Al parecer, las PCs no sólo pueden espiarte por medio de las cámaras web. ¡Están bien equipadas para mantenerte vigilado y de una manera mucho más discreta! Sólo se necesita que el usuario tenga Google Chrome instalado en su PC y un micrófono.
No es nada sorprendente que los sitios web modernos sean capaces de interactuar con una gran cantidad de periféricos de PC. Si bien es cierto que el usuario primero debe brindar su consentimiento, este tipo de procesos suele ser muy simple e implica sólo un click en un botón de Aceptar. Por ejemplo, para poder subir una foto a un perfil de una red social, tan sólo se necesita confirmar la solicitud del sitio que aparece en la pantalla. De esta manera se habilita a la cámara incorporada a tomar una foto. En el orden de prevenir que el sitio abuse de los derechos cedidos por el usuario, el navegador debe sacar al usuario de la página web. Pero ¿Es posible que los recursos de la página web continúen controlando algunas funciones de la PC sin el consentimiento del usuario?
Tal Ater, un desarrollador israelí de software, probó que existe una gran probabilidad de que esto, en efecto, suceda. La vulnerabilidad que Tel Ater encontró en el código del popular navegador Google Chrome podría ser explotada por los cibercriminales para convertir una PC ordinaria en un medio para espiar al usuario. Lo único que los criminales tendrían que hacer es persuadir a los usuarios de utilizar el servicio web de reconocimiento de voz y de encender el micrófono en una sola ocasión. A partir de ese momento, el criminal sería capaz de grabar cualquier sonido desde el micrófono del usuario, incluso si la página web estuviera cerrada. Además, el indicador rojo que parpadea en la barra de tareas del navegador, que sirve para notificarles a los usuarios de que hay una grabación en curso, se apagará, haciéndoles creer a los usuarios que la grabación finalizó.
Para presentar las pruebas de su descubrimiento, Ater grabó un video de 4 minutos. Allí Ater muestra una página web comprometida que utiliza una aplicación de reconocimiento de voz. En el vídeo, el usuario que navega en esta página cierra el navegador, pero la grabación de sonido continúa en un segundo plano. La información sonora es enviada a los servidores de Google, allí es convertida en texto y luego retornada al punto de partida, donde finalmente cae en las manos de los criminales.
La mayoría de los sitios que permiten el uso de micrófonos, utilizan conexiones protegidas por http. En esos casos, Google Chrome recuerda automáticamente que en esa página se autorizó el uso del micrófono y no vuelve a preguntarle al usuario si desea o no mantener esa decisión. Además, la misma vulnerabilidad puede ser modificada para que, con ciertas palabras claves, se active la grabación automáticamente. ¡Una herramienta diseñada para espiar a las personas!
Lo curioso es que Google fue notificado de esta vulnerabilidad en septiembre de 2013. Antes de publicar su descubrimiento, Tal Ater contactó al gigante de las buscadores online para informarle de este problema. Menos de dos semanas después, los representantes de la compañía le enviaron a Tal Ater una confirmación de que el bug había sido arreglado y que el parche ya estaba disponible. Sin embargo, este último nunca fue publicado.
En este punto, tan sólo podemos conjeturar por qué los desarrolladores de uno de los navegadores más importantes de Internet actuaron de esta manera. Mientras tanto, les recomendamos que se mantengan alertas y que eviten utilizar los servicios de reconocimiento de voz de Google Chrome. Una solución de último recurso sería dejar de utilizar este navegador, junto con todos sus procesos y aplicaciones. De esta forma no se grabaría nada, ni se enviaría información a los criminales.
Traducido por: Guillermo Vidal Quinteiro