Software & Infrastruktur

Abhörfalle Google Chrome – So können Seitenbetreiber das Mikrofon austricksen

Google Chrome. (Bild: Google)

Google Chrome lässt sich so manipulieren, dass fremde Webseitenbetreiber ihre Nutzer abhören können. Google ist das Sicherheitsleck seines Browsers schon länger bekannt, unternimmt jedoch nichts.

Update vom 25. Januar 2014: Wie heise.de vermeldet ist die Sicherheitslücke bereits geschlossen. Der Fehler lässt sich in der aktuellen Version des Chrome-Browsers nicht reproduzieren. Google will im übrigen die Lücke schon seit Längerem geschlossen haben, was sich allerdings nicht mit der Aussage des unten aufgeführten Google-Sprecher-Statements deckt.

Google Chrome: Seitenbetreiber könnten Mikrofonfunktion kapern

Der Google-Chrome-Browser sieht sich aktuell mit einem schwerwiegenden Sicherheitsproblem konfrontiert. Wie ein israelischer Programmierer herausgefunden hat, können fremde Webseitenbetreiber mit kriminellen Absichten offenbar problemlos die Mikrofron-Funktion des Browsers manipulieren und Nutzer im schlimmsten Fall unbemerkt abhören. Das Problem soll Google schon seit September vergangenen Jahres bekannt sein, eine Schließung der Sicherheitslücke hat der Suchmaschinenkonzern bislang jedoch nicht veranlasst.

Google Chrome: Der bekannte Browser kann durch das Manipulieren der Mikrofon-Funktion zur Abhörfalle werden. (Foto: Google)

Damit das Sicherheitsleck greift, müssen Nutzer zuvor die Mikrofron-Unterstützung für eine bestimmte Webseite aktiviert haben. Nicht ungewöhnlich, bieten viele Webseiten doch inzwischen Suchanfragen per Sprachbefehl oder die Möglichkeit, sich über den Browser in Skype einzuloggen. Kriminelle können demnach das auf vielen Webseiten verwendete (und abhörsichere) HTTPS-Zertifikat manipulieren. Dabei schalten sie sich praktisch zwischen Nutzer und Webseite, indem unbemerkt ein neues Browserfenster im Hintergrund – ein sogenanntes Popunder – platziert wird. Üblicherweise informiert Google Chrome den Nutzer über das aktive Mikrofron, in diesem Fall aber erfahren sie davon nichts. Eine schwerwiegende Abhörfalle, um beispielsweise Gespräche des Nutzers mitzuschneiden. Um das Problem zu umgehen, sollte die Spracherkennung standardmäßig deaktiviert werden.

Google selbst sieht „kein unmittelbares Problem“

Der israelische Programmier will Google nach eigenen Angaben schon im September letzten Jahres über das Problem informiert haben. Bisher hat Google allerdings trotz einfachster Mittel kein Softwareupdate bereitgestellt – und wird das wohl auch in Zukunft nicht tun: „Wir haben den Fall noch einmal untersucht und glauben, dass es sich um kein unmittelbares Problem handelt, da Nutzer jeder Webseite einzeln erlauben müssen, das Mikrofon zu benutzen“, teilte ein Sprecher des Konzerns mit. Das sehen viele Nutzer aber offenbar anders. Sie nominierten das Sicherheitsleck sogar für das „Chromium Reward Programm“, das findige Programmierer für das Aufspüren solcher Sicherheitsleck belohnt.

via www.theverge.com

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

3 Kommentare
Felix N.
Felix N.

??? Da ist aber etwas falsch verstanden worden: es stimmt nicht, dass Kriminelle in Chrome das HTTPS-Zertifikat manipulieren können und sich damit zwischen Besucher und Seite schalten zu können.

Hier ist das Problem, dass Seitenbetreiber die über ein HTTPS Zertifikat verfügen und bei denen man vertrauensvoll zugestimmt hat, dass sie auf das Mikrofon zugreifen dürfen, im Hintergrund ein zweites Popup öffnen und dort mitzeichnen können ohne dass beim Nutzer im offenen Tab das Aufnahmesymbol erscheint.

Und das Problem gilt nur für Seiten mit HTTPS Zertifikat, da Chrome lediglich bei verschlüsselten Verbindungen nicht bei jedem Mikrofon-Zugriff erneut nachfrägt, ob das okay ist. Macht meines Erachtens auch Sinn – warum sollte ich bei einer Seite der ich vertrau das jedes mal aufs neue bestätigen?

Problemlösung wäre also eine bessere visuelle Aufklärung über bestehende Mikrofon-Zugriffe in Chrome auf Seiten von Google.

Antworten
JochenJung
JochenJung

Der ganze Artikel scheint nicht zu stimmen, denn der Fehler ist wohl schon länger von Google behoben worden:

http://www.heise.de/newsticker/meldung/Angebliche-Sicherheitsluecke-in-aktuellem-Chrome-nicht-zu-finden-2096641.html

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.