Google Chrome permite espiar utilizando el micrófono

Vulnerabilidad Google Chrome micrófono espionaje

Tal Alter, desarrollador de software israelí,  ha demostrado que una página web puede seguir controlando algunas funciones del equipo sin que el usuario lo sepa

Naturalmente, el usuario tiene que dar su consentimiento, pero en la mayoría de los casos se trata de una operación sencilla, con un simple clic en el botón “Aceptar” es suficiente. 

Pues bien, según Alter, el navegador de Google Chrome tiene una vulnerabilidad que, explotada por un cibercriminal, podría transformar el PC en la herramienta perfecta para espiar al usuario. 

Para que esto ocurra, basta con que el usuario encienda el micrófono una vez y utilice una herramienta de reconocimiento de voz. A partir de este momento, el cibercriminal podría grabar el sonido a través del micrófono, incluso con la página web cerrada. Además, el icono rojo de grabación se cerrará simulando que la operación ha finalizado, engañando así al usuario.

Para demostrar su descubrimiento, Alter grabó un vídeo de 4 minutos donde el usuario abre una página web ya comprometida que ofrece herramientas para convertir la voz en texto. Después de haber cerrado la página, el navegador sigue grabando el sonido de ambiente.

Posteriormente, se envían los datos a los servidores de Google, se convierten en texto y llegan directamente a las manos de los cibercriminales. Además, la mayoría de estas páginas web de reconocimiento de voz utilizan la conexión protegida https.

De esta forma, el navegador guarda el consentimiento del usuario y no vuelve a preguntar al usuario si quiere activar el micrófono.

La vulnerabilidad que hemos mencionado puede ser modificada para que la herramienta empiece a grabar automáticamente cuando se utilizan algunas palabras específicas y así se convierte en una forma de espionaje.

Antes de publicar su descubrimiento, Tal Ader contactó con Google para informarles de la vulnerabilidad encontrada, y a pesar de que en menos de dos semanas los representantes de la compañía le confirmaron que la vulnerabilidad había sido resuelta y que el parche estaba listo, lo cierto y extraño es que tras cuatro meses Google no ha solucionado el problema

Los expertos de Kaspersky Lab recomiendan prestar mucha atención a estas vulnerabilidades, incluso prescindir de utilizar las herramientas de reconocimiento vocal con Google Chrome.

Como último recurso, se puede desinstalar el navegador, así como sus marcadores y extensiones, para que no se pueda grabar ningún sonido, evitando de este modo que los datos lleguen a las manos de los cibercriminales.