Tal Ater นักวิจัยด้านความปลอดภัยจากอิสราเอล เปิดเผยบั๊กของ Chrome ที่เปิดช่องให้เว็บไซต์มาสามารถรับคำสั่งเสียงจากผู้ใช้งานได้ โดยที่ผู้ใช้ไม่รู้ตัวว่าถูกอัดเสียงอยู่

Chrome รุ่นใหม่ๆ มีฟีเจอร์ที่ผู้ใช้สามารถสั่งงานด้วยเสียงไปยังเว็บไซต์ได้ (เสียงจะถูกส่งไปยังกูเกิลเพื่อแปลงเป็นข้อความ) โดยผู้ใช้ต้องกดอนุญาตให้สิทธิกับเว็บไซต์นั้นๆ เข้าถึงไมโครโฟนก่อน และทุกครั้งที่เว็บไซต์ฟังเสียงของเรา Chrome จะแสดงไอคอนปุ่มสีแดงบนแท็บของเว็บไซต์นั้นๆ

แต่บั๊กของ Chrome กลับเปิดช่องให้เว็บไซต์ขอสิทธิไมโครโฟนครั้งแรกครั้งเดียว และไม่แสดงไอคอนบนแท็บว่ากำลังฟังเสียงอยู่ ทำให้เว็บไซต์นั้นๆ สามารถ "ดักฟัง" เสียงพูดของผู้ใช้งานโดยที่ผู้ใช้ไม่รู้ตัว และสามารถไปไกลถึงขั้นให้เริ่มดักฟังเมื่อผู้ใช้พูดคีย์เวิร์ดสำคัญๆ ได้ด้วย

Tal Ater แจ้งบั๊กนี้ไปยังกูเกิลตั้งแต่เดือน ก.ย. ปีที่แล้ว และวิศวกรกูเกิลก็แจ้งเขาว่าทำแพตช์แก้บั๊กเรียบร้อย และเตรียมมอบเงินรางวัลให้เขา (ที่อาจสูงถึง 30,000 ดอลลาร์) แต่สุดท้ายแพตช์ที่ว่านี้กลับล่าช้าไปมากและยังไม่ถูกผนวกเข้ากับ Chrome สักที โดยกูเกิลให้คำอธิบายต่อ Ater ว่าภายในยังถกเถียงกันเรื่องแนวทางแก้ไขที่เหมาะสมอยู่ (Ater จึงตัดสินใจเปิดเผยเรื่องนี้ต่อสาธารณะ)

ที่มา - Tal Ater, Ars Technica