Chrome曝语音识别漏洞:麦克风可被长期监听

  网易科技讯 1月23日消息,据国外媒体报道,有一名开发人员在周三透露,网页程序的开发者可以利用谷歌Chrome浏览器中的一处漏洞,从电脑麦克风监听用户的谈话。如果中招,即便未开启Chrome浏览器,或是未主动使用麦克风,使用者的谈话也会被窃听。

  这位名为塔尔·艾特尔(Tal Ater)的开发者在一家名为Tel Aviv的科技创业公司工作,还打造了一个可以为网站添加语音识别功能的代码库,有不少用户。在开发这些工具的时候,艾特尔发现,有数个漏洞可以用来窃听用户在电脑附近的谈话——只要这台电脑配有麦克风。

  艾特尔在自己的网站上发布了一段视频,称“通过这些方式可以将谷歌Chrome浏览器变成一个监听工具。无论是在家中还是在办公室,这都会危害到用户的隐私,哪怕用户没有在使用电脑。”

  Chrome用户可以拒绝恶意网站控制自己的麦克风,只要拒绝这些网站的访问就可以。用户可以通过六步的操作,看到哪些网站获得过权限。(具体步骤是,点击Chrome浏览器的“Chrome菜单”;点选“设置”;点选“显示高级设置”;点选“隐私”下的“内容设置”;点选“媒体”下的“管理例外”,然后就可以看到获得权限的网站列表。)

  谷歌在一份声明中表示,“用户安全是最重要的,这项功能(指Chrome上的语音识别)在设计时就考虑了安全和隐私的因素。”

  谷歌还表示,Chrome用户必须靠点击一个按钮,才可以开启语音识别功能,网站才可以接受电脑的麦克风讯号,而且这一功能是兼容网页标准的。另外,有的网站会设置为,每次在被访问时均跳出权限申请请求提示。

  即便如此,恶意网站还是能伪装自己,骗取用户的信任并在后台工作,哪怕关闭网页也无法阻止程序在后台运行,艾特尔如是说。

  艾特尔表示,他不知道是否有人在利用这些漏洞。早在去年9月,他就向谷歌发出了关于此事的警告,后来才将漏洞公开。谷歌曾向艾特尔表态会修复这些漏洞,但他在4个月后发现漏洞依然存在。

  消息人士称,谷歌最终决定不做改动,是因为用户在具体使用中,一定会允许网站访问自己的麦克风,另外也是因为要保证这一语音识别工具与网页标准兼容。该人士称,谷歌现正准备使用更显眼的提示,让用户清楚麦克风的权限被授予到了哪些网站手中。

  这一漏洞的披露凸显了日益增长的隐私焦虑。互联网与手机用户已经习惯随手赋予应用与网站权限,允许它们访问诸如联系人、地理位置等隐私信息,以及麦克风这样的工具。然而用户没意识到,即便在使用之后,这些应用和网站还会在后台继续收集信息。

  这一漏洞也正好击中语音识别工具的软肋。谷歌的终极目标是,人人都能与日常生活中的电脑谈话,这些电脑将无处不在,而且会接收它们需要的信息。谷歌眼镜、摩托罗拉“X系列”手机,以及手机与Chrome上的谷歌搜索,都是这个方向的产品,它们全部支持语音操控。

  “我本人对语音识别工作很感兴趣,”艾特尔在接受采访时表示。“我相信语音识别会推动网络发展。我见识过这种功能的威力,从食谱应用到语音控制的无人机,到处都有它的身影。”

  谷歌Chrome已经超越了苹果Safari、火狐、微软IE以及其他产品,成为了全球使用者最多的浏览器。该产品的主打卖点一向是“卓越的安全性”。(亚比)

时间: 2024-09-28 12:46:16

Chrome曝语音识别漏洞:麦克风可被长期监听的相关文章

Chrome 曝语音识别漏洞:麦克风可被长期监听

据国外媒体报道,有一名开发人员在周三透露,网页程序的开发者可以利用谷歌Chrome浏览器中的一处漏洞,从电脑麦克风监听用户的谈话.如果中招,即便未开启Chrome浏览器,或是未主动使用麦克风,使用者的谈话也会被窃听. 这位名为塔尔·艾特尔(Tal Ater)的开发者在一家名为Tel Aviv的科技创业公司工作,还打造了一个可以为网站添加语音识别功能的代码库,有不少用户.在开发这些工具的时候,艾特尔发现,有数个漏洞可以用来窃听 用户在电脑附近的谈话--只要这台电脑配有麦克风. 艾特尔在自己的网站上

T-Mobile旧版网络电话软件存Wi-Fi漏洞 或致呼叫被监听

正如其名,T-Mobile的Wi-Fi呼叫功能,使得用户可以通过一个无线网络来拨打或接听电话-- 但是该系统旧版本里的一个漏洞,或导致用户遭受攻击.根据报道,加州大学伯克利分校的研究生Jethro Beekman和Christopher Thompson发现,部分版本的Wi-Fi呼叫软件,不能正确地验证用于该功能的 服务器端安全证书.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' border="0"

