Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
MUNICH, GERMANY - SEPTEMBER 06:  In this photo illustration Google's Chrome, Google Inc.'s new Web browser is displayed on an laptop. (Photo Illustration by Alexander Hassenstein/Getty Images)

Bild: Getty Images Europe

Sicherheitslücke

Ihr Google-Browser hört mit

Ein Schlupfloch im Chrome-Browser lässt heimliche Mitschnitte zu. Websites können so das Mikrofon eines Computers anzapfen. Google weiss das seit Monaten, sieht aber keinen Handlungsbedarf.

23.01.14, 15:31 24.01.14, 07:38


Ein Artikel von

Der israelische Entwickler Tal Ater hat eine Software entwickelt, mit der sich Websites leicht um Spracherkennung erweitern lassen. Er experimentierte mit dem Google-Browser Chrome herum, als ihm etwas Merkwürdiges auffiel: Ein Fehler in Chrome macht es möglich, dass Websites das Mikrofon eines Computers anzapfen, ohne dass der Besitzer das merkt.

Versteckte Mithörer dank simplem Trick

Eigentlich funktioniert die Mithör-Kontrolle in Chrome so: Der Nutzer öffnet eine Website, die auf das Mikrofon zurückgreift. Beim ersten Start muss er mit einem Klick die Erlaubnis erteilen, dass die Seite am Rechner mithören darf. Wenn die betreffende Seite geöffnet ist, weist ein kleines Symbol auf die Mikrofon-Aufzeichnung hin. Schliesst man die Website, stoppt auch die Aufzeichnung. So weit, so gut.

Ater hat allerdings festgestellt, dass sich der Google-Browser austricksen lässt: Böswillige Betreiber einer Website können ein Browser-Pop-up im Hintergrund öffnen. Der Nutzer schliesst das Fenster der Seite, der er die Erlaubnis zum Mithören gegeben hat. Aber das kleine Fenster im Hintergrund kann dank der Erlaubnis weiter lauschen. Und selbst wenn ein Nutzer es irgendwann bemerkt, sieht er im Pop-up keinen Warnhinweis auf die laufende Mikro-Aufzeichnung.

Google sieht «keine unmittelbare Gefahr»

Ater benachrichtigte Google am 13. September 2013 über dieses Sicherheitsproblem. Er schreibt, dass die Entwickler am 19. September den Fehler gefunden und am 24. September eine Lösung programmiert hätten. Doch bis heute hat Google dieses Sicherheits-Update nicht in seinen Chrome-Browser integriert. Deshalb macht Ater die Lücke nun öffentlich. Er kritisiert Googles Untätigkeit: «Das Web-Standardisierungsgremium W3C hat schon im Oktober 2012 festgelegt, wie ein Browser sich bei Aufnahmen korrekt zu verhalten hat, dieses Verhalten hätte so etwas verhindert.»

Google sieht jedoch keinen Handlungsbedarf. Eine Sprecherin sagte der US-Nachrichtenseite «The Verge»: «Wir haben den Fall überprüft und sehen keine unmittelbare Gefahr. Ein Nutzer muss ja für jede Seite die Sprachaufzeichnung erst erlauben.»

Lieber keine Mikrofon-Freigaben im Chrome

Diese Antwort hat mit der von Ater beschriebenen Sicherheitslücke allerdings wenig zu tun. Das Problem ist ja, dass sich eine harmlos wirkende Seite die Erlaubnis holen kann, aber mit dieser Erlaubnis weiter über ein verstecktes Browserfenster mitschneidet, wenn die eigentliche Seite längst geschlossen ist. Wer sichergehen will, sollte im Chrome-Browser wohl generell keine Freigaben für Mikrofon-Mitschnitte geben. (lis)

Abonniere unseren Daily Newsletter

Themen
7
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
7Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • matthiasg 27.01.2014 16:53
    Highlight Stimmt nicht so ganz. Der Blogger behauptete, dass ein Popunder-Fenster erzeugt werde (also ein verborgenes Fenster hinter dem aktiven Fenster). Das war offenbar früher mal möglich, wurde aber von den Entwicklern schon vor längerer Zeit geflickt, so dass das heute gar nicht mehr möglich ist.

    http://www.heise.de/security/meldung/Angebliche-Sicherheitsluecke-in-aktuellem-Chrome-nicht-zu-finden-2096641.html
    0 0 Melden
  • papparazzi 24.01.2014 10:08
    Highlight Und da wundert es noch, wenn man vom NSA-Skandal hört! Es liegt doch auf der Hand, warum Google keinen Handlungsbedarf sieht. Irgendwie mussten die Datenstaubsauger ja bei verschiedenen Browsern eine Anzapf- oder Andockstelle haben. Google sieht darin keine "unmittelbare Gefahr". Dann wäre dann also eine Hausdurchsuchung die mittelbare Gefahr?
    0 0 Melden
  • seebligg 24.01.2014 08:55
    Highlight Das ist wahrscheinlich ein gewollter Bug für die NSA
    0 1 Melden
  • deg 23.01.2014 22:49
    Highlight Erm... Auf dem Bild ist ein Tablet. Da hats zwar einen Chrome Browser, aber der Artikel scheint eher darauf hinzudeuten, dass davon nur Desktops betroffen sind... Ich sehe da ein bisschen eine Text-Bild-Schere...
    1 1 Melden
  • RMU 23.01.2014 18:33
    Highlight Wer hört den dass alles ab? Kann ich mir nicht vorstellen, auch nicht was das bringt. Glaube eher es ist ein Programmierfehler.
    3 0 Melden
  • Eselsohr 23.01.2014 18:15
    Highlight Verstönd die dänn Schwizertütsch? Oder haben die einen Verchromer der übersetzt?
    5 0 Melden
    • dauenhuber 23.01.2014 21:33
      Highlight Chasch jo mol vo Guugel öppis la übersetze. Würd mer kei Sorge machä, dass die diä verschtönd.
      3 0 Melden

Samsung überrascht mit erstem Handy mit Triple-Kamera

Mit dem Galaxy A7 hat Samsung ein neues Mittelklasse-Smartphone vorgestellt, das auf der Rückseite drei Kameras hat. Es sei das erste Mal, dass ein Handy der Südkoreaner eine Triple-Kamera biete, schreibt heise.de.

Dies war eigentlich erst für das nächste Android-Flaggschiff, das Galaxy S10, im Frühjahr 2019 erwartet worden.

Offensichtlich wollten die Südkoreaner Huawei ein Bein stellen, das mit dem P20 Pro das erste Handy mit Triple-Kamera auf den Markt gebracht hatte, kommentiert …

Artikel lesen