De Chrome browser van Google staat bekend als redelijk betrouwbaar als het gaat om security lekken. Nu is er wel een bug geconstateerd in Chrome die het mogelijk maakt om vanuit een website te volgen wat gebruikers privé zeggen in de nabijheid van de laptop als ze gebruik hebben gemaakt van de feature om gesproken opdrachten te dicteren aan de browser. Deze bug wordt gemeld door Security Affairs, of beter, deze Bug is reeds door Tal Atar aan Google gemeld en er heerst verwondering dat Google dit probleem nog steeds niet heeft opgelost. Na het advies om je camera af te plakken op je laptop, moet je ook je microfoon blijkbaar ontkoppelen als je er zeker van wilt zijn dat je niet per ongeluk of moedwillig door anderen wordt ‘afgeluisterd’.
De techniek is eenvoudig. Website bouwers kunnen inbouwen dat ze gebruik maken bij Chrome van het inspreken van berichten en commando’s. Dat is voor de (mobiele) gebruiker natuurlijk heel plezier en gebruiksvriendelijk. Alleen als je als gebruiker eerst toestemming hebt gegeven om de microfoon daarvoor te gebruiken, blijft deze microfoon aanstaan ook als je de applicatie of site inmiddels hebt verlaten. En dat kan niet de bedoeling zijn.
Het echte opmerkelijke is dat, terwijl Google van deze bug vanag september 2013 weet, zij daar nog niets aan heeft gedaan of willen doen volgens Security Affairs.
Google verschuilt zich achter een oplossing die moet komen van de Web’s Standards Organization, the W3C, omdat het een HTML commando betreft, en die discussie zou nog ‘ongoing’ zijn en ze schatten in dat er niet echt een probleem is omdat er toch echt eerst toestemming door de gebruiker moet worden gegeven.
En niet erg adequate reactie van Google, te meer als je bedenkt dat “the web’s standards organization, the W3C, has already defined the correct behavior which would’ve prevented this (refer specification for the Web Speech API, released in October 2012)“.