Kwaadwillenden kunnen Chrome-gebruikers afluisteren via verborgen venster

Chrome bevat een bug, waardoor kwaadwillenden gebruikers kunnen afluisteren via de toestemming om de microfoon te gebruiken. Dat werkt ook nog nadat gebruikers het tabblad met de site in kwestie hebben gesloten, via een pop-under.

Nieuwe Google Chrome logo (105 pix) Ontwikkelaar Tal Ater gaf de bug in september door aan Google, maar nu een fix na vier maanden nog altijd niet in Chrome zit heeft hij een uitleg van de bug op zijn site gezet. Een exploit van de weeffout is niet makkelijk: een kwaadwillende moet de gebruiker zover krijgen om toestemming te geven om de microfoon aan te zetten, iets waar veel gebruikers niet toe genegen zullen zijn.

Als de gebruiker op de site zit of de tab sluit, opent de site een pop-under. Dankzij die pop-under kan de site blijven meeluisteren met de gebruiker. De pop-under is niet actief, maar is wel zichtbaar op de achtergrond.

De bug is volgens Google nog niet gefixt, omdat het nog in onderzoek heeft wat het juiste gedrag is voor de toestemming om de microfoon te gebruiken. Bovendien ziet Google er geen bedreiging in, omdat gebruikers zelf toestemming moeten geven voor het aanzetten van de microfoon.

Reacties (87)

TimDJ 22 januari 2014 09:56

Die rechten zouden alleen op desbetreffende tab moeten werken. Nieuwe tab of popup/under zou gewoon opnieuw toestemming moeten vragen

Ramon @TimDJ • 22 januari 2014 10:02

Helemaal mee eens. Dit is wel degelijk een bug.

[Remmes] @TimDJ • 22 januari 2014 10:33

Ja klinkt leuk en aardig maar de gemiddelde gebruiker denkt "ik had toch al geaccepteerd? nou dan nog maar een keer *zucht*

Dat gaat dus niet al te veel helpen.

SunnieNL

22 januari 2014 10:02

Juiste gedrag lijkt me simpel.. per webpagina toestemming geven ipv per website. Als je dan de website afsluit en hij opent een pop-under, moet hij gewoon opnieuw vragen of de microfoon gebruikt mag worden.

Overigens is het niet inzien van een bedreiging omdat de gebruiker eerst toestemming moet geven wel een drogreden. Ik vermoed dat 50% van alle malware/virussen namelijk alleen maar kunnen toeslaan doordat de gebruiker op een of andere manier toestemming geeft. De toestemming vraag is vast ook wel te verkappen in iets minder onschuldigs.

Shark.Bait @SunnieNL • 22 januari 2014 10:23

Ik heb meerdere collega's gehad, bijna alleamaal vrouwen die, zodra er een popup komt hem gauw wegklikken door op "ok" of op "ja" te drukken zonder deze te lezen. Het is een soort van paniek reactie op pop-ups. Dit soort gebruikers zijn erbij gebaat dat google een fix uitbrengt voor deze exploit.

[Reactie gewijzigd door Shark.Bait op 24 juli 2024 12:56]

skatebiker 22 januari 2014 10:27

Kwestie van aanzetten dat je nieuwe vensters altijd in tabbladen moet openen dan verschijnt elke popup in een tabblad.

curumir 22 januari 2014 11:17

Een wat betere uitleg dan het Tweakers artikel staat in de bron, met :

http://talater.com/chrome-is-listening/

Most sites using Speech Recognition, choose to use secure HTTPS connections. This doesn’t mean the site is safe, just that the owner bought a $5 security certificate. When you grant an HTTPS site permission to use your mic, Chrome will remember your choice, and allow the site to start listening in the future, without asking for permission again. This is perfectly fine, as long as Chrome gives you clear indication that you are being listened to, and that the site can’t start listening to you in background windows that are hidden to you.

