Chrome : un ensemble de bugs permet d'exploiter le microphone à l'insu de l'internaute

Le dispositif de reconnaissance vocale implémenté au sein de Chrome présenterait plusieurs bugs permettant à un site malveillant d'écouter les conversations à l'insu de l'internaute.

006E000007100536-photo-google-chrome-speech-api.jpg
En février 2013, Google publiait une nouvelle version stable de son navigateur Chrome en y ajoutant les interfaces de programmation Speech API permettant à certaines applications Web de s'enrichir de fonctionnalités de reconnaissance vocale. Le développeur Tal Ater, spécialisé dans ce type de technologies et éditeur de la bibliothèque JavaScript annyang, explique avoir repéré plusieurs bugs.

En exploitant ces différents bugs, l'homme a conçu un site Internet classique proposant de créer une liste de tâches simplement en dictant ces dernières. Dans un premier temps, il est nécessaire d'autoriser le site à exploiter le microphone de l'ordinateur. Toutefois, après avoir désactivé cet accès et quitté le site en question, le navigateur, encore ouvert, est toujours capable d'enregistrer les propos de l'internaute au sein d'un pop-up discret ouvert en arrière-plan. De son côté, Chrome n'indique pas que le microphone est toujours actif

M. Ater explique avoir rapporté le problème à Google au 13 septembre 2013. Moins d'une semaine plus tard, les ingénieurs de Google ont identifié cette vulnérabilité et conçu un patch en fin de mois. Toutefois, « le temps passe et le correctif n'a toujours pas été déployé sur les machines des internautes », affirme le développeur. Selon la firme de Mountain View, l'interface de programmation respecte les standards et « rien n'a encore été décidé ». Toutefois, selon Tal Ater en octobre 2012, le W3C aurait déjà défini la marche à suivre pour empêcher ce type de comportement.

Le code source de cet exploit a été publié au sein du répertoire GitHub. Reste à savoir si Google déploiera un correctif dans sa prochaine version stable. Retrouvez ci-dessous une vidéo (en anglais) illustrant l'exploitation de ces bugs :

Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Orange : roaming inclus depuis l'Europe et 4G entérinée le 6 février ?
Accusé d'utiliser des tweets sans autorisation, Larousse abandonne la vente d'un livre
PRISM : Microsoft, Yahoo! et Cisco lancent un appel pour davantage de transparence
Google publie un outil de test de connexion destiné à YouTube
Brevets : Google reconnu coupable d'infraction au sein d'Android
Facebook modifie son algorithme d'affichage : ce qui va changer pour les utilisateurs
Patrick Pailloux, le patron de l'ANSSI prend la direction technique de la DGSE
Satisfaction de la clientèle : Apple se fait doubler par Samsung, Sony et Microsoft
SSD : comment Toshiba va-t-il utiliser OCZ ?
Yahoo! rachète et ferme Sparq, spécialiste du marketing mobile
Haut de page