Tal Ater, un développeur web, a trouvé plusieurs erreurs dans Chrome quand il travaillait sur la bibliothèque JavaScript appelée « annyang » pour l'API Web Speech intégrée dans le navigateur. Or parmi ces failles, il en a trouvé une qui permet d'accéder au microphone de l'ordinateur alors que l'utilisateur pense que la fonction de reconnaissance vocale est désactivée. Il a donc créé un test où un site web peut continuer à accéder au micro du PC même si l'utilisateur estime qu'il a quitté le site. Le développeur a détaillé sur son site le modus operandi de ce bug. Pour autant, s'il a choisi la mise en avant public, c'est pour dénoncer le peu de réactivité de Google sur ce sujet.

Le développeur explique qu'il a exposé les failles à la firme de Mountain View le 13 septembre dernier. Le 19 septembre, les ingénieurs de Google ont identifié les bugs et suggérer des correctifs. Tal Ater pensait qu'après cela les ingénieurs allaient résoudre le problème en moins de deux semaines. Un mois et demi plus tard, il constate aucun changement et interpelle le géant du web, qui lui répond laconiquement que son API répond aux critères du groupe de standardisation du web (WW3C) et que « rien n'est décidé maintenant ».

Des scénarios catastrophes

Pour Google, il n'y a pas de menace et rappelle que cette fonction de reconnaissance vocale doit demander le consentement de l'utilisateur avant d'être activée. Si tel est le cas, la firme indique que lors de l'activation du microphone, un point rouge apparaît dans un onglet du navigateur. Le développeur ne conteste pas que l'attaque ne fonctionne pas si le consentement n'a pas été donné. Cependant, Tal Alter a constaté que Chrome se souvient si une personne a accordé la permission d'activer le microphone à un site utilisant le protocole HTTPS et peut donc laisser des sites écouter les internautes sans  nouvelle approbation de l'utilisateur.

Le développeur a décrit un scénario où un site web malveillant pourrait lancer un pop-up, qui resterait en arrière-plan de la navigation et enregistrer les conversations privées de l'utilisateur. Cette fenêtre peut être camouflée en publicité, elle peut aussi être mise en veille et ne s'activer à l'écoute de mots-clés, selon une vidéo de démonstration sur le site de Tal Ater.