Seit einigen Monaten ist eine große Sicherheitslücke im Browser Google Chrome bekannt. Dabei kann der Sound des Mikrofons ungewollt an andere Webseiten übertragen werden. Google sieht jedoch keinen Handlungsbedarf.
Der Programmierer Tal Ater hat eine gravierende Sicherheitslücke in Googles Browser Chrome entdeckt, die das Mikrofon eines Computers angreifbar macht. Chrome ist in der Lage auf das Mikrofon des Rechners zuzugreifen, auf dem der Browser gerade offen ist. Vorher fragt Chrome den Benutzer brav um Erlaubnis, ob er diese Funktion ausführen und der Sound an die entsprechende HTTPS-Webseite übermittelt werden darf. Auf diese Weise sind zum Beispiel Voice-over-IP-Telefonate (VoIP) direkt über den Browser möglich, ein zusätzliches Programm wie Skype ist nicht notwendig.
Allerdings vergisst Chrome diese Freigabe für eine bestimmte IP-Adresse nicht mehr, solange Chrome nicht komplett beendet ist. Im Hintergrund könnte zum Beispiel ein zweites Fenster, ein sogenanntes Pop-Under, aufgehen und den Sound weiterhin übertragen, auch nachdem der Nutzer das ursprüngliche Fenster geschlossen oder gewechselt hat. Betrügerische Webseiten können so alles mitschneiden, was das Mikrofon aufnimmt, wenn der User das Pop-Under nicht bemerkt. Auch das Icon, das anzeigt, dass gerade aufgenommen wird, kann unsichtbar gestaltet werden.
Linktipp – Google: Chrome versteht Suche per Sprachsteuerung
Bereits im September 2013 hat Tal Ater diese Sicherheitslücke entdeckt und an Google gemeldet. Google konnte die Lücke innerhalb weniger Tage nachvollziehen und nahm den Bericht in das Chromium Reward Panel auf. Das Problem wurde demnach von Google offiziell bestätigt. Auch im Web Speech API, das im Oktober 2012 Google-intern festgelegt wurde, steht, dass eine Sound-Übertragung abgebrochen wird, sobald der Fokus des Nutzers auf einem anderen Chrome-Fenster liegt.
Allerdings ist seitdem nichts passiert. Bei keinem Chrome-Update in den letzten vier Monaten wurde die Sicherheitslücke geschlossen. Google zieht sich auf Nachfrage auf die Position zurück, dass dieses Problem nicht gelöst werden müsse, schließlich müssen Nutzer aktiv bestätigen, dass die Mikrofon-Übertragung gestartet werden darf.