Lukę odkrył Tal Ater, izraelski programista specjalizujący się w technologii rozpoznawania mowy. Udało mu się przygotować exploit, który aktywuje funkcję rozpoznawania mowy i w rezultacie potrafi nagrywać wszystkie odgłosy z okolic komputera przez cały czas, kiedy jest na nim uruchomiona przeglądarka.
Rozwiązanie to wykorzystuje zaimplementowaną w Chrome specyfikację Web Speech API, w ramach której użytkownik może wydawać polecenia głosowe przeglądarce. Google poszedł o krok dalej i zadbał o to, by program na stałe zapamiętywał jednorazowo przyznane uprawnienia, a także aktywował rozpoznawanie mowy w okienkach otwieranych z ich poziomu. Daje to szerokie możliwości wykorzystania wbudowanego API do podsłuchiwania internautów.
Autor exploitu zgłosił lukę do Google we wrześniu ubiegłego roku. Od tamtej pory nie została ona jednak wyeliminowana, mimo, że od 24 września odpowiednia łatka jest już gotowa i czeka na implementację. Google tłumaczy, że ciągle trwają rozmowy z osobami odpowiedzialnymi za standardy. Ich tematem ma być działanie funkcji rozpoznawania mowy po zastosowaniu dodatkowych zabezpieczeń.
Nie jest to pierwsza w ostatnim czasie sytuacja budząca wątpliwości odnośnie zabezpieczeń przeglądarki Google. Kilka dni temu do ataku na użytkowników Chrome wykorzystano mechanizm aktualizacji dodatków (więcej na ten temat).
