Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Bild: Getty Images Europe

Sicherheitslücke

Ihr Google-Browser hört mit

Ein Schlupfloch im Chrome-Browser lässt heimliche Mitschnitte zu. Websites können so das Mikrofon eines Computers anzapfen. Google weiss das seit Monaten, sieht aber keinen Handlungsbedarf.

23.01.14, 15:31 24.01.14, 07:38


Ein Artikel von

Der israelische Entwickler Tal Ater hat eine Software entwickelt, mit der sich Websites leicht um Spracherkennung erweitern lassen. Er experimentierte mit dem Google-Browser Chrome herum, als ihm etwas Merkwürdiges auffiel: Ein Fehler in Chrome macht es möglich, dass Websites das Mikrofon eines Computers anzapfen, ohne dass der Besitzer das merkt.

Versteckte Mithörer dank simplem Trick

Eigentlich funktioniert die Mithör-Kontrolle in Chrome so: Der Nutzer öffnet eine Website, die auf das Mikrofon zurückgreift. Beim ersten Start muss er mit einem Klick die Erlaubnis erteilen, dass die Seite am Rechner mithören darf. Wenn die betreffende Seite geöffnet ist, weist ein kleines Symbol auf die Mikrofon-Aufzeichnung hin. Schliesst man die Website, stoppt auch die Aufzeichnung. So weit, so gut.

Ater hat allerdings festgestellt, dass sich der Google-Browser austricksen lässt: Böswillige Betreiber einer Website können ein Browser-Pop-up im Hintergrund öffnen. Der Nutzer schliesst das Fenster der Seite, der er die Erlaubnis zum Mithören gegeben hat. Aber das kleine Fenster im Hintergrund kann dank der Erlaubnis weiter lauschen. Und selbst wenn ein Nutzer es irgendwann bemerkt, sieht er im Pop-up keinen Warnhinweis auf die laufende Mikro-Aufzeichnung.

Google sieht «keine unmittelbare Gefahr»

Ater benachrichtigte Google am 13. September 2013 über dieses Sicherheitsproblem. Er schreibt, dass die Entwickler am 19. September den Fehler gefunden und am 24. September eine Lösung programmiert hätten. Doch bis heute hat Google dieses Sicherheits-Update nicht in seinen Chrome-Browser integriert. Deshalb macht Ater die Lücke nun öffentlich. Er kritisiert Googles Untätigkeit: «Das Web-Standardisierungsgremium W3C hat schon im Oktober 2012 festgelegt, wie ein Browser sich bei Aufnahmen korrekt zu verhalten hat, dieses Verhalten hätte so etwas verhindert.»

Google sieht jedoch keinen Handlungsbedarf. Eine Sprecherin sagte der US-Nachrichtenseite «The Verge»: «Wir haben den Fall überprüft und sehen keine unmittelbare Gefahr. Ein Nutzer muss ja für jede Seite die Sprachaufzeichnung erst erlauben.»

Lieber keine Mikrofon-Freigaben im Chrome

Diese Antwort hat mit der von Ater beschriebenen Sicherheitslücke allerdings wenig zu tun. Das Problem ist ja, dass sich eine harmlos wirkende Seite die Erlaubnis holen kann, aber mit dieser Erlaubnis weiter über ein verstecktes Browserfenster mitschneidet, wenn die eigentliche Seite längst geschlossen ist. Wer sichergehen will, sollte im Chrome-Browser wohl generell keine Freigaben für Mikrofon-Mitschnitte geben. (lis)

Abonniere unseren Daily Newsletter

Themen
7
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
7Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • matthiasg 27.01.2014 16:53
    Highlight Stimmt nicht so ganz. Der Blogger behauptete, dass ein Popunder-Fenster erzeugt werde (also ein verborgenes Fenster hinter dem aktiven Fenster). Das war offenbar früher mal möglich, wurde aber von den Entwicklern schon vor längerer Zeit geflickt, so dass das heute gar nicht mehr möglich ist.

    http://www.heise.de/security/meldung/Angebliche-Sicherheitsluecke-in-aktuellem-Chrome-nicht-zu-finden-2096641.html
    0 0 Melden
  • papparazzi 24.01.2014 10:08
    Highlight Und da wundert es noch, wenn man vom NSA-Skandal hört! Es liegt doch auf der Hand, warum Google keinen Handlungsbedarf sieht. Irgendwie mussten die Datenstaubsauger ja bei verschiedenen Browsern eine Anzapf- oder Andockstelle haben. Google sieht darin keine "unmittelbare Gefahr". Dann wäre dann also eine Hausdurchsuchung die mittelbare Gefahr?
    0 0 Melden
  • seebligg 24.01.2014 08:55
    Highlight Das ist wahrscheinlich ein gewollter Bug für die NSA
    0 1 Melden
  • deg 23.01.2014 22:49
    Highlight Erm... Auf dem Bild ist ein Tablet. Da hats zwar einen Chrome Browser, aber der Artikel scheint eher darauf hinzudeuten, dass davon nur Desktops betroffen sind... Ich sehe da ein bisschen eine Text-Bild-Schere...
    1 1 Melden
  • RMU 23.01.2014 18:33
    Highlight Wer hört den dass alles ab? Kann ich mir nicht vorstellen, auch nicht was das bringt. Glaube eher es ist ein Programmierfehler.
    3 0 Melden
  • Eselsohr 23.01.2014 18:15
    Highlight Verstönd die dänn Schwizertütsch? Oder haben die einen Verchromer der übersetzt?
    5 0 Melden
    • dauenhuber 23.01.2014 21:33
      Highlight Chasch jo mol vo Guugel öppis la übersetze. Würd mer kei Sorge machä, dass die diä verschtönd.
      3 0 Melden

Nach 26 Jahren kommt der Nachfolger der SMS – 7 Dinge, die du wissen musst

Einst wurden pro Tag Milliarden SMS versendet. Doch mit dem Siegeszug von WhatsApp begann der Niedergang der Short Message Services. Zu wenig flexibel, zu teuer waren die auf 160 Zeichen beschränkten Kurzmitteilungen.

Doch nun wurde der SMS-Dienst ordentlich aufgebohrt. Mit dem Nachrichtenstandard RCS sollen wir schon bald so umfangreich chatten können, wie wir uns das von Whatsapp und Co. gewohnt sind. Entwickelt wurde RCS dabei schon 2012, doch erst jetzt wird die Verbreitung im grossen …

Artikel lesen