Las páginas web tienen la capacidad de interactuar con los diferentes dispositivos que integra el PC. Naturalmente, el usuario tiene que dar su consentimiento, pero en la mayoría de los casos se trata de una operación sencilla, que solo requiere un simple clic en el botón “Aceptar”. Por ejemplo, para subir una imagen en el perfil de una red social, solo hace falta confirmar la operación y activar la webcam para sacar una foto. Pero ¿es posible que la página web en cuestión siga controlando algunas funciones del equipo sin que el usuario lo sepa?
Kaspersky Lab Informa que desarrollador de software israelí (Tal Alter) ha demostrado que esto es posible. Según él, el navegador de Google Chrome tiene una vulnerabilidad que, explotada por un cibercriminal, podría transformar el PC en la herramienta perfecta para espiar al usuario. Para que esto ocurra, basta con que el usuario encienda el micrófono una vez y utilice una herramienta de reconocimiento de voz. A partir de este momento, el cibercriminal podría grabar el sonido a través del micrófono, incluso con la página web cerrada. Además, el icono rojo de grabación se cerrará simulando que la operación ha finalizado, engañando así al usuario.
Para demostrar su descubrimiento, Alter grabó un vídeo de 4 minutos donde el usuario abre una página web ya comprometida que ofrece herramientas para convertir la voz en texto. Después de haber cerrado la página, el navegador sigue grabando el sonido de ambiente. Posteriormente, se envían los datos a los servidores de Google, se convierten en texto y llegan directamente a las manos de los cibercriminales.
Además, la mayoría de estas páginas web de reconocimiento de voz utilizan la conexión protegida https. De esta forma, el navegador guarda el consentimiento del usuario y no vuelve a preguntar al usuario si quiere activar el micrófono. La vulnerabilidad que hemos mencionado puede ser modificada para que la herramienta empiece a grabar automáticamente cuando se utilizan algunas palabras específicas y así se convierte en una forma de espionaje.
Lo que parece extraño es que Google no haya solucionado este problema. Antes de publicar su descubrimiento, Tal Ader contactó con el gigante de búsquedas para informarle al respecto. En menos de dos semanas, los representantes de la compañía le confirmaron que la vulnerabilidad había sido resuelta y que el parche estaba listo. Sin embargo, tras cuatro meses, todavía no se ha lanzado el parche.
Según los expertos de Kaspersky Lab, es recomendable prestar mucha atención a estas vulnerabilidades, incluso prescindir de utilizar las herramientas de reconocimiento vocal con Google Chrome. Como último recurso, se puede desinstalar el navegador, así como sus marcadores y extensiones, para que no se pueda grabar ningún sonido, evitando de este modo que los datos lleguen a las manos de los cibercriminales.
Ilustración: 142291669 © Shutterstock.com