When you click the button to start or stop the speech recognition on the site, what you won’t notice is that the site may have also opened another hidden popunder window. This window can wait until the main site is closed, and then start listening in without asking for permission. This can be done in a window that you never saw, never interacted with, and probably didn’t even know was there.

To make matters worse, even if you do notice that window (which can be disguised as a common banner), Chrome does not show any visual indication that Speech Recognition is turned on in such windows - only in regular Chrome tabs.

De key point is dat Chrome geen goede indicatie geeft wanneer er word geluisterd. Ook blijkt dat het vooral gaat om site die gebruik maken van Chrome spraakherkenning:

http://www.eweek.com/clou...ognition-that-works-well/
http://chrome.blogspot.nl...e-recognition-to-web.html

Voor degene met Chrome:
https://www.google.com/intl/en/chrome/demos/speech.html

Chuk 22 januari 2014 09:55

Ze kunnen op zen minst een warning geven wanneer een popup of tweede tablad opent met de mogelijkheid om input van de microphone te krijgen. Kleine moeite tot de bug gefixt is.

watercoolertje @Chuk • 22 januari 2014 09:58

Dat zou inderdaad wel netjes zijn, maar ze gaan het niet fixen want het is geen bug (volgens Google, en ik ben het daar helemaal mee eens), het is gewoon functionaliteit die is zoals het bedoeld is...

[Reactie gewijzigd door watercoolertje op 24 juli 2024 12:56]

Kenhas @watercoolertje • 22 januari 2014 10:30

Dus als je toestemming geeft in een bepaald tabblad om de microfoon te gebruiken en je sluit dat tabblad, vindt jij het normaal dat de microfoon aanblijft?
Ik denk dat ongeveer iedereen verwacht dat, als je iets sluit, de functionaliteit dan ook stopt.

Dus jij zou het normaal vinden dat, als je een telefoongesprek ontvangt en je verbreekt de verbinding, dat de persoon aan de andere kant toch nog kan horen wat jij zegt tegen iemand anders die bij jou staat?
Of je gebruikt op Skype je webcam, je sluit Skype volledig af maar de andere kant kan toch blijven kijken?

watercoolertje @Kenhas • 22 januari 2014 14:13

Dus als je toestemming geeft in een bepaald tabblad om de microfoon te gebruiken en je sluit dat tabblad, vindt jij het normaal dat de microfoon aanblijft?

Je geeft toestemming voor de website, en zo wordt de vraag ook gesteld! Dus waarom denk je ineens dat dat per tabblad is, moet er niet aan denken dat ik elke keer dat ik naar gmail.com ga toestemming moet geven voor localstorage, omdat het per tabblad en niet per website geregeld is...

[Reactie gewijzigd door watercoolertje op 24 juli 2024 12:56]

Kenhas @watercoolertje • 22 januari 2014 16:54

Tabblad of website, daar gaat het nu eigenlijk niet over. het gaat over het feit dat, als je iets afsluit, dat je verwacht dat alle functionaliteit is afgesloten. Ik gebruikte "tabblad" omdat dat woord ook in het artikel staat.

Dus vervang het woord "tabblad" door "website".

Ik verwacht dat, als ik een website sluit, dat de functionaliteit van die website stopt en niet via een pop under verder gaat

watercoolertje @Kenhas • 22 januari 2014 17:08

Tabblad of website, daar gaat het nu eigenlijk niet over.

Jawel want dat is dus het verschil tussen wel of niet op de achtergrond kunnen laden van een meeluisterend venster

Een tabblad is 1 venster die die rechten krijgt, een website die rechten krijgt kunnen oneindig veel tabbladen zijn, of misschien zelfs iframes in andere websites!

