米GoogleのWebブラウザ-「Chrome」に、パソコンを盗聴器に変えてしまう脆弱性が見つかったと、複数の米メディア(InformationWeek、Gizmodoなど)が現地時間2014年1月22日に報じた。悪意のあるサイトは同脆弱性を利用することで、パソコンのマイクを起動し、パソコン周辺の音声を拾って記録できるという。
Chromeの脆弱性を最初に確認したイスラエルのWeb開発者、Tal Ater氏によると、ユーザーが不正サイトから離れても盗聴は継続され、Chromeが起動している限り、パソコンのすぐそばで行われる会話や通話が記録される可能性がある。
ユーザーがChromeの音声認識技術に対応したサイトを訪れた場合、サイトはマイクを使用する許可をユーザーに求める。ユーザーが承認すると、音声認識が有効になっていることを示すアイコンがタブに表れる。通常、ユーザーが音声認識を無効に切り替えたり、サイトを移動したりすると、Chromeは音声の聴取を終了する。
しかし不正なサイトでユーザーが音声認識を有効にすると、隠れたウィンドウが開き、メインのウインドウが閉じられた後に、ユーザーの許可なく音声聴取を開始する。たとえユーザーがウインドウの存在に気づいても、音声認識が機能していること示す目印はどこにも表示されないため、盗聴されていることは分かりにくい。
Ater氏が9月13日にGoogleに脆弱性の発見を報告したところ、9月19日までに同社エンジニアはバグを特定し、修正すると答え、9月24日にパッチが用意された。しかし、いっこうにパッチがリリースされないためGoogleのエンジニアリングチームに問い合わせたところ、標準化関連部門の承認を得られていないとの回答だった。最初の報告から4カ月が経った現在も、脆弱性は修正されていないという。
Gizmodoの報道によると、Googleは「当該機能はW3C(World Wide Web Consortium)の現在の標準規格に準拠している」との見解を示している。
