Chrome关闭后仍可窃听 语音识别成元凶

虽然我们已经习惯了与手机中的Siri、汽车语音控制系统甚至是谷歌眼镜聊天，对着电脑说话仍然让我们觉得很奇怪。不过相信经常使用谷歌搜索都人知道，在访问Google.之后在搜索框的右侧有一个小小的麦克风图标，而按下这个按钮浏览器就会询问是否允许使用麦克风并且开始使用语音搜索。

这个被许多用户视作为非常方便的功能现在已经有可能被非法的恶意网站利用，将谷歌Chrome浏览器变成窃听器，即使当前标签或浏览器被关闭仍然可以继续被窃听。

漏洞详情

本周一位名叫Tal Ater的开发人员在测试应用时发现了非常奇怪的现象，由于Chrome浏览器的麦克风设定问题，任何支持的网站，几乎可以通过一个弹出窗口，在后台无限地进行“录制”。而这个漏洞可以从电脑麦克风监听用户的谈话。如果中招的话，即便未开启Chrome浏览器，或是未主动使用麦克风，使用者的谈话也会被窃听。而Ater还特意录制了一段视频来印证了自己的发现。

Ater表示，他发现这个问题出在Chrome浏览器的麦克风许可政策。如果用户允许支持HTTPS的网站在Chrome浏览器中使用麦克风，则该网站的任何实例都可以获得该许可，包括不受注意的在后台弹出的窗口，且由于代码是在的窗口执行的，所以Chrome的录制图标并不会显示出来。从表面上看，该网站并没有访问计算机。而唯一的解决办法是人工撤销麦克风权限许可，但大多数用户一般都不会考虑到这一点，甚至根本都知道这一点。

更糟糕的是，即使用户已经意识到了有窗口在运行并且关闭，只要有其它常规的Chrome标签存在，这种麦克风的激活状态仍然不会改变，并且依然在“录音中”的状态。而这将是一个非常令人不安的状况，如果一旦有恶意网站来利用Chrome的这个语音搜索机制监听用户的离线内容，将会给用户的安全和隐私造成非常大的影响。

谷歌公司的反应

Ater表示他曾经早在去年9月就向谷歌发出了关于此事的警告，之后才将漏洞进行公开。谷歌公司曾向Ater表态会修复这些漏洞，但他在4个月后发现漏洞依然存在。

不过谷歌公司在一份安全生声明中就已经表示用户的安全是最重要的事情，而Chrome浏览器的功能在设计时就已经考虑了使用的安全性和隐私。谷歌认为，Chrome用户必须靠点击一个按钮，才可以开启功能，网站才可以接受电脑的麦克风讯号，而且这一功能是兼容网页标准的。，有的网站会设置为，每次在被访问时均跳出权限申请请求提示。

而最终谷歌公司决定不做改动，是因为用户在具体使用中，一定会允许网站访问自己的麦克风，也是因为要保证这一工具与网页标准兼容。据悉，谷歌公司现正准备使用更显眼的提示，让用户清楚麦克风的权限被授予到了哪些网站手中。

从目前来看，谷歌公司虽然已经针对此问题召开了内部会议讨论，依然没有是否将此视作真正的漏洞修复而达成共识。希望使用过Chrome语音功能的用户采取手动的方式将麦克风进行关闭，拒绝恶意网站控制麦克风，只要通过六步操作查看哪些网站获得权限，并且拒绝访问这些恶意网站即可。

详细步骤为点击Chrome浏览器的“Chrome菜单”、点选“设置”、点选“显示高级设置”、点选“隐私”下的“内容设置”、点选“媒体”下的“管理例外”、然后就可以看到获得权限的网站列表。