Тайная запись звука браузером Google Chrome не является уязвимостью

Сотрудники компании, занимающейся информационной безопасностью, и представители фирмы Google оценили степень опасности возможности незаметно записывать голос пользователя в браузере Google Chrome.

Пользователь Tal Ater выложил в YouTube видео, которое демонстрировало, что при использовании функции распознавания голоса в браузере Google Chrome, она может продолжать работать даже после закрытия основного окна. Он сообщил, что вспомогательное окно, подсказывающее, что идет запись, может быть закрыто другими окнами, и пользователь не будет знать, что программа распознает сказанное пользователем у компьютера. Он предположил, что этой особенностью программы могут воспользоваться хакеры, кроме того, напомнил, что распознавание производится на удаленном сервере, сообщает digit.ru.

«Мы провели повторное исследование, и по-прежнему уверены, что непосредственной угрозы для компьютера нет, так как пользователь должен сначала самостоятельно включить функцию распознавания речи на каждом сайте, который её запрашивает. Функция соответствует действующему стандарту W3C, и мы продолжаем работать над ее улучшением», — ответила Digit.ru пресс-служба компании Google на запрос об опасности использования функции распознавания в браузере компании. Также в компании напомнили, что безопасность пользователей является приоритетом, и данная функция была разработана с учетом обеспечения надлежащего уровня безопасности и конфиденциальности.

Денис Макрушин, технологический эксперт «Лаборатории Касперского», согласился, что описанную особенность программы нельзя назвать уязвимостью. «Уязвимость — звучит громко, скорее, это недостаток конфигурации, который при наличии на стороне пользователя других уязвимостей позволит записать звук», — сообщил он Digit.ru. Эксперт подчеркнул, что для перехвата информации из Google Chrome злоумышленнику в любом случае придется сначала получить доступ к системе пользователя, а значит, сама возможность записывать в фоновом окне Chrome не представляет из себя уязвимость. «Это недостаток конфигурации, который можно решить каким-нибудь всплывающим уведомлением поверх всех окон: «Ведется запись с микрофона», — сказал он Digit.ru.

В настоящее время Chrome является самым популярным браузером на настольных компьютерах и ноутбуках с долей более 46%, согласно статистике сервиса StatCounter. Второе место сохраняет за собой Internet Explorer с долей 24%, третье занимает Firefox с 20%. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google закрыла в Chrome две 0-day, показанные на Pwn2Own 2024

Google оперативно устранила в Chrome две уязвимости нулевого дня (0-day), которые исследователи показали в ходе соревнования Pwn2Own 2024. Помимо этого, разработчики закрыли ещё пять дыр в браузере.

Одна из 0-day получила идентификатор CVE-2024-2887 и высокую степень риска. Класс этой бреши — несоответствие используемых типов данных (type confusion) в стандарте WebAssembly (Wasm).

На эту уязвимость указал Манфред Пол в первый день состязания Pwn2Own 2024, проходившего в Ванкувере. Эксперт также «пробил» и другие браузеры: Safari и Edge.

Вторую 0-day нашли исследователи из KAIST Hacking Lab. Её отслеживают под идентификатором CVE-2024-2886 (ошибка использования динамической памяти — use-after-free). Брешь затрагивает API WebCodecs, предназначенный для кодирования и декодирования аудио- и видеоконтента.

Сынхён Ли из KAIST Hacking Lab продемонстрировал удалённое выполнение кода на устройстве целевого пользователя с помощью эксплойта для CVE-2024-2886.

С выходом Google Chrome версий 123.0.6312.86/.87 (для Windows, macOS) и 123.0.6312.86 (для Linux) разработчики устранили перечисленные проблемы.

Напомним, на днях Mozilla тоже закрыла две 0-day в Firefox, показанные на Pwn2Own 2024. Девелоперы браузеров отработали качественно и оперативно, что не может не радовать.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru