Abhör-Exploit für Chrome veröffentlicht

Der israelische Entwickler Tal Ater, der die der Spracherkennung dienende JavaScript-Bibliothek annyang geschrieben hat, hat Exploit-Code für einen Bug im Browser Google Chrome veröffentlicht, der es einer schädlichen Website ermöglichen kann, einen Lauschangriff über das Mikrofon des Computers durchzuführen, und zwar lange Zeit, nachdem ein Besucher eine entsprechende Website verlassen hat.

Ater zufolge wurde das Exploit als Reaktion auf die Entscheidung von Google veröffentlicht, kein Patch für diese Sicherheitslücke herauszugeben, nachdem das Unternehmen über das Problem informiert worden war. Auf seiner persönlichen Website schreibt Ater in einem Posting, dass er Google bereits am 13.September über die Schwachstelle in Kenntnis gesetzt hat und Google ihn 11 Tage darauf darüber informierte, dass ein Patch für diese Sicherheitslücke bereitstehe; bald darauf bemerkte er außerdem, dass ihm eine Belohnung in Höhe von 30.000 Dollar im Rahmen des Programms Chromium Reward Panel zusteht.

Wie auch immer – mehr als einen Monat später berichtete Ater, dass Google bisher noch kein Patch veröffentlicht und ihn zudem darüber informiert habe, dass die Angelegenheit wegen des Standardisierungsgremiums W3C ins Stocken geraten sei. Im November hatte das W3C seine Spezifikation Web Speech API aktualisiert und anscheinend kann ein solches Verhalten nun durchaus dem Standard entsprechen.

„Die Sicherheit unserer Anwender hat höchste Priorität und dieses Feature wurde unter Berücksichtigung der Sicherheit und Privatsphäre entwickelt“, ließ ein Google-Vertreter via E-Mail wissen.

http://www.youtube.com/watch?v=s5D578JmHdU

In dem oben verlinkten Video greift Ater einen Chrome-Nutzer von einer schädlichen Website aus an, indem er die Spracherkennung des Browsers nutzt. Das Exploit setzt darauf, dass der Nutzer der Website die Erlaubnis erteilt, das Mikrofon zu benutzen. Die zu Demonstrationszwecken entwickelte Site enthält eine Anwendung mit einer To-Do-Liste und sobald der User seine Interaktion mit der Liste beendet hat, wird der Befehl zur Deaktivierung des Mikrofons gegeben. Dabei verschwindet der blinkende rote Punkt im Browser-Tab, so dass der Nutzer denkt, die Spracherkennung sei deaktiviert.

Doch das Exploit beweist, dass dem nicht so ist.

„So lange Chrome geöffnet ist, bleibt nichts, was in der Nähe des Computers gesprochen wird, privat“, heißt es in dem Video. In dem Clip öffnet ein User eine Website, auf der die Spracherkennung aktiviert ist und geht dann auf eine andere Website. Nichts deutet darauf hin, dass Ton aufgezeichnet wird, während der Browser mit dem „Abhören“ fortfährt, so Ater.

Ein als Werbebanner getarntes, verborgenes Pop-up-Fenster zeichnet die Sprache auf, sendet die Aufnahme an Google, wo sie automatisch analysiert und zurück an die schädliche Website gesendet wird. Der Code wurde allerdings in der aktuellen Version von Chrome Google korrigiert und nun werden die verborgenen Banner zwangsweise über dem aktiven Fenster angezeigt.

„Das, was Sie hier sehen, macht Google Chrome im Grunde zu einem Spionage-Werkzeug“, heißt es in dem Video. „Es bedroht Ihre Privatsphäre bei der Arbeit oder zu Hause, selbst, wenn Sie nicht am Computer sitzen. Alles, was in Hörweite des Computers gesprochen wird, kann von Cyberkriminellen abgefangen werden.“

Ater erklärt, dass das Exploit so programmiert werden kann, dass es so lange deaktiviert bleibt, bis ein bestimmtes Schlüsselwort ausgesprochen wird. Er meint zudem, dass – solange die meisten Websites, die die Spracherkennung nutzen, über HTTPS laufen – Chrome sich daran erinnert, wenn ein Anwender einer Website erlaubt hat, das Mikrofon zu benutzen, und daher bei wiederholten Besuchen das „Zuhören“ erlauben wird. Mit dem Exploit von Ater leuchtet die Anzeige in Chrome nicht auf, und der Anwender weiß nicht, dass er belauscht wird.

„Wenn Sie auf die entsprechende Schaltfläche klicken, um die Spracherkennung auf einer Website ein- oder auszuschalten, kann es sein, dass Sie nicht bemerken, dass die Site ein verborgenes Pop-up unter dem aktiven Fenster öffnet. Dieses Fenster kann warten, bis die Hauptwebsite geschlossen wird und dann mit dem Abhören beginnen, ohne eine Erlaubnis einzuholen“, schreibt Ater auf seiner Website. „Das kann mit einem Fenster gemacht werden, das Sie nie gesehen, mit dem Sie nie interagiert haben. Noch schlimmer – selbst wenn Sie das Fenster bemerkt haben (das als gewöhnliches Banner getarnt sein kann), gibt Chrome auf keinerlei Weise visuell zu verstehen, dass die Spracherkennung in solchen Fenstern aktiviert ist – eine Anzeige gibt es nur in den gewöhnlichen Chrome-Tabs.“

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.