Lisandro Pardo
Una de las funciones integradas más importantes que posee Google Chrome es el reconocimiento de voz. Aunque Mountain View vigila muy de cerca a su navegador, un experto en seguridad indica que una vulnerabilidad presente en esa función de Chrome podría permitir a sitios maliciosos escuchar conversaciones privadas.
Abres Chrome, vas a Google, y allí está: Un pequeño micrófono en la casilla de búsqueda. El reconocimiento de voz es una herramienta de accesibilidad muy útil para una importante cantidad de usuarios, y en todas las veces que lo he probado, sus resultados fueron excelentes. Sus requerimientos de configuración son casi nulos, y si el micrófono funciona correctamente, estarás utilizando a esta función en pocos segundos. Sin embargo, ha circulado la información de que el reconocimiento de voz en Google Chrome podría convertirse en un vector de ataque muy particular. Tal Aler, investigador y experto en seguridad israelí, reportó la vulnerabilidad el pasado 13 de septiembre de 2013. En esencia, mientras Chrome se encuentre activo, un sitio que recibe acceso al micrófono puede seguir grabando las conversaciones del usuario, aún después de que el usuario abandonó el sitio y cree que el uso del micrófono fue interrumpido. Chrome tampoco da indicaciones adicionales de que el micrófono permanece abierto, por lo tanto, el navegador pasa a ser una herramienta de espionaje virtual, que registra todo lo que se dice cerca del ordenador.
Once días después de haber reportado el bug, Aler recibió un aviso de Google que indicaba la existencia de un parche, y la posibilidad de recibir hasta 30 mil dólares como parte del programa de recompensas para cazar bugs. El reconocimiento de voz es un elemento de muy alto perfil en Chrome, y Mountain View no parece tener problemas a la hora de entregar dinero a cambio de vulnerabilidades. El problema es que el parche nunca fue desplegado, y en noviembre pasado, Google todavía estaba discutiendo con el grupo de estándares si debía implementarlo o no. La última versión estable de Google Chrome es la 32, y el bug en el reconocimiento de voz sigue allí. Otro aspecto preocupante es que la función puede entrar en hibernación, y activarse cuando se mencionan ciertas palabras clave. Google anunció a través de un portavoz que no hay una amenaza inmediata, debido a que el usuario necesita otorgar permiso a un sitio voluntariamente para que acceda al micrófono… ¿pero correr el riesgo a que graben “todo” lo que decimos? Chrome conserva cada permiso otorgado a un sitio, a menos que se lo borre en forma manual. Y por el momento, tal vez sea necesario hacer exactamente eso.
