Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Abhörfalle Google Chrome – So können Seitenbetreiber das Mikrofon austricksen

Google Chrome. (Bild: Google)

Google Chrome lässt sich so manipulieren, dass fremde Webseitenbetreiber ihre Nutzer abhören können. Google ist das Sicherheitsleck seines Browsers schon länger bekannt, unternimmt jedoch nichts.

Update vom 25. Januar 2014: Wie heise.de vermeldet ist die Sicherheitslücke bereits geschlossen. Der Fehler lässt sich in der aktuellen Version des Chrome-Browsers nicht reproduzieren. Google will im übrigen die Lücke schon seit Längerem geschlossen haben, was sich allerdings nicht mit der Aussage des unten aufgeführten Google-Sprecher-Statements deckt.

Google Chrome: Seitenbetreiber könnten Mikrofonfunktion kapern

Der Google-Chrome-Browser sieht sich aktuell mit einem schwerwiegenden Sicherheitsproblem konfrontiert. Wie ein israelischer Programmierer herausgefunden hat, können fremde Webseitenbetreiber mit kriminellen Absichten offenbar problemlos die Mikrofron-Funktion des Browsers manipulieren und Nutzer im schlimmsten Fall unbemerkt abhören. Das Problem soll Google schon seit September vergangenen Jahres bekannt sein, eine Schließung der Sicherheitslücke hat der Suchmaschinenkonzern bislang jedoch nicht veranlasst.

Google Chrome: Der bekannte Browser kann durch das Manipulieren der Mikrofon-Funktion zur Abhörfalle werden. (Foto: Google)

Damit das Sicherheitsleck greift, müssen Nutzer zuvor die Mikrofron-Unterstützung für eine bestimmte Webseite aktiviert haben. Nicht ungewöhnlich, bieten viele Webseiten doch inzwischen Suchanfragen per Sprachbefehl oder die Möglichkeit, sich über den Browser in Skype einzuloggen. Kriminelle können demnach das auf vielen Webseiten verwendete (und abhörsichere) HTTPS-Zertifikat manipulieren. Dabei schalten sie sich praktisch zwischen Nutzer und Webseite, indem unbemerkt ein neues Browserfenster im Hintergrund – ein sogenanntes Popunder – platziert wird. Üblicherweise informiert Google Chrome den Nutzer über das aktive Mikrofron, in diesem Fall aber erfahren sie davon nichts. Eine schwerwiegende Abhörfalle, um beispielsweise Gespräche des Nutzers mitzuschneiden. Um das Problem zu umgehen, sollte die Spracherkennung standardmäßig deaktiviert werden.

Google selbst sieht „kein unmittelbares Problem“

Der israelische Programmier will Google nach eigenen Angaben schon im September letzten Jahres über das Problem informiert haben. Bisher hat Google allerdings trotz einfachster Mittel kein Softwareupdate bereitgestellt – und wird das wohl auch in Zukunft nicht tun: „Wir haben den Fall noch einmal untersucht und glauben, dass es sich um kein unmittelbares Problem handelt, da Nutzer jeder Webseite einzeln erlauben müssen, das Mikrofon zu benutzen“, teilte ein Sprecher des Konzerns mit. Das sehen viele Nutzer aber offenbar anders. Sie nominierten das Sicherheitsleck sogar für das „Chromium Reward Programm“, das findige Programmierer für das Aufspüren solcher Sicherheitsleck belohnt.

via www.theverge.com

Finde einen Job, den du liebst

Bitte beachte unsere Community-Richtlinien

2 Reaktionen
JochenJung

Der ganze Artikel scheint nicht zu stimmen, denn der Fehler ist wohl schon länger von Google behoben worden:

http://www.heise.de/newsticker/meldung/Angebliche-Sicherheitsluecke-in-aktuellem-Chrome-nicht-zu-finden-2096641.html

Antworten
Felix N.

??? Da ist aber etwas falsch verstanden worden: es stimmt nicht, dass Kriminelle in Chrome das HTTPS-Zertifikat manipulieren können und sich damit zwischen Besucher und Seite schalten zu können.

Hier ist das Problem, dass Seitenbetreiber die über ein HTTPS Zertifikat verfügen und bei denen man vertrauensvoll zugestimmt hat, dass sie auf das Mikrofon zugreifen dürfen, im Hintergrund ein zweites Popup öffnen und dort mitzeichnen können ohne dass beim Nutzer im offenen Tab das Aufnahmesymbol erscheint.

Und das Problem gilt nur für Seiten mit HTTPS Zertifikat, da Chrome lediglich bei verschlüsselten Verbindungen nicht bei jedem Mikrofon-Zugriff erneut nachfrägt, ob das okay ist. Macht meines Erachtens auch Sinn – warum sollte ich bei einer Seite der ich vertrau das jedes mal aufs neue bestätigen?

Problemlösung wäre also eine bessere visuelle Aufklärung über bestehende Mikrofon-Zugriffe in Chrome auf Seiten von Google.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.