Ο ισραηλινός εμπειρογνώμονας ασφάλειας Guy Αharonovsky εντόπισε μια ευπάθεια στην παλιά έκδοση της λειτουργίας αναγνώρισης ομιλίας του Google Chrome, η οποία θα μπορούσε να αξιοποιηθεί για την παρακολούθηση των χρηστών. Η συγκεκριμένη ευπάθεια μπορεί να χρησιμοποιηθεί για την υποκλοπή του αντίγραφου ομιλίας που παράγεται από τον browser, όταν ο χρήστης χρησιμοποιεί το συγκεκριμένο API. Ο ερευνητής ανέπτυξε ένα online παιχνίδι, αποδεικνύοντας την ευπάθεια.
Το ευάλωτο API εισήχθη παράλληλα με την κυκλοφορία του Chrome 11. Η Google έχει κυκλοφορήσει μια νεότερη έκδοση της εφαρμογής έκτοτε, αλλά ο Aharonovsky πιστεύει ότι υπάρχουν αρκετές ιστοσελίδες που χρησιμοποιούν ακόμη την παλιά εφαρμογή.
Για να αποδείξει τα ευρήματά του, ο εμπειρογνώμονας δημιούργησε μια ιστοσελίδα που φαίνεται να είναι ένα απλό παιχνίδι. Τα υποψήφια θύματα καλούνται να φυτέψουν σπόρους δέντρων και καθώς τα δέντρα μεγαλώνουν μπορούν να κάνουν ευχές, τις οποίες πρέπει να υπαγορεύουν στο μικρόφωνο του υπολογιστή.
Οι χρήστες δεν γνωρίζουν ωστόσο ότι οι ευχές τους καταγράφονται από τον επιτιθέμενο, καθώς η δυνατότητα αναγνώρισης ομιλίας ενεργοποιείται κάθε φορά που κάνουν κλικ στην οθόνη.
“Αυτό είναι αρκετό για να ακούσει κάποιος την ομιλία του χρήστη, χωρίς άδεια και χωρίς να του παρέχει καμία ένδειξη.”
Ο Aharonovsky δήλωσε στην IBTimes ότι η Google έχει ενημερωθεί σχετικά με το ζήτημα, όμως θεωρεί ότι το σφάλμα είναι «χαμηλής σοβαρότητας» και δεν το βλέπει ως ύψιστη προτεραιότητα.
Αυτή δεν είναι η πρώτη φορά που οι ειδικοί δείχνουν πώς μπορεί να γίνει κατάχρηση της εφαρμογής αναγνώρισης ομιλίας της Google. Νωρίτερα φέτος, ο ερευνητής Tal Ater απέδειξε ότι το χαρακτηριστικό που επιτρέπει στους χρήστες να πραγματοποιούν αναζητήσεις στο Google Chrome, υπαγορεύοντάς του αυτό που ψάχνουν, μπορεί να χρησιμοποιηθεί για την κατασκοπεία των ιδιωτικών τους συνομιλιών.
Παρακάτω μπορείτε να δείτε το βίντεο που δημοσιεύθηκε από τον Guy Aharonovsky. Πρόσθετες λεπτομέρειες σχετικά με την ευπάθεια αναγνώρισης ομιλίας του API είναι διαθέσιμες στο blog του ερευνητή.