, para fazer o upload de uma foto de um perfil de rede social, só necessita apenas confirmar o pedido do site e permitir que a câmera embutida tire uma foto. A fim de evitar que o site abuse dos direitos concedidos pelo usuário, o navegador precisa levá-los para fora da página web. Mas, é possível que o recurso da web continue controlando algumas funções sem o consentimento do usuário?

Tal Ater, um desenvolvedor de software israelense, mostroue que há uma boa chance para que isso aconteça. A vulnerabilidade que ele encontrou no código do popular navegador Google Chrome, se explorada por um cibercriminoso pode transformar um PC comum em um meio perfeito de espionagem sobre um usuário. A única coisa que tem a fazer é atrair o usuário para usar o serviço web de reconhecimento de voz e permitir que o site ligue o microfone em uma única ocasião. A partir desse momento, o cibercriminoso é capaz de gravar o som através do microfone, mesmo depois que a página foi fechada. Além disso, um indicador vermelho intermitente na barra do navegador web, que serve para avisar da gravação em andamento, vai apagar fazendo com que o usuário acredite que a gravação foi encerrada.

Para apresentar a prova da sua descoberta, Ater gravou um vídeo de 4 minutos. Nele, Ater mostra perfeitamente como uma página web comprometida que usa uma aplicação de reconhecimento de voz. No vídeo o usuário que navega nesta página fecha o navegador, mas a gravação de som continua em segundo plano. Os dados de som é então enviado aos servidores do Google para serem convertidas em texto e, em seguida, retorna apenas para cair nas mãos do cibercriminoso.

A maioria dos sites que permitem o uso do microfones, utilizam conexõe sprotegidas por http. Nesses casos, o Google Chrome lembra automaticamente que para essa página foi permitida o uso de microfone e nãovolta a perguntar se o usuário deseja ou não manter essa decisão. Além disso, a mesma vulnerabilidade pode ser ajustada de modo que certas palavras são usadas como gatilhos para iniciar a gravação automaticamente. Uma ferramenta desenhada para espionar as pessoas!

O curioso é que o Google estava ciente da vulnerabilidade desde setembro do ano passado. Antes de ir a público com sua descoberta, Tal Ater entrou em contato com o gigante das buscas para que eles soubessem do problema. Em menos de duas semanas, os representantes da empresa enviou-lhe uma confirmação de que o erro foi corrigido e o patch estava pronto, no entanto, este último nunca foi publicado.

Nós só podemos imaginar por que os desenvolvedores de um dos navegadores mais importantes da internet atuaram desta maneira. Enquanto isso, nós recomendamos que você fique alerta e que evitem utilizar os recursos de reconhecimento de voz ao usar o Chrome. Como uma solução de último recurso seria deixar de usar este navegador, juntamente com todos os marcadores e aplicações. Desta forma, nada será gravado e nem será enviada informação a cibercriminosos.

  Tradução: Juliana Costa Santos Dias

Dicas