Browser Chrome als Abhörzentrale nutzbar
Ein Fehler in Googles Browser erlaubt es Angreifern, das Rechnermikrofon ohne Wissen des Nutzers zum Mitschneiden seiner Gespräche zu verwenden. Das Leck ist dem Hersteller seit Monaten bekannt, aber bisher nicht behoben.
- Christian Kirsch
Nachdem Google eine ihm bekannte Sicherheitslücke innerhalb von vier Monaten nicht geschlossen hat, reichte es dem israelischen Sicherheitsexperten Tal Atar jetzt: Er veröffentlichte eine Beschreibung des Bugs samt Beispielcode für einen Exploit. Dieser demonstriert, wie ein Angreifer das Mikrofon des Rechners ohne Wissen des Nutzers zum Abhören von Gesprächen nutzen kann.
Zwar muss ein Anwender der Verwendung des Mikrofons durch eine Webanwendung zustimmen. Ist die Verbindung zum Webserver jedoch per HTTPS gesichert, fragt der Browser nur einmal nach und merkt sich die Zustimmung für weitere Sitzungen. Ein eingeschaltetes Mikrofon wird durch ein blinkendes Icon im jeweiligen Tab angezeigt.
Allerdings, erklärt Tal Atar, könne eine Website gleichzeitig ein Fenster hinter dem Browserfenster anlegen (Pop-under). Darin könne eine Anwendung weiterhin das Mikrofon verwenden, ohne dass der Benutzer das bemerke: Diese Aktivität werde in keinem Tab angezeigt. So kann ein Angreifer den laufenden Browser zum Abhören sämtlicher in der Umgebung geführten Gespräche missbrauchen.
Den Bug habe er bei der Arbeit an einer JavaScript-Bibliothek zur Spracherkennung bemerkt und am 13. September 2013 an Google gemeldet. Dessen Entwickler hätten die Schwachstelle sechs Tage später identifiziert und am 24. September eine Fehlerkorrektur bereitgestellt. Die habe jedoch bis heute nicht ihren Weg in den Code des Browsers gefunden. Angeblich sei nicht klar, wie die Korrektur standardkonform umzusetzen ist.
Update 24.1.14 11:50: Der angebliche Fehler lässt sich in aktuellen Chrome-Versionen nicht reproduzieren. (ck)
