In einem Video wird demonstriert, wie man den Chrome-Bug für das Abhören von Personen verwenden kann

© Screenshot

Digital Life
04/09/2014

Bug erlaubt Abhören von Chrome-Nutzern

Mit einer alten Google Speech API können Webseiten auf das Mikrofon eines Chrome-Benutzers zugreifen und diesen abhören.

Durch einen neu entdeckten Bug im Browser Chrome können Angreifer Personen abhören, ohne dass diese einen Hinweis auf ein aktiviertes Mikrofon erhalten. Die Methode bedient sich einer alten Spracherkennungs-Schnittstelle (API) für Google Speech. Diese Schnittstelle wurde mit Version 11 des Chrome-Browsers eingeführt. Der Blogger Guy Aharonovsky, der den Bug entdeckt hat, geht davon aus, dass die Sicherheitslücke seitdem existiert.

Um einen Abhörvorgang in Gang zu setzen, muss der Chrome-Nutzer auf ein Mikrofon-Symbol klicken. Dieses kann allerdings jede beliebige Größe einnehmen und durch die restliche Webseitengrafik verdeckt werden. Wird das Symbol durch eine Tätigkeit auf der Webseitenoberfläche angeklickt, werden das Mikrofon und die Google-Spracherkennung aktiviert.

Der Indikator, der anzeigen soll, wenn das Mikrofon aktiviert ist, kann verborgen oder an einen Platz außerhalb des Bildschirms verschoben werden. Der Nutzer erhält also keinen Hinweis darauf, dass er womöglich abgehört wird. Der Bug ist offenbar sehr einfach in Webseiten integrierbar und funktioniert auf allen Betriebssystemen. Google wurde über die Sicherheitslücke informiert.