Sicherheitslücke im Chrome-Browser? Webseiten können unbemerkt auf Kamera und Mikrofon zugreifen
Moderne Browser machen es Webseiten sehr leicht, auf angeschlossene Geräte wie der Kamera oder dem Mikrofon zuzugreifen. Das kann in vielen Fällen sehr nützlich sein, aber eben nur dann wenn der Nutzer auch tatsächlich weiß dass er gerade gefilmt wird oder das Mikrofon der Umgebung lauscht. Ein AOL-Entwickler hat jetzt eine Entdeckung gemacht, bei der sich die Geister streiten ob es sich um eine Sicherheitslücke im Chrome-Browser handelt oder nicht. Diese erlaubt die Aufnahme, ohne dass der Nutzer es bemerkt.
Der Chrome-Browser hat eine Reihe von Schutzmaßnahmen um zu verhindern dass der Nutzer unbemerkt ausspioniert wird: Will eine Webseite erstmalig auf das Mikrofon oder die Kamera zugreifen, dann muss der Nutzer dies erlauben. Läuft dann eine Aufnahme, wird direkt im Tab ein kleiner roter Kreis angezeigt der symbolisiert dass man virtuell gesehen gerade nicht ganz alleine ist. Doch diese Anzeige lässt sich über einen Workaround aushebeln, so dass eine Aufnahme vom Nutzer nicht bemerkt wird.
Ein AOL-Entwickler hat eine Möglichkeit entdeckt und beschrieben, mit der eine Aufnahme gestartet werden kann, ohne dass der Nutzer dies mitbekommt: Da das Aufnahme-Icon nur in einem Tab angezeigt wird, kann eine Webseite einfach ein Popup öffnen in dem es keinen Tab gibt. In diesem Popup kann dann vollkommen unbemerkt eine Aufnahme gestartet werden, die von der Webseite wie gewohnt abgerufen werden kann. Ob es sich dabei um eine Sicherheitslücke handelt ist umstritten.
Der Entdecker gibt selbst zu dass zum Ausnutzen dieser Lücke der Nutzer einmalig selbst den Zugriff gestattet haben muss, gibt aber auch zu Bedenken dass viele Nutzer solche Meldungen bedenkenlos abnicken und gar nicht lesen – womit er definitiv recht hat. Desweiteren ist die Rede davon dass eine solche Lücke auch per XSS-Angriff genutzt werden könnte um die Webcam und das Mikrofon in einem als Werbebanner getarnten Popup zu aktivieren.
Google hat die Entdeckung des Entwicklers bestätigt, es allerdings zurückgewiesen diese als Sicherheitslücke einzustufen:
This isn’t really a security vulnerability – for example, WebRTC on a mobile device shows no indicator at all in the browser. The dot is a best-first effort that only works on desktop when we have chrome UI space available. That being said, we are looking at ways to improve this situation.
Laut Google handelt es sich bei dem roten Punkt nur um ein Feature des Browsers und das Fehlen dieses Hinweises stellt keine Sicherheitslücke dar. Außerdem gibt es diesen Hinweis auch nur auf dem Desktop und nicht in den mobilen Apps des Chrome-Browsers. Aus diesem Grund handelt es sich eher nicht um eine Lücke, sondern höchstens um ein Ärgernis dass die Designer und Entwickler überdenken sollten. Google hat aber bereits angekündigt über einen verbesserten Hinweis nachzudenken.
Ob es sich dabei nun um eine Sicherheitslücke handelt oder nicht ist Ansichtssache. Da zumindest bei der Webcam normalerweise noch eine kleine LED leuchtet die auf eine Aufnahme hinweist, sehe ich eher kein großes Risiko dass ein Nutzer für längere Zeit ohne sein Wissen gefilmt wird – beim Mikrofon hingegen sieht das schon wieder anders aus. Da viele Nutzer tatsächlich zu bequem sind selbst kurze Meldungen zu lesen (ich kenne unzählige Beispiele), ist die Gefahr einer unbemerkten Aufnahme tatsächlich groß und durch die normalerweise eingeblendete Grafik wiegt sich ein Nutzer vielleicht in falscher Sicherheit.
Was sagt ihr? Sicherheitslücke oder nur ein Ärgernis?
» Demo-Webseite
» Genaue Beschreibung des Entdeckers
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Sinnvoll wäre, wenn Mikrofone auch eine LED hätten, die leuchtet wenn das Mikro aktiviert wird.