但是這個(gè)被許多用戶視作為非常方便的功能現(xiàn)在已經(jīng)有可能被非法的惡意網(wǎng)站利用，將谷歌Chrome瀏覽器變成竊聽器，即使當(dāng)前標(biāo)簽或?yàn)g覽器被關(guān)閉仍然可以繼續(xù)被竊聽。

　　漏洞詳情

　　本周一位名叫Tal Ater的開發(fā)人員在測試語音識(shí)別應(yīng)用時(shí)發(fā)現(xiàn)了非常奇怪的現(xiàn)象，由于Chrome瀏覽器的麥克風(fēng)設(shè)定問題，因此任何支持語音識(shí)別的網(wǎng)站，幾乎可以通過一個(gè)彈出窗口，在后臺(tái)無限地進(jìn)行“錄制”。而這個(gè)漏洞可以從電腦麥克風(fēng)監(jiān)聽用戶的談話。如果中招的話，即便未開啟Chrome瀏覽器，或是未主動(dòng)使用麥克風(fēng)，使用者的談話也會(huì)被竊聽。而Ater還特意錄制了一段視頻來印證了自己的發(fā)現(xiàn)。

　　Ater表示，他發(fā)現(xiàn)這個(gè)問題出在Chrome瀏覽器的麥克風(fēng)許可政策。如果用戶允許支持HTTPS的網(wǎng)站在Chrome瀏覽器中使用麥克風(fēng)，則該網(wǎng)站的任何實(shí)例都可以獲得該許可，包括不受注意的在后臺(tái)彈出的窗口，且由于代碼是在另外的窗口執(zhí)行的，所以Chrome的錄制圖標(biāo)并不會(huì)顯示出來。因此從表面上看，該網(wǎng)站并沒有訪問計(jì)算機(jī)。而唯一的解決辦法是人工撤銷麥克風(fēng)權(quán)限許可，但大多數(shù)用戶一般都不會(huì)考慮到這一點(diǎn)，甚至根本都知道這一點(diǎn)。

　　更糟糕的是，即使用戶已經(jīng)意識(shí)到了有窗口在運(yùn)行并且關(guān)閉，只要有其它常規(guī)的Chrome標(biāo)簽存在，這種麥克風(fēng)的激活狀態(tài)仍然不會(huì)改變，并且依然在“錄音中”的狀態(tài)。而這將是一個(gè)非常令人不安的狀況，如果一旦有惡意網(wǎng)站來利用Chrome的這個(gè)語音搜索機(jī)制監(jiān)聽用戶的離線內(nèi)容，將會(huì)給用戶的安全和隱私造成非常大的影響。

? ??谷歌公司的反應(yīng)

　　Ater表示他曾經(jīng)早在去年9月就向谷歌發(fā)出了關(guān)于此事的警告，之后才將漏洞進(jìn)行公開。谷歌公司曾向Ater表態(tài)會(huì)修復(fù)這些漏洞，但他在4個(gè)月后發(fā)現(xiàn)漏洞依然存在。

　　不過谷歌公司在一份安全生聲明中就已經(jīng)表示用戶的安全是最重要的事情，而Chrome瀏覽器的語音識(shí)別功能在設(shè)計(jì)時(shí)就已經(jīng)考慮了使用的安全性和隱私。谷歌認(rèn)為，Chrome用戶必須靠點(diǎn)擊一個(gè)按鈕，才可以開啟語音識(shí)別功能，網(wǎng)站才可以接受電腦的麥克風(fēng)訊號(hào)，而且這一功能是兼容網(wǎng)頁標(biāo)準(zhǔn)的。另外，有的網(wǎng)站會(huì)設(shè)置為，每次在被訪問時(shí)均跳出權(quán)限申請(qǐng)請(qǐng)求提示。

　　而最終谷歌公司決定不做改動(dòng)，是因?yàn)橛脩粼诰唧w使用中，一定會(huì)允許網(wǎng)站訪問自己的麥克風(fēng)，另外也是因?yàn)橐ＷC這一語音識(shí)別工具與網(wǎng)頁標(biāo)準(zhǔn)兼容。據(jù)悉，谷歌公司現(xiàn)正準(zhǔn)備使用更顯眼的提示，讓用戶清楚麥克風(fēng)的權(quán)限被授予到了哪些網(wǎng)站手中。

　　因此從目前來看，谷歌公司雖然已經(jīng)針對(duì)此問題召開了內(nèi)部會(huì)議討論，但是依然沒有是否將此視作真正的漏洞修復(fù)而達(dá)成共識(shí)。因此希望使用過Chrome語音功能的用戶采取手動(dòng)的方式將麥克風(fēng)進(jìn)行關(guān)閉，拒絕惡意網(wǎng)站控制麥克風(fēng)，只要通過六步操作查看哪些網(wǎng)站獲得權(quán)限，并且拒絕訪問這些惡意網(wǎng)站即可。

　　詳細(xì)步驟為點(diǎn)擊Chrome瀏覽器的“Chrome菜單”、點(diǎn)選“設(shè)置”、點(diǎn)選“顯示高級(jí)設(shè)置”、點(diǎn)選“隱私”下的“內(nèi)容設(shè)置”、點(diǎn)選“媒體”下的“管理例外”、然后就可以看到獲得權(quán)限的網(wǎng)站列表。

?