Anzeige
Spracherkennung in Google Chrome
Spracherkennung in Google Chrome (Bild: Google)

Mikrofonzugriff: Wieder Mithör-Bug in Chrome entdeckt

Erneut ist ein Fehler entdeckt worden, der das unbemerkte Mithören über das Speech-API in Chrome ermöglicht. Genutzt wird dazu eine längst überholte Version des APIs, die es erlaubt, das Element zu verstecken.

Anzeige

Bereits im Januar ist bekanntgeworden, dass Chrome eine Schwachstelle enthält, die es ermöglicht, unbemerkt die Spracheingabe über das Mikrofon aufzuzeichnen. Mit dem nun gefundenen Fehler ist dies ebenfalls möglich, allerdings über ein deutlich anderes Angriffsszenario.

So wird für den neuen Angriff eine sehr alte Version des Web-Speech-APIs benutzt, die vermutlich seit Version 11 in Chrome zur Verfügung stehen könnte. Das Problem an dem X-webkit-speech-Tag ist, dass ein damit erstelltes Element auf verschiedene Arten verändert werden kann, was ausgenutzt werden könnte.

So kann die Sichtbarkeit des Sprachelements in Größe und Deckkraft verändert werden. Zudem kann das Element sämtliche Klicks, die auf einer Webseite platziert werden, übernehmen, ohne selbst sichtbar zu sein, und der Hinweis auf eine Aufzeichnung kann manipuliert und außerhalb des Bildschirms gerendert werden.

Vereinfacht ausgedrückt wird das Element einfach gut versteckt und Nutzer bemerken so nicht, dass sie belauscht werden. Denn auch das nach dem Bug vom Januar eingeführte Pop-up, das die Aufnahme sichtbar machen sollte, erscheint bei dem dargestellten Angriff nicht.

Gegenüber dem aktuell in Chrome verwendeten Speech-API hat das in dem beschriebenen Angriff eingesetzte API den technischen Nachteil, dass darüber keine dauerhaften Aufnahmen gemacht werden können. Die Aufnahme muss also für jeden Satz neu gestartet werden, was einen möglichen Angriff etwas weniger gefährlich erscheinen lässt.

Ein Proof-of-Concept, der den Fehler ausnutzt, steht online bereit, ebenso wie eine detaillierte Erklärung. Der Bug-Report, der die Chrome-Entwickler dazu auffordert, das veraltete Speech-API einzumotten, ist bereits über ein Jahr alt.


eye home zur Startseite

Kommentieren



Anzeige

  1. Techniker (m/w) Service Management Center
    Vodafone Kabel Deutschland GmbH, Frankfurt
  2. Softwareentwickler (m/w) Prozess-Engineering
    FERCHAU Engineering GmbH, Region Braunschweig
  3. (Senior) Frontend Developer (m/w)
    zooplus AG, München
  4. Inhouse SAP-Berater / -Applikationsbetreuer (m/w) mit Schwerpunkt HCM
    über Hanseatisches Personalkontor Nürnberg, Nürnberg

Detailsuche



Anzeige
Blu-ray-Angebote
  1. Steelbooks zum Aktionspreis
    (u. a. Game of Thrones Staffeln 1 u. 2 mit Magnetsiegeln für je 21,97€)
  2. VORBESTELLBAR: Batman v Superman: Dawn of Justice Ultimate Collector's Edition (inkl. 3D-Steelbook & Batman Figur) (exklusiv bei Amazon
    139,99€
  3. VORBESTELLBAR: X-Men Apocalypse [Blu-ray]
    19,99€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Google und Starbreeze als Partner

    Imax arbeitet an VR-Kamera und VR-Kinos

  2. Scramjet

    Hyperschalltriebwerk erfolgreich getestet

  3. Apple

    Beta von iOS 9.3.3 und OS X 10.11.6 veröffentlicht

  4. Regulierbare Farbtemperatur

    Philips Hue White Ambiance jetzt im Handel

  5. Spotify Family

    Musikstreamingdienst wird günstiger

  6. RLV-TD

    Indien testet wiederverwendbare Raumfähre

  7. Hewlett Packard Enterprise

    "IT wird beim Autorennen immer wichtiger"

  8. Revive

    Update hebelt Oculus VRs Kopierschutz aus

  9. PGP-Unterstützung

    Neuer Roundcube-Webmailer veröffentlicht

  10. Google

    Safe-Browsing-API soll schneller und mobiler werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Doom im Technik-Test: Im Nightmare-Mode erzittert die Grafikkarte
Doom im Technik-Test
Im Nightmare-Mode erzittert die Grafikkarte
  1. id Software Doom wird Vulkan unterstützen
  2. Id Software PC-Spieler müssen 45 GByte von Steam laden
  3. id Software Dauertod in Doom

Oxford Nanopore: Das Internet der lebenden Dinge
Oxford Nanopore
Das Internet der lebenden Dinge
  1. Wie Glas Forscher machen Holz transparent
  2. Smartwatch Skintrack macht den Arm zum Touchpad
  3. Niederschläge Die Vereinigten Arabischen Emirate wollen einen Berg

  1. Re: Verschandelung der Umgebung!

    Niaxa | 09:54

  2. Re: Unterschallverbrennung

    M.P. | 09:53

  3. Re: Interessant für die Jugend von heute,

    der_wahre_hannes | 09:52

  4. Re: Noch zu teuer

    Nogul | 09:52

  5. Re: München und der Transrapid

    der_wahre_hannes | 09:51


  1. 09:44

  2. 09:00

  3. 07:51

  4. 07:39

  5. 07:20

  6. 19:04

  7. 19:00

  8. 18:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel