De gebruiker moet in eerste instantie wel toestemming geven aan de website om de microfoon te gebruiken. Dit kan handig zijn bij bijvoorbeeld spraakherkenning of videobellen. Werkt de site echter met het https-protocol, dan staat Chrome toe dat alle pagina’s van die website de microfoon mogen activeren zonder toestemming van de gebruiker.
Normaal gesproken geeft Chrome hiervan een duidelijke melding in de vorm van een rode knop op het tabblad. Sites kunnen de microfoonfunctie echter verstoppen in een apart, verborgen venster, een zogenaamde pop-under. De gebruiker kan op die manier dus afgeluisterd worden, ook al denkt hij dat de site in kwestie al is weggeklikt.
De ernstige fout werd al in september van het vorige jaar ontdekt door de Israëlische ontwikkelaar Tal Ater. Google nonimeerde het voor een bugbonus, maar kwam hier op terug en liet weten dat het geen probleem is. Benieuwd hoe de exploit eruit ziet? Bekijk dan de onderstaande video: