Chrome: Websites können unbemerkt auf Kamera zugreifen

Ein AOL-Entwickler hat einen Bug in Google Chrome entdeckt, der Websites die unbemerkte Video- oder Audio-Aufnahme erlaubt. Üblicherweise zeigt der Browser einen roten Punkt in der Tab-Leiste an, wenn eine Aufnahme läuft. Doch eine manipulierte Website könnte per Pop-up ein Fenster ohne Titelleiste öffnen, das heimlich Video oder Audio aufnimmt. Da der rote Punkt lediglich im Tab angezeigt wird, fehlt der Hinweis darauf und der Nutzer wüsste nichts von der Aufnahme.

Über Tricks für Angriffe einsetzbar

Die Sicherheitslücke setzt jedoch voraus, dass der Nutzer der Domain bereits zuvor Zugriff auf Mikrofon oder Webcam gewährt hat. Ran Bar-Zik, der Entdecker der Sicherheitslücke, gibt jedoch zu bedenken, dass zahlreiche Nutzer derartige Berechtigungen oftmals bedenkenlos vergeben und dann diese vergessen oder gar nicht wissen, wie man diese wieder entzieht. Über Cross-Site-Scripting könnten sich zudem Angreifer auch über vertrauensvolle Domains den Zugriff auf Kamera und Mikrofon erschleichen. Das Pop-up könnte als vermeintlich harmlose Werbung getarnt werden.

Keine Einsicht

Google will den Bug jedoch nicht als Sicherheitslücke anerkennen. Der US-Konzern antwortete dem Entdecker des Problems noch am selben Tag und wies darauf hin, dass es den roten Punkt in der mobilen Version des Browsers nicht gibt. Angreifer würden somit lediglich ein Feature deaktivieren