[Reactie gewijzigd door watercoolertje op 24 juli 2024 12:56]

Kenhas @watercoolertje • 23 januari 2014 08:30

Je bent nu echt bezig over punten en komma's. Het komt uiteindelijk allemaal op hetzelfde neer. Ik weet dat er een verschil is in rechten aan een tabblad en rechten aan website. Maar maakt absoluut geen verschil uit voor wat ik hier zie als een probleem en wat jij duidelijk niet als een probleem ziet : Je sluit iets af en je verwacht dan ook dat iets afgesloten is.

Maar door middel van een pop under werkt het toch verder. En of je nu een tabblad sluit of naar een andere site surft die geen rechten heeft op de microfoon, maakt niets uit. Het blijft gewoon werken.

Denk dat het niet veel duidelijker kan dan de vergelijking met een Skype videochat. Je sluit de chat (vergelijking met tabblad) of Skype (vergelijking website) helemaal af en toch blijft je camera doorsturen. Dat kan je toch onmogelijk als normaal gedrag beschouwen.

Maar allé, jij leest het blijkbaar anders dan ik. Veel plezier met het gebruik van je microfoon in Chrome. Denk dat je, mocht je dergelijke sites tegenkomen, snel van mening zou veranderen

Bassievdb 22 januari 2014 10:06

Chrome bevat een bug, graag de titel aanpassen naar: Chrome bevat meerdere bugs. Je moet maar eens proberen het laatste element van een dropdown box te selecteren.

S1NN3D

@Bassievdb • 22 januari 2014 10:11

Is mij ook opgevallen. Je kan het laatste element wel selecteren maar je lijkt maar tot en met de één-na-laatste optie te komen.

KoalaBear84 @Bassievdb • 22 januari 2014 10:17

Iedere app bevat meerdere bugs. En idd, collega kwam er gisteren achter hetzelfde probleem. Wel apart dat deze bug helemaal doorkomt door de Stable channel. In de huidige Dev channel is het inmiddels opgelost. Daarnaast is het alleen de focus die niet werkt, je kunt het element wel selecteren.

Bassievdb @KoalaBear84 • 22 januari 2014 10:37

Inderdaad, maar menig mensen zal toch eens raar kijken. Maar inderdaad, erop klikken werkt wel.

crackletinned 22 januari 2014 11:48

Waarom bestaat de pop-under?
Dat lijkt me zoieso een slecht idee.
Is de oplossing niet dat chrome duidelijk maakt dat er een pop-under is.

Laloeka @crackletinned • 22 januari 2014 12:11

Een pop-under is gewoon een pop-up zonder focus. Opzich is het logisch dat als je een tabblad de permissies geeft je microfoon te gebruiken, dat alle pop-ups (parent>child verhouding) ook die permissie krijgen.

Dit is dus helemaal geen bug of exploit, het is gewoon slim omgaan met pop-'under's. Als ik een webapplicatie heb gemaakt waarmee je je stem kunt opnemen, en ik zeg alleen op te nemen als jij op de Record knop drukt, kan ik net zo goed afluisteren. Ook als jij niet op die knop hebt gedrukt. De 'misdaad' zit hem in de misleiding om toestemming te geven, niet in een of andere technische exploit die er niet is.

Kenhas @Laloeka • 22 januari 2014 12:46

Tja, ik vind het dus helemaal niet logisch dat een pop-up venster dezelfde toestemmingen krijgt als het hoofdvenster.

Als je zegt enkel op te nemen als je op de record knop drukt en toch luistert, is mogeljk. Maar je zou toch verwachten dat als je de webapplicatie afsluit dat je dan niet meer kan afluisteren

Verwijderd 22 januari 2014 10:59

Naast het afplakken van de webcam zou je dus eigenlijk ook hardware-matig je microfoon moeten kunnen afsluiten (misschien een geluidswerend kapje?). In feite kun je dergelijke apparaten verbonden met het internet niet vertrouwen.

Dat zeg ik los van deze bug, als algemene maatregel.

watercoolertje @Verwijderd • 22 januari 2014 14:16

zou je dus eigenlijk ook hardware-matig je microfoon moeten kunnen afsluiten (misschien een geluidswerend kapje?).

