Chrome Web Store hat gleiche Sicherheitsprobleme wie Android Market

Das Rechtesystem in Googles Chrome Web Store ist ähnlich lasch wie das von Android: Mit einem Klick auf "Installlieren" gewährt der Nutzer einer Browser-App schon mal sämtliche Reche – wodurch auch das Ausspionieren von Onlinebanking und Co. möglich wird.

In Pocket speichern vorlesen Druckansicht 43 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

Der Sicherheitsexperte David Rogers kritisiert, dass das Erweiterungskonzepts von Googles Chrome-Browser ähnliche Sicherheitsmängel wie das Smartphone-Betriebssystem Android aufweise. Die Erweiterungen, die man über den Chrome Web Store beziehen kann, fordern demnach Systemrechte immer im Paket an. Beispielsweise verlangen die inoffiziellen Konsolenspielportierungen Super Mario World 1 und 2 Zugriff auf Browserverlauf, Favoriten und "Ihre Daten auf allen Webseiten". Der Anwender kann das entweder so zulassen – oder er muss auf die Erweiterung verzichten.

Da hört der Spaß auf: Die inoffizielle Flash-Portierung des Konsolenklassikers Super Mario Land 2 fordert unter anderem das Recht ein, alle besuchten Webseiten auslesen zu dürfen.

(Bild: David Rogers)

Dabei ist vor allem der Punkt "Ihre Daten auf allen Websites" kritisch: Das Flash-Spiel rund um den hüpfenden Kult-Klempner kann laut Googles Beschreibung sämtliche Daten von allen besuchten Seiten auslesen: "Die Seite Ihrer Bank, Ihre Internet-E-Mails, Ihre Facebook-Seite". Zudem hat die Erweiterung Zugriff auf gespeicherte Cookies anderer Webseiten und könnte sich so gegenüber diesen authentifizieren.

In einigen Fällen kann es durchaus sinnvoll sein, diese Rechte zu gewähren. Etwa, wenn eine Erweiterung den Quelltext jeder besuchten Webseite nach einem RSS-Feed absuchen soll. Was genau allerdings ein Spiel wie Super Mario mit diesen Informationen anstellt, kann der Anwender nicht ohne Weiteres herausfinden.

Nachdem Rogers Meldung in US-Medien hohe Wellen geschlagen hat, wurden die beiden Spiele aus dem Chrome Web Store entfernt. Allein der zweite Teil hatte zu diesem Zeitpunkt bereits knapp 14.000 Nutzer. Ob die Spiele tatsächlich Böses im Schilde geführt haben, ist nicht bekannt.

Gegenüber SecurityNewsDaily weist Google die Verantwortung von sich: "Es ist nicht unsere Angewohntheit, die eingereichten Apps zu kommentieren. Auch wenn sich Google das Recht vorbehält, die Chrome-Erweiterungen zu prüfen, ist das Unternehmen nicht dazu verpflichtet". Dabei baut Google auf die Unterstützung der Anwender: "Da wir die Benutzerbewertungen und Testbericht öffentlich im Store zugänglich machen, glauben wir, dass die Community auch diese (bösartigen) Apps abstraft – entweder, indem sie die Nutzer schlecht bewerten oder zur Entfernung vorschlagen."

Als Alternative zu dem bisherigen Konzept schlägt Rogers eine Kontrollsystem vor, das vergleichbar mit einer Firewall individuell über die Zugriffsversuche der Erweiterung entscheidet. Die Entscheidung darüber, was gut und böse ist, soll hierbei ein unabhängiger Anbieter übernehmen – vergleichbar mit der Situation bei Kinderschutzfiltern oder den Clouds-Anbindungen moderner Virenscanner.

Den Chrome Web Store kann man mit Chrome unter allen gängigen Desktop-Betriebssystemem nutzen. Der Store spielt eine zentrale Rolle für die Googles jüngst vorgestellte Chromebooks, die man ab dem 15. Juni auch in Deutschland bestellen kann: Für die Chromebooks ist der Web Store die primäre Softwarequelle, ähnlich wie der Market für Googles Android-Smartphones.
(rei)