Eles podem espionar você pelo Chrome

Paulo Brito
30/01/2014
vulnerabilidade-chrome
Ilustração do blog de Alex Savitsky, da Kaspersky

O especialista Alex Savitsky, da Kaspersky, faz um alerta em seu blog no site da companhia: os PCs não só são capazes de espionar você através de câmeras, mas também de ouvir, e de uma forma discreta. Os únicos requisitos são o Google Chrome instalado no PC do usuário e um microfone. Não é surpresa, diz ele, já que os sites e aplicativos modernos são capazes de interagir com uma grande variedade de periféricos do PC. “É claro que para isso o usuário tem de dar seu consentimento, mas esse processo é geralmente bastante fácil, simples e geralmente envolve apenas um clique do botão ‘Sim’. Por exemplo, para fazer upload de uma foto num perfil de rede social, basta apenas confirmar o pedido no pop-up que vem do site e permitir que a câmera tire uma foto. Mas poderia ser verdade que o recurso da Web, sem o consentimento do usuário, continua a controlar algumas das funções de um PC?”

A resposta de Alex é sim: “Tal Ater, um desenvolvedor de software israelense, provou que há uma boa chance de isso acontecer. A vulnerabilidade que ele encontrou no código do navegador Google Chrome, se explorada por um criminoso, pode transformar um PC comum no recurso perfeito para espionar o usuário. A única coisa que ele precisa fazer é atrair esse usuário para usar ao menos uma vez o recurso de reconhecimento de voz, fazendo com que ligue o microfone uma única vez. A partir desse momento, o criminoso é capaz de gravar o som através do microfone, mesmo depois que a página foi fechada. O indicador vermelho intermitente, na barra de tarefas do navegador, indicando que a gravação está em andamento, é convenientemente desligado pelo criminoso, levando o usuário a acreditar que a gravação terminou.

Para provar sua descoberta, Ater gravou um vídeo de quatro minutos mostrando como um usuário abre e fecha uma página web comprometida, que usa os recursos de transposição de fala para texto, mas, em seguida continua a gravar o som em segundo plano. A gravação é então enviada aos servidores do Google para conversão em texto e depois volta a cair nas mãos do criminoso.

Infelizmente o Google está informado disso desde setembro passado segundo Alex. Ele recomenda que os usuários fiquem alertas e evitem visitar páginas de reconhecimento de voz usando o Chrome. Como último recurso, você pode descarregar o browser, juntamente com todos os marcadores e processos em execução – desta forma ele não será capaz de gravar qualquer coisa, ou enviar os dados para um cibercriminoso. Em último caso, o melhor é fechar o browser e assim derrubar todos os processos que ele iniciou. Mas naturalmente os cibercriminososo vão conseguir um modo de usar o browser apenas como meio de entrada e permanecer gravando mesmo depois que ele tenha sido fechado. Como sempre, é só uma questão de tempo.

 

Compartilhar: