Разработчики проекта Debian обратили внимание на недопустимое поведение браузера Chromium, который начиная с 43 сборки начал без уведомления пользователя загружать непонятное дополнение «Chrome Hotword Shared Module», поставляемое в виде бинарного файла. Дополнение начинает загружаться сразу после первого запуска браузера, при этом загруженный компонент не отображается в списке установленных дополнений (chrome://extensions/), а в настройках не предусмотрено опции для отключения данного поведения.

Предполагается, что дополнение обеспечивает работу сервиса голосового управления «Ok Google», но сам факт скрытой загрузки непонятного исполняемого бинарного файла вызывает большие опасения и является значительным нарушением правил поставки пакетов в репозиториях Debian. В настоящее время разработчики Debian рассматривают целесообразность присвоения данной проблеме статуса уязвимости. Также разбирается ситуация, как загрузка бинарного компонента осталась незамеченной сопровождающими, формирующими пакеты для Debian. Провести полный аудит закрытого бинарного дополнения достаточно трудоёмкая задача, поэтому остаётся вероятность, что в такие дополнения могут быть интегрированы бэкдоры, которые могут контролировать действия пользователей (например, в дополнении Hotword постоянно включен захват звука, что можно использовать не только для анализа голосовых команд, но и для организации прослушивания).

Определить наличие дополнения можно через просмотр секции Shared Module в выводе «chrome://voicesearch», а отключить дополнение можно лишь удалив директорию «Extensions/lccekmodgklaepjeofjdjpbminllajkg/». Выпущенное на днях обновление пакета Chromium для Debian содержит исправление, блокирующее загрузку бинарного модуля. В остальных дистрибутивах, судя по всему, Chromium 43 продолжает загружать бинарный модуль.

Разработчики проекта Chromium прокомментировали наличие модуля тем, что он не активируется без явного включения опции «Enable Ok Google» в настройках chrome://settings. Т.е. модуль только загружается, но не выполняется без одобрения пользователя (на деле, модуль помечается активным даже при выключенной поддержке Ok Google, см. скриншоты ниже). Отсутствие в списке установленных дополнений объясняется тем, что внутренние модули не выводятся в этом списке. Бинарный характер дополнения связан с реализацией модуля с использованием технологии Native Client и применением проприетарного алгоритма распознавания речи, код которого не является открытым. В ответ на критику разработчики Chromium уже добавили специальный сборочный флаг, запрещающий предварительную загрузку модуля.

Дополнение: Разработчики дистрибутива Arch Linux уже отреагировали на инцидент созданием собственной сборки Chromium, ориентированной на соблюдение приватности.