Je bedoeld de stekker er uit? Of anders via het windows control panel je mic disablen?

Verwijderd @watercoolertje • 22 januari 2014 21:40

Dat laatste zou ik niet vertrouwen, aangezien het software-matig weer aangezet kan worden. Inderdaad uitpluggen, maar dan de laptop-variant.

Guzz 22 januari 2014 09:53

Hoe goed het me ook bevalt; de desktop integratiefuncties van chrome zijn misschien iets te mooi om waar te zijn. CCleaner heeft vaak moeite met het sluiten van Chrome (moet geforceerd) en ik vraag me af hoe ze de desktop notificaties hebben geïmplementeerd. Hoop dat google in de komende releases wat meer op kwaliteit gaat letten ipv alleen features toevoegen.

Carlos0_0 @Guzz • 22 januari 2014 10:10

Als jij ccleaner wil laten schonen sluit je toch zelf vast de browsers af lijkt me ?, zo gaat het alleen maar sneller het schoonmaken.

Kenhas @Carlos0_0 • 22 januari 2014 10:26

als je alle browservensters sluit, sluit je daarmee niet Chrome af. Het proces blijft draaien anders kan je geen gebruik maken van de desktop notificaties. Omdat bepaalde bestanden in gebruik blijven van Chrome (hoewel die op het eerste zicht afgesloten is), kan CCleaner deze niet verwijderen

Carlos0_0 @Kenhas • 22 januari 2014 11:59

Oke als ik chrome afsluit is die ook echt afgesloten, ik heb helemaal geen desktop notificaties ook geen icoon in dat kleine venstertje met die icoontjes staan.
Moet je denk ik apart activeren dan want standaard heb je dit niet, wellicht misschien bij bepaalde extensies wel.

[Reactie gewijzigd door Carlos0_0 op 24 juli 2024 12:56]

Dr.Root 22 januari 2014 10:23

Zal dit dan ook zo zijn met het inspreken van spraakberichten binnen de WhatsApp omgeving, of de functies als Siri en dat ding op Android?

[Reactie gewijzigd door Dr.Root op 24 juli 2024 12:56]

Sn3akz @Dr.Root • 22 januari 2014 10:24

Waar komt die aanname vandaan? Dit gaat over een specifieke truc in Chrome met een pop-under. Siri, WhatsApp en Google Now zijn compleet andere producten en hebben hier dus ook helemaal niks mee te maken.

Dr.Root @Sn3akz • 22 januari 2014 10:39

De aanname? het is een vraag komt omdat het spraak programma wat Google chrome gebruikt, ook wordt gebruikt op Android telefoons. Google = Android en Vsv

[Reactie gewijzigd door Dr.Root op 24 juli 2024 12:56]

Sn3akz @Dr.Root • 22 januari 2014 10:57

Het gaat puur om de permissie je microfoon te gebruiken binnen Chrome. Het heeft niets met de speech-recognition software te maken die in verschillende Google producten ingebouwd zit.

Dat Android van Google is, is mij reeds bekend

Barryke @Dr.Root • 22 januari 2014 10:27

Nee dit gaat specifiek over wat men binnen de Chrome browser doet.

Dr.Root @Barryke • 22 januari 2014 10:40

Bedankt voor het antwoord.

[Remmes] @Dr.Root • 22 januari 2014 10:35

Nee, dit is specefiek iets voor Chrome, het gaat er dus om hoe Chrome met de drop-under en toestemming omgaat.

Wellicht dat dit in een andere browser ook zo gaat maar ik neem aan dat meneer dat getest heeft.

Dr.Root @[Remmes] • 22 januari 2014 10:40

Ja precies, bedankt voor het antwoord. En toch ga ik uitzoeken of ik mijn spraak geval in Android kan exploiten op net zo'n makkelijke manier, to be continued.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (87)

Sorteer op:

Weergave: