Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
MUNICH, GERMANY - SEPTEMBER 06:  In this photo illustration Google's Chrome, Google Inc.'s new Web browser is displayed on an laptop. (Photo Illustration by Alexander Hassenstein/Getty Images)

Bild: Getty Images Europe

Sicherheitslücke

Ihr Google-Browser hört mit

Ein Schlupfloch im Chrome-Browser lässt heimliche Mitschnitte zu. Websites können so das Mikrofon eines Computers anzapfen. Google weiss das seit Monaten, sieht aber keinen Handlungsbedarf.



Ein Artikel von

Spiegel Online

Der israelische Entwickler Tal Ater hat eine Software entwickelt, mit der sich Websites leicht um Spracherkennung erweitern lassen. Er experimentierte mit dem Google-Browser Chrome herum, als ihm etwas Merkwürdiges auffiel: Ein Fehler in Chrome macht es möglich, dass Websites das Mikrofon eines Computers anzapfen, ohne dass der Besitzer das merkt.

Versteckte Mithörer dank simplem Trick

Eigentlich funktioniert die Mithör-Kontrolle in Chrome so: Der Nutzer öffnet eine Website, die auf das Mikrofon zurückgreift. Beim ersten Start muss er mit einem Klick die Erlaubnis erteilen, dass die Seite am Rechner mithören darf. Wenn die betreffende Seite geöffnet ist, weist ein kleines Symbol auf die Mikrofon-Aufzeichnung hin. Schliesst man die Website, stoppt auch die Aufzeichnung. So weit, so gut.

Ater hat allerdings festgestellt, dass sich der Google-Browser austricksen lässt: Böswillige Betreiber einer Website können ein Browser-Pop-up im Hintergrund öffnen. Der Nutzer schliesst das Fenster der Seite, der er die Erlaubnis zum Mithören gegeben hat. Aber das kleine Fenster im Hintergrund kann dank der Erlaubnis weiter lauschen. Und selbst wenn ein Nutzer es irgendwann bemerkt, sieht er im Pop-up keinen Warnhinweis auf die laufende Mikro-Aufzeichnung.

Google sieht «keine unmittelbare Gefahr»

Ater benachrichtigte Google am 13. September 2013 über dieses Sicherheitsproblem. Er schreibt, dass die Entwickler am 19. September den Fehler gefunden und am 24. September eine Lösung programmiert hätten. Doch bis heute hat Google dieses Sicherheits-Update nicht in seinen Chrome-Browser integriert. Deshalb macht Ater die Lücke nun öffentlich. Er kritisiert Googles Untätigkeit: «Das Web-Standardisierungsgremium W3C hat schon im Oktober 2012 festgelegt, wie ein Browser sich bei Aufnahmen korrekt zu verhalten hat, dieses Verhalten hätte so etwas verhindert.»

Google sieht jedoch keinen Handlungsbedarf. Eine Sprecherin sagte der US-Nachrichtenseite «The Verge»: «Wir haben den Fall überprüft und sehen keine unmittelbare Gefahr. Ein Nutzer muss ja für jede Seite die Sprachaufzeichnung erst erlauben.»

Lieber keine Mikrofon-Freigaben im Chrome

Diese Antwort hat mit der von Ater beschriebenen Sicherheitslücke allerdings wenig zu tun. Das Problem ist ja, dass sich eine harmlos wirkende Seite die Erlaubnis holen kann, aber mit dieser Erlaubnis weiter über ein verstecktes Browserfenster mitschneidet, wenn die eigentliche Seite längst geschlossen ist. Wer sichergehen will, sollte im Chrome-Browser wohl generell keine Freigaben für Mikrofon-Mitschnitte geben. (lis)

Abonniere unseren Newsletter

Themen
7
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
7Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • matthiasg 27.01.2014 16:53
    Highlight Highlight Stimmt nicht so ganz. Der Blogger behauptete, dass ein Popunder-Fenster erzeugt werde (also ein verborgenes Fenster hinter dem aktiven Fenster). Das war offenbar früher mal möglich, wurde aber von den Entwicklern schon vor längerer Zeit geflickt, so dass das heute gar nicht mehr möglich ist.

    http://www.heise.de/security/meldung/Angebliche-Sicherheitsluecke-in-aktuellem-Chrome-nicht-zu-finden-2096641.html
  • papparazzi 24.01.2014 10:08
    Highlight Highlight Und da wundert es noch, wenn man vom NSA-Skandal hört! Es liegt doch auf der Hand, warum Google keinen Handlungsbedarf sieht. Irgendwie mussten die Datenstaubsauger ja bei verschiedenen Browsern eine Anzapf- oder Andockstelle haben. Google sieht darin keine "unmittelbare Gefahr". Dann wäre dann also eine Hausdurchsuchung die mittelbare Gefahr?
  • seebligg 24.01.2014 08:55
    Highlight Highlight Das ist wahrscheinlich ein gewollter Bug für die NSA
  • deg 23.01.2014 22:49
    Highlight Highlight Erm... Auf dem Bild ist ein Tablet. Da hats zwar einen Chrome Browser, aber der Artikel scheint eher darauf hinzudeuten, dass davon nur Desktops betroffen sind... Ich sehe da ein bisschen eine Text-Bild-Schere...
  • RMU 23.01.2014 18:33
    Highlight Highlight Wer hört den dass alles ab? Kann ich mir nicht vorstellen, auch nicht was das bringt. Glaube eher es ist ein Programmierfehler.
  • Eselsohr 23.01.2014 18:15
    Highlight Highlight Verstönd die dänn Schwizertütsch? Oder haben die einen Verchromer der übersetzt?
    • dauenhuber 23.01.2014 21:33
      Highlight Highlight Chasch jo mol vo Guugel öppis la übersetze. Würd mer kei Sorge machä, dass die diä verschtönd.

Update-Horror bei Windows 10 – es kann nur noch besser werden

Am Ende eines schlimmen Update-Jahres verspricht der Windows-Konzern Besserung. Die Probleme erinnern an einen grossen Rivalen.

In der (menschlichen) Erinnerung ist alles nur halb so schlimm. Oder sogar noch besser.

Wo lag überhaupt das Problem?

Nun, liebe Redmond-Fans, wir müssen reden:

Gemeint ist nicht die neue Hardware. Da brilliert der US-Konzern oder liefert zumindest solide Upgrades.

Gemeint ist Windows 10.

Die User eines anderen Systems oder von Uralt-Windows konnten sich dieses Jahr ins Fäustchen lachen. Und aus sicherer Distanz beobachten, wie die neueren Microsoft-Maschinen ein ums andere Mal ins Schleudern …

Artikel lesen
Link to Article