Digital

Bild: Getty Images Europe

Sicherheitslücke

Ihr Google-Browser hört mit

Ein Schlupfloch im Chrome-Browser lässt heimliche Mitschnitte zu. Websites können so das Mikrofon eines Computers anzapfen. Google weiss das seit Monaten, sieht aber keinen Handlungsbedarf.

23.01.14, 15:31 24.01.14, 07:38

Ein Artikel von

Der israelische Entwickler Tal Ater hat eine Software entwickelt, mit der sich Websites leicht um Spracherkennung erweitern lassen. Er experimentierte mit dem Google-Browser Chrome herum, als ihm etwas Merkwürdiges auffiel: Ein Fehler in Chrome macht es möglich, dass Websites das Mikrofon eines Computers anzapfen, ohne dass der Besitzer das merkt.

Versteckte Mithörer dank simplem Trick

Eigentlich funktioniert die Mithör-Kontrolle in Chrome so: Der Nutzer öffnet eine Website, die auf das Mikrofon zurückgreift. Beim ersten Start muss er mit einem Klick die Erlaubnis erteilen, dass die Seite am Rechner mithören darf. Wenn die betreffende Seite geöffnet ist, weist ein kleines Symbol auf die Mikrofon-Aufzeichnung hin. Schliesst man die Website, stoppt auch die Aufzeichnung. So weit, so gut.

Ater hat allerdings festgestellt, dass sich der Google-Browser austricksen lässt: Böswillige Betreiber einer Website können ein Browser-Pop-up im Hintergrund öffnen. Der Nutzer schliesst das Fenster der Seite, der er die Erlaubnis zum Mithören gegeben hat. Aber das kleine Fenster im Hintergrund kann dank der Erlaubnis weiter lauschen. Und selbst wenn ein Nutzer es irgendwann bemerkt, sieht er im Pop-up keinen Warnhinweis auf die laufende Mikro-Aufzeichnung.

Google sieht «keine unmittelbare Gefahr»

Ater benachrichtigte Google am 13. September 2013 über dieses Sicherheitsproblem. Er schreibt, dass die Entwickler am 19. September den Fehler gefunden und am 24. September eine Lösung programmiert hätten. Doch bis heute hat Google dieses Sicherheits-Update nicht in seinen Chrome-Browser integriert. Deshalb macht Ater die Lücke nun öffentlich. Er kritisiert Googles Untätigkeit: «Das Web-Standardisierungsgremium W3C hat schon im Oktober 2012 festgelegt, wie ein Browser sich bei Aufnahmen korrekt zu verhalten hat, dieses Verhalten hätte so etwas verhindert.»

Google sieht jedoch keinen Handlungsbedarf. Eine Sprecherin sagte der US-Nachrichtenseite «The Verge»: «Wir haben den Fall überprüft und sehen keine unmittelbare Gefahr. Ein Nutzer muss ja für jede Seite die Sprachaufzeichnung erst erlauben.»

Lieber keine Mikrofon-Freigaben im Chrome

Diese Antwort hat mit der von Ater beschriebenen Sicherheitslücke allerdings wenig zu tun. Das Problem ist ja, dass sich eine harmlos wirkende Seite die Erlaubnis holen kann, aber mit dieser Erlaubnis weiter über ein verstecktes Browserfenster mitschneidet, wenn die eigentliche Seite längst geschlossen ist. Wer sichergehen will, sollte im Chrome-Browser wohl generell keine Freigaben für Mikrofon-Mitschnitte geben. (lis)

Hol dir die App!

Brikne, 20.7.2017
Neutrale Infos, Gepfefferte Meinungen. Diese Mischung gefällt mir.
Abonniere unseren NewsletterNewsletter-Abo
Themen
7
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
7Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • matthiasg 27.01.2014 16:53
    Highlight Stimmt nicht so ganz. Der Blogger behauptete, dass ein Popunder-Fenster erzeugt werde (also ein verborgenes Fenster hinter dem aktiven Fenster). Das war offenbar früher mal möglich, wurde aber von den Entwicklern schon vor längerer Zeit geflickt, so dass das heute gar nicht mehr möglich ist.

    http://www.heise.de/security/meldung/Angebliche-Sicherheitsluecke-in-aktuellem-Chrome-nicht-zu-finden-2096641.html
    0 0 Melden
  • papparazzi 24.01.2014 10:08
    Highlight Und da wundert es noch, wenn man vom NSA-Skandal hört! Es liegt doch auf der Hand, warum Google keinen Handlungsbedarf sieht. Irgendwie mussten die Datenstaubsauger ja bei verschiedenen Browsern eine Anzapf- oder Andockstelle haben. Google sieht darin keine "unmittelbare Gefahr". Dann wäre dann also eine Hausdurchsuchung die mittelbare Gefahr?
    0 0 Melden
  • seebligg 24.01.2014 08:55
    Highlight Das ist wahrscheinlich ein gewollter Bug für die NSA
    0 1 Melden
  • deg 23.01.2014 22:49
    Highlight Erm... Auf dem Bild ist ein Tablet. Da hats zwar einen Chrome Browser, aber der Artikel scheint eher darauf hinzudeuten, dass davon nur Desktops betroffen sind... Ich sehe da ein bisschen eine Text-Bild-Schere...
    1 1 Melden
  • RMU 23.01.2014 18:33
    Highlight Wer hört den dass alles ab? Kann ich mir nicht vorstellen, auch nicht was das bringt. Glaube eher es ist ein Programmierfehler.
    3 0 Melden
  • Eselsohr 23.01.2014 18:15
    Highlight Verstönd die dänn Schwizertütsch? Oder haben die einen Verchromer der übersetzt?
    5 0 Melden
    • dauenhuber 23.01.2014 21:33
      Highlight Chasch jo mol vo Guugel öppis la übersetze. Würd mer kei Sorge machä, dass die diä verschtönd.
      3 0 Melden

Lohnt sich der Umstieg auf den neuen Firefox Quantum? Dieser Speed-Vergleich zeigt es

Schöner, schlanker, schneller: Mit Firefox Quantum hat Mozilla einen verbesserten Browser veröffentlicht. Doch im Duell mit den härtesten Konkurrenten Google Chrome, Mircrosoft Edge und Opera zeigen sich Schwächen – vor allem für Smartphone-Nutzer.

Mozilla gibt sich im Produktkampf mit Google nicht geschlagen: Mit der neuen Firefox-Version 57 namens Quantum haben die Entwickler den Browser deutlich überarbeitet. Websites bauen sich spürbar schneller auf als beim Vorgänger, Bilder und Videos laden flinker. Das Design ist schlank, die Oberfläche leicht zu bedienen. Beim Surfen merkt man kaum mehr einen Unterschied zum direkten Konkurrenten Google Chrome.

Schon seit längerem ringen die beiden Browser um die Nutzergunst, Google lag dabei …

Artikel lesen