Es scheint, dass PCs Sie nicht nur über die Kameras ausspionieren können, sondern auch gut genug ausgestattet sind, Sie abzuhören – und das auch noch recht diskret! Alles was dafür benötigt wird ist Google Chrome auf dem PC und natürlich ein Mikrofon.
Es ist nicht überraschend, dass moderne Webseiten mit einer Menge von PC-Peripheriegeräten interagieren können. Zwar muss der Anwender sich einverstanden erklären, doch normalerweise ist das ein recht einfacher Prozess, der nur den Klick auf den Ja-Button benötigt. Um zum Beispiel ein Foto in seinem Profil bei einem Sozialen Netzwerk hochzuladen, muss man eine Pop-Up-Anfrage der Webseite bestätigen und ihr damit erlauben, die eingebaute Kamera zu nutzen, um das Foto zu machen. Um die Webseite davon abzuhalten, die vom Anwender erlaubten Rechte zu missbrauchen, muss der Browser diese Rechte der Webseite wieder nehmen. Doch kann es sein, dass die Webseite ohne Zustimmung des Anwenders einige dieser erlaubten PC-Funktionen weiterhin kontrolliert?
Tal Ater, ein israelischer Software-Entwickler, bewies, dass das absolut passieren kann. Eine Sicherheitslücke, die er im Browser Google Chrome entdeckt hat, könnte einen normalen PC in ein Spionagewerkzeug verwandeln, wenn sie von Cyberkriminellen ausgenutzt wird. Das einzige, was sie dafür tun müssen, ist, den Anwender dazu zu bringen, eine Stimmerkennungsfunktion zu nutzen und der Webseite nur ein einziges Mal zu erlauben, das Mikrofon einzuschalten. Ab dann kann der Kriminelle über das Mikrofon alles aufnehmen, selbst wenn die Webseite geschlossen ist. Damit ist auch das rote Blinklicht im Web-Browser nicht mehr zu sehen, das darauf hinweisen würde, dass Ton aufgenommen wird – und schon glaubt der Anwender, die Aufnahme sei beendet worden.
Um seine Entdeckung zu beweisen, nahm Ater ein vier Minuten langes Video auf. Es zeigt, wie ein Anwender eine kompromittierte Webseite öffnet und wieder schließt, die eine Spracherkennung nutzt, doch der Browser nimmt im Hintergrund weiter Ton auf. Die Aufnahme wird dann an die Google-Server geschickt, in eine Textdatei konvertiert und zurückgesendet, um dann in die Hände der Cyberkriminellen zu fallen.
Doch es gibt noch einen weiteren Punkt: Die meisten der Webseiten, die Spracheingabe nutzen, werden über eine https-Verbindung geschützt. In diesem Fall merkt sich Chrome, dass der Seite erlaubt wurde, das Mikrofon zu nutzen, und fragt den Anwender beim nächsten Aufrufen der Seite nicht erneut danach. Zudem könnte die erwähnte Sicherheitslücke so modifiziert werden, dass bestimmte Worte als Auslöser für eine Aufnahme genutzt werden. Ein fertiges Spionage-Tool!
Interessanterweise ist Google diese Sicherheitslücke schon seit dem letzten September bekannt: Bevor Tal Ater seine Entdeckung veröffentlicht hat, kontaktierte er den Suchmaschinen-Giganten und informierte das Unternehmen darüber. Innerhalb von zwei Wochen hat ihn das Unternehmen darüber informiert, dass der Fehler ausgebessert worden ist und ein Patch dafür erstellt wurde; allerdings wurde dieser Patch auch vier Monate danach noch nicht veröffentlicht.
Wir können nur darüber spekulieren, warum die Entwickler eines der wichtigsten Browser so etwas tun. In der Zwischenzeit empfehlen wir, wachsam zu bleiben, oder sogar ganz davon abzusehen mit Chrome die Spracherkennung von Webseiten zu nutzen. Als letzte Möglichkeit können Sie den Browser auch einfach trennen, inklusive seiner Bookmarks und Prozesse – auf diese Art kann er nichts mehr aufnehmen oder Daten an Cyberkriminelle schicken.