Chrome for Android / Microphone security check

Chrome for Android / Microphone security check

1. Drücken Sie START und gewähren Sie Zugriff auf Ihr Mikrofon.
2. Versetzen Sie Ihr Mobilgerät in den STANDBY-MODUS
3. SPRECHEN Sie einen Text
4. ENTSPERREN Sie Ihr Mobilgerät

Falls der gesprochene Text auf dieser Website angezeigt wird, sind Sie von dem Sicherheitsleck betroffen. Sie können in den erweiterten Einstellungen des Browsers unter dem Punkt
INHALTSEINSTELLUNGEN / WEBSITE-EINSTELLUNGEN
den Zugriff auf das Mikrofon unterbinden.

UPDATE:
Der BUG wurde innerhalb von wenigen Tagen nach unserer Bekanntgabe behoben!

Hier ist ein Auszug aus der E-Mail von Google:
... We have looked at it and actually already fixed it in M36 and a new build (36.0.1985.141) is rolling out over the next few days (see release post from Friday here).
Actually, this is the type of issue that I bet would have qualified for our Security Vulnerability Reward Program ...

Hintergrund

Beim Experimentieren mit der HTML5 webkitSpeechRecognition sind wir am 18. Juli 2014 auf ein eigenartiges Phänomen im Zusammenhang mit Android und dem Chrome Browser gestoßen. Gewährt der Benutzer einer Website Zugriff auf das Mikrofon, bleibt es selbst dann aktiv, wenn sich das Smartphone oder Tablet im Standby-Modus befindet. Das Mikrofon schaltet sich dann erst nach rund 60 Sekunden ab oder wenn es für etwa 10 Sekunden keine Eingabe erhalten hat. Wird die Website über das HTTPS Protokoll ausgeliefert, ist es sogar möglich, das Abschalten des Mikrofons ganz zu verhindern, indem sich der Prozess selbst neu aufruft (siehe Code -> speechRestart).

Mit diesem Tool können Sie überprüfen, ob Sie von dem Sicherheitsleck betroffen sind.

Unsere Testumgebung:
App-Version: Chrome 35.0.1916.141
Betriebssystem: Android 4.4.2; D6503 Build/17.1.1.A.0.402
----
App-Version: Chrome 35.0.1916.141
Betriebssystem: Android 4.2.2; GT-I9100 Build/JDQ39E
---
App-Version: Chrome 35.0.1916.141
Betriebssystem: Android 4.2.2; GT-P5110 Build/JDQ39

Link Teilen

Design auf Facebook teilen  Facebook
Design auf Facebook teilen  Google+

SOUCE CODE

Mit dem folgenden Sourcecode können Sie das Sicherheitsleck selbst nachvollziehen.

var speechRecognition = null; var speechListening = false; if (('webkitSpeechRecognition' in window)) { speechRecognition = new webkitSpeechRecognition(); speechRecognition.continuous = true; speechRecognition.interimResults = true; speechRecognition.onstart = speechStart; speechRecognition.onresult = speechResult; speechRecognition.onerror = speechRestart; speechRecognition.onend = speechRestart; } var stopRecognition = function() { if (speechListening) { speechListening = false; speechRecognition.stop(); } }; var speechStart = function(event) { speechListening = true; }; var speechResult = function(event) { for (var i = event.resultIndex; i < event.results.length; ++i) { if (event.results[i].isFinal) { console.log(event.results[i][0].transcript); } } }; var speechRestart = function() { speechListening = false; setTimeout(function(){startRecognition();}, 500); }; var startRecognition = function() { if (speechListening) { return; } if(speechRecognition){ try{ speechRecognition.start(); } catch(err){ } } else { console.log('webkitSpeechRecognition not available'); } }; startRecognition();