Chrome Bug erlaubt Websites auf Dauer zuzuhören
Spracherkennung gehört zu den Funktionen, die langsam aber sicher im Mainstream ankommen und von Otto-Normal-User zuhause am Rechner genutzt werden. Wie man sich dabei mit Google Chrome unbeabsichtigt einen auf Dauer mitlauschenden Spion ins Wohnzimmer holt, hat jetzt ein israelischer Entwickler aufgedeckt.
In der aktuellen Version von Googles Webbrowser Chrome steckt ein Bug. Und in der Vorgängerversion ebenfalls. Und in der davor auch. Der Bug ist Google bereits vor Monaten gemeldet worden, und es soll auch eine einfache Lösung für das Problem geben. Doch Google rührt sich nicht.
So zumindest klingt die Geschichte von dem israelischen Entwickler Tal Ater. Er hat entdeckt, wie per https gesicherte Seiten heimlich weitere Fenster im Hintergrund öffnen können. Das ist an sich ein altes Problem, ein Trick aus grauer Internetvorzeit. Neu ist jedoch, dass das Handling für Nutzerfreigaben, die das Ausbrechen aus der Sandbox verhindern sollen und den User so vor bösartigen Übergriffen schützt, in diesem Falle in Google Chrome nichts nützt. Das Problem das Ater entdeckt hat, hat mit der Mikrofon-Freigabe zu tun. Erlaubt man der Website auf das Mikro zuzugreifen, ist normalerweise damit wieder Schluss sobald die Seite geschlossen wird.
Der entdeckte Bug erlaubt es Website-Betreibern aber, neben ihrer Hauptseite weitere Seiten zum Beispiel als Pop-Under zu öffnen, die mit den gleichen Rechten ausgestattet sind, wie die Hauptseite. Sie können also weiterhin "zuhören", auch wenn der Nutzer die Seite oder den Tab, der er die Mirko-Nutzung erlaubt hatte wieder geschlossen hat. Für den Nutzer ist es dabei laut Ater nicht erkennbar, das er von einem weiteren Fenster belauscht wird. Es gibt verschiedene Wege, das zu verschleiern.
Die Geschichte rund um die Entdeckung des Exploits ist aber viel interessanter als die eigentliche Sicherheitslücke und reiht sich in eine ganze Serie ähnlicher Berichte. Denn nachdem Tal Ater den Fehler gemeldet hatte, war er recht zuversichtlich, dass das Problem zeitnah behoben wird. Außerdem erhoffte er sich eine stattliche Summe als Belohnung von Google zu bekommen.
Der Nutzer müsste jederzeit eine Übersicht haben, welcher Tab welche Freigaben hat. Hat er aber genau bei diesem Bug nicht. Nur auf der Ursprungsseite wird die Mikro-Freigabe angezeigt. Denkbar wäre es beispielsweise mit einem gesonderten Warnhinweis wie dem Symbol, das seit neustem auf lärmende Tabs hindeutet.
Doch bislang ist nichts passiert. Die Nutzer wurden bisher nicht informiert und involvierte Google Sprecher spielen das Problem nun auch noch herunter, obwohl Ater auch Laien verständlich erklärt, warum es zu einem Sicherheitsproblem werden könnte.
Gegenüber The Verge erklärte ein Verantwortlicher aus dem Chrome-Team: "Wir haben uns die Meldung erneut angeschaut und glauben, dass es kein unmittelbares Problem gibt, denn der Nutzer muss es explizit jeder Seite einzeln erlauben, auf das Mikrofon zugreifen zu können." Die möglichen Manipulationen kommen dabei gar nicht mehr zu Wort.
Um auf Nummer sicher zu gehen, kann der Rat daher derzeit nur heißen die Spracherkennung im Chrome zu deaktivieren.
So zumindest klingt die Geschichte von dem israelischen Entwickler Tal Ater. Er hat entdeckt, wie per https gesicherte Seiten heimlich weitere Fenster im Hintergrund öffnen können. Das ist an sich ein altes Problem, ein Trick aus grauer Internetvorzeit. Neu ist jedoch, dass das Handling für Nutzerfreigaben, die das Ausbrechen aus der Sandbox verhindern sollen und den User so vor bösartigen Übergriffen schützt, in diesem Falle in Google Chrome nichts nützt. Das Problem das Ater entdeckt hat, hat mit der Mikrofon-Freigabe zu tun. Erlaubt man der Website auf das Mikro zuzugreifen, ist normalerweise damit wieder Schluss sobald die Seite geschlossen wird.