Android曝新漏洞:黑客可用一键认证盗取用户密码

近段时间,黑客们在Android系统中发现了大量的漏洞,其中包括了将合法Android软件变成恶意软件.FBI可远程监听Android电话麦克风等等.现在, PCWorld又曝出了Android的一个新漏洞--使用谷歌的一键式认证即可盗取用户密码.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' style="width: 464px; height: 338px" border="0&quo

安卓被曝新漏洞 Google语音搜索攻击

[中关村在线软件资讯]7月25日消息:据媒体报道,安卓被曝出新漏洞,Google语音搜索攻击,攻击者可利用一个零权限的Android应用VoicEmployer,前台激活操作系统内置的语音助手模块GoogleVoiceSearch,后台播放预先准备好的音频文件,语音搜索能识别语音命令执行相应操作.Google语音搜索借助这一机制,攻击者不需要任何权限就可以拨打任意电话号码,伪造短信/电子邮件,访问私人信息传输敏感数据,实现远程控制.研究人员认为,在理论上任何内置GoogleServices Fr

PNG 图片处理库 libpng 曝出漏洞,已初步修复

图片处理库libpng日前曝出漏洞,且需要尽快得到修复.最大的问题在于,libpng的普及范围实在太过广泛--浏览器中任何与生成缩略图相关的图片处理任务外加文件查看工具.音乐播放器等每款操作系统都离不开的应用程序. 经过精心构建的图片能够导致应用甚至服务器进程发生崩溃. 首先强调,这不是什么好消息:图片处理库libpng日前曝出漏洞,且需要尽快得到修复. 最大的问题在于,libpng的普及范围实在太过广泛--浏览器中任何与生成缩略图相关的图片处理任务外加文件查看工具.音乐播放器等每款操作系统都离

趋势科技杀毒软件被曝严重漏洞,黑客能够窃取你的所有密码

如果你电脑上安装了趋势科技(Trend Micro)的杀毒软件,那么此时你需要当心啦.因为你的电脑可能会被远程劫持,甚至通过一个网站就能感染任何恶意软件,这都是因为存在于趋势科技安全软件中的一个严重漏洞. 趋势科技杀软曝严重漏洞 著名杀毒软件制造商兼安全公司趋势科技发布了一个紧急补丁,以此来修复其杀毒软件产品中存在的几个严重漏洞,这些漏洞允许黑客远程执行任意命令,并可以窃取用户使用其杀毒软件中内置的密码管理器所保存的密码. 这个密码管理工具是与其主要的杀毒软件绑定在一起的,用于存储用户密码,工作

开源软件再曝重大漏洞 “幽灵”可远程控制Linux服务器

本文讲的是开源软件再曝重大漏洞 "幽灵"可远程控制Linux服务器,大多数Linux系统中广泛使用的一个组件存在严重漏洞(CVE-2015-0235),攻击者只需发送一封恶意邮件即可远程控制系统.披露该漏洞 的安全厂商Qualysg于周二表示,此漏洞存在于GNU发布的glibc(C运行库,负责定义系统调用)中,被称为"幽灵"(Ghost). 红帽.Debian.Ubuntu和Novell已经发布了更新补丁,建议系统管理员尽快打上. 该漏洞最早于2000年就出现在gl

上传隐私照片?百度全系App被曝严重漏洞

   最近火热火热的乌云平台又曝重大漏洞,这次中枪的是百度. 根据漏洞概要,百度全系安卓App全军覆没. 网上流传的的漏洞演示视频 根据这个名为"fgdgf"的ID上传的漏洞演示可以看出,这个漏洞可造成的伤害值很大,黑客在不接触用户手机的情况下,就可以: 1.对手机实现远程操控 2.安装指定应用 3.启动任意程序 4.上传隐私短信和羞羞的照片 5.弹对话框显示广告或者钓鱼链接 安全研究员 @蒸米spark 的微博截图 几乎在同一时刻,来自阿里的研究院兼白帽子"瘦蛟舞"

苹果iOS10曝新漏洞:超长字符让激活锁形同虚设

激活锁是苹果对抗iPhone窃贼的主要手段之一,它的作用是当使用者试图关闭查找iPhone功能或恢复出厂化设置时要求其输入Apple ID密码,以确认使用者是否是机主本人.苹果iOS10曝新漏洞:超长字符让激活锁形同虚设 但遗憾的是,安全专家最近一下子就发现了2种绕过激活锁的方法.第一种方法由安全研究者Hemanth Joseph所发现,他在iPad的Wi-Fi设置窗口当中输入了超长字符,以此使得iOS的安全软件层崩溃. 虽然苹果据称已经在iOS 10.1.1升级当中修复了这个bug,但bug悬