但是這個被許多用戶視作為非常方便的功能現(xiàn)在已經(jīng)有可能被非法的惡意網(wǎng)站利用，將谷歌Chrome瀏覽器變成竊聽器，即使當(dāng)前標(biāo)簽或瀏覽器被關(guān)閉仍然可以繼續(xù)被竊聽。

　　漏洞詳情

　　本周一位名叫Tal Ater的開發(fā)人員在測試語音識別應(yīng)用時發(fā)現(xiàn)了非常奇怪的現(xiàn)象，由于Chrome瀏覽器的麥克風(fēng)設(shè)定問題，因此任何支持語音識別的網(wǎng)站，幾乎可以通過一個彈出窗口，在后臺無限地進(jìn)行“錄制”。而這個漏洞可以從電腦麥克風(fēng)監(jiān)聽用戶的談話。如果中招的話，即便未開啟Chrome瀏覽器，或是未主動使用麥克風(fēng)，使用者的談話也會被竊聽。而Ater還特意錄制了一段視頻來印證了自己的發(fā)現(xiàn)。

　　Ater表示，他發(fā)現(xiàn)這個問題出在Chrome瀏覽器的麥克風(fēng)許可政策。如果用戶允許支持HTTPS的網(wǎng)站在Chrome瀏覽器中使用麥克風(fēng)，則該網(wǎng)站的任何實例都可以獲得該許可，包括不受注意的在后臺彈出的窗口，且由于代碼是在另外的窗口執(zhí)行的，所以Chrome的錄制圖標(biāo)并不會顯示出來。因此從表面上看，該網(wǎng)站并沒有訪問計算機(jī)。而唯一的解決辦法是人工撤銷麥克風(fēng)權(quán)限許可，但大多數(shù)用戶一般都不會考慮到這一點，甚至根本都知道這一點。

　　更糟糕的是，即使用戶已經(jīng)意識到了有窗口在運(yùn)行并且關(guān)閉，只要有其它常規(guī)的Chrome標(biāo)簽存在，這種麥克風(fēng)的激活狀態(tài)仍然不會改變，并且依然在“錄音中”的狀態(tài)。而這將是一個非常令人不安的狀況，如果一旦有惡意網(wǎng)站來利用Chrome的這個語音搜索機(jī)制監(jiān)聽用戶的離線內(nèi)容，將會給用戶的安全和隱私造成非常大的影響。

? ??谷歌公司的反應(yīng)

　　Ater表示他曾經(jīng)早在去年9月就向谷歌發(fā)出了關(guān)于此事的警告，之后才將漏洞進(jìn)行公開。谷歌公司曾向Ater表態(tài)會修復(fù)這些漏洞，但他在4個月后發(fā)現(xiàn)漏洞依然存在。

　　不過谷歌公司在一份安全生聲明中就已經(jīng)表示用戶的安全是最重要的事情，而Chrome瀏覽器的語音識別功能在設(shè)計時就已經(jīng)考慮了使用的安全性和隱私。谷歌認(rèn)為，Chrome用戶必須靠點擊一個按鈕，才可以開啟語音識別功能，網(wǎng)站才可以接受電腦的麥克風(fēng)訊號，而且這一功能是兼容網(wǎng)頁標(biāo)準(zhǔn)的。另外，有的網(wǎng)站會設(shè)置為，每次在被訪問時均跳出權(quán)限申請請求提示。

　　而最終谷歌公司決定不做改動，是因為用戶在具體使用中，一定會允許網(wǎng)站訪問自己的麥克風(fēng)，另外也是因為要保證這一語音識別工具與網(wǎng)頁標(biāo)準(zhǔn)兼容。據(jù)悉，谷歌公司現(xiàn)正準(zhǔn)備使用更顯眼的提示，讓用戶清楚麥克風(fēng)的權(quán)限被授予到了哪些網(wǎng)站手中。

　　因此從目前來看，谷歌公司雖然已經(jīng)針對此問題召開了內(nèi)部會議討論，但是依然沒有是否將此視作真正的漏洞修復(fù)而達(dá)成共識。因此希望使用過Chrome語音功能的用戶采取手動的方式將麥克風(fēng)進(jìn)行關(guān)閉，拒絕惡意網(wǎng)站控制麥克風(fēng)，只要通過六步操作查看哪些網(wǎng)站獲得權(quán)限，并且拒絕訪問這些惡意網(wǎng)站即可。

　　詳細(xì)步驟為點擊Chrome瀏覽器的“Chrome菜單”、點選“設(shè)置”、點選“顯示高級設(shè)置”、點選“隱私”下的“內(nèi)容設(shè)置”、點選“媒體”下的“管理例外”、然后就可以看到獲得權(quán)限的網(wǎng)站列表。

?