Chrome dính lỗi cho phép web độc nghe lén mọi lúc, mọi nơi

Trong khi phát triển phần mềm nhận diện giọng nói của mình, một lập trình viên người Israel có tên Tal Ater đã phát hiện ra rằng Chrome có thể bị thay đổi để lắng nghe tất cả các đoạn hội thoại đến từ máy vi tính của người dùng.

Theo nhà phát triển này, Google đã cố gắng sửa lỗi (bug) nói trên từ tháng 10/2013, song cho tới giờ bản cập nhật này vẫn chưa được đưa tới người dùng. Gã khổng lồ Google tuyên bố rằng, đây không phải là một mối đe dọa trực tiếp đối với người dùng.

Ngay cả khi bạn không sử dụng máy vi tính của mình, Chrome “vẫn có thể ghi lại các cuộc trò chuyện, cuộc họp và cuộc gọi ở gần bạn”, Tal Ater tuyên bố trong bài viết trên blog của mình. Lỗ hổng bảo mật này sẽ được kích hoạt khi các trang web độc cố tình chỉnh sửa cách nhận diện giọng nói của Chrome.

Thông thường, người dùng phải trực tiếp cấp quyền nhận diện giọng nói cho bất kì trang web nào muốn sử dụng microphone trên máy của họ. Một khi người dùng đã cấp quyền sử dụng, Chrome sẽ hiển thị một dấu chấm màu đỏ trên tab tương ứng để báo hiệu rằng trang web này đang lắng nghe người dùng.

Video clip tái hiện lỗ hổng Chrome của Tal Ater

Nhưng, trong đoạn video đi kèm bài viết của mình, Ater đã cho thấy các trang web hoàn toàn có thể sử dụng các đoạn code đặc biệt, lách qua quá trình cho phép và kích hoạt một cửa sổ pop-up riêng có thể nghe lén người dùng.

“Trang web độc có thể tiếp tục nghe lén bạn sau khi bạn đã rời khỏi trang web đó. Miễn là Chrome còn chạy, bạn không còn quyền riêng tư nữa”.

Ater cũng đã đưa ra câu hỏi vì sao lỗ hổng bảo mật này vẫn chưa được Google vá. Gã khổng lồ tìm kiếm trả lời rằng, phải đến sự kiện World Wide Web Consortium (W3C), hội thảo toàn cầu vốn có vai trò đặt ra các tiêu chuẩn cho web và Intenrnet, Google mới đưa ra quyết định xử lý về sự cố này.

“Bảo mật cho người dùng là một ưu tiên hàng đầu, và tính năng giọng nói được thiết kế khi đã xét tới cả bảo mật và quyền riêng tư. Chúng tôi đã điều tra lại, nhưng vẫn thấy bất kỳ mối đe dọa trực tiếp nào từ lỗ hổng này, do người dùng cần phải cho phép nhận diện giọng nói với mỗi trang web đưa ra yêu cầu này”, đại diện chính thức của Google đưa ra tuyên bố. “Tính năng này hoàn toàn tương thích với các qui định hiện có của W3C, và chúng tôi sẽ tiếp tục nghiên cứu nhằm cải thiện tính năng này”.

Theo BBC