Der entdeckte Bug erlaubt es Website-Betreibern aber, neben ihrer Hauptseite weitere Seiten zum Beispiel als Pop-Under zu öffnen, die mit den gleichen Rechten ausgestattet sind, wie die Hauptseite. Sie können also weiterhin "zuhören", auch wenn der Nutzer die Seite oder den Tab, der er die Mirko-Nutzung erlaubt hatte wieder geschlossen hat. Für den Nutzer ist es dabei laut Ater nicht erkennbar, das er von einem weiteren Fenster belauscht wird. Es gibt verschiedene Wege, das zu verschleiern.
Die Geschichte rund um die Entdeckung des Exploits ist aber viel interessanter als die eigentliche Sicherheitslücke und reiht sich in eine ganze Serie ähnlicher Berichte. Denn nachdem Tal Ater den Fehler gemeldet hatte, war er recht zuversichtlich, dass das Problem zeitnah behoben wird. Außerdem erhoffte er sich eine stattliche Summe als Belohnung von Google zu bekommen.
Der Nutzer müsste jederzeit eine Übersicht haben, welcher Tab welche Freigaben hat. Hat er aber genau bei diesem Bug nicht. Nur auf der Ursprungsseite wird die Mikro-Freigabe angezeigt. Denkbar wäre es beispielsweise mit einem gesonderten Warnhinweis wie dem Symbol, das seit neustem auf lärmende Tabs hindeutet.
Doch bislang ist nichts passiert. Die Nutzer wurden bisher nicht informiert und involvierte Google Sprecher spielen das Problem nun auch noch herunter, obwohl Ater auch Laien verständlich erklärt, warum es zu einem Sicherheitsproblem werden könnte.
Gegenüber The Verge erklärte ein Verantwortlicher aus dem Chrome-Team: "Wir haben uns die Meldung erneut angeschaut und glauben, dass es kein unmittelbares Problem gibt, denn der Nutzer muss es explizit jeder Seite einzeln erlauben, auf das Mikrofon zugreifen zu können." Die möglichen Manipulationen kommen dabei gar nicht mehr zu Wort.
Um auf Nummer sicher zu gehen, kann der Rat daher derzeit nur heißen die Spracherkennung im Chrome zu deaktivieren.
Thema:
Aktuelle Chrome-Downloads
Videos über den Chrome-Browser
-
Chrome: Das sind die neun Feineinstellungen für das Werbetracking
-
Chrome und Edge 100: So macht man den Browser bei Problemen fit
-
Screenshots kompletter Webseiten im Chrome: So klappt es einfach
-
Chrome: So holt ihr "https" und "www" zurück in die Adressleiste
-
Chrome 70 bringt Progressive Web Apps für Windows 10-Desktops
Beiträge aus dem Forum
-
Wie kann ich mir in Google Chrome Cookies anzeigen lassen?
DON666 -
PDF Icon / Logo / Symbol ändern von Chrome als PDF Viewer, nur das Ico
Liftboy -
Sollte ich von Chrome auf Firefox wechseln? Bitte um Hilfe
joe13 -
WIn11 aktiviert aber Updates gehen nicht und Chrome auch nicht
MSFreak -
Chrome Dateiprüfung ausschalten
Andrew0
Interessante Links
Neue Nachrichten
- Störung im Funk-System der Bahn: Alle Züge standen nachts still
- Notebooksbilliger: Angebote der Woche stark reduziert
- Prime Day 2026 - Tag 2: Amazons beste Technik-Deals im Überblick
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- Optionales Windows-11-Update mit neuer Wiederherstellung gestartet
- Neue Ikea-Smart-Home-Produkte aufgetaucht - das soll bald kommen
- Preis-Kracher im Vodafone-Netz: 70 GB Allnet-Flat für nur 9,99 Euro
Videos
Beliebte Downloads
Beliebte Nachrichten
Meist kommentierte Nachrichten
Forum
-
Erweiterung Post-it für Firefox oder Chrome
Maik1000 - Gestern 13:50 Uhr -
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - 20.06. 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - 19.06. 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - 19.06. 11:14 Uhr -
Datenträgerverwaltung
micro300 - 19.06. 08:52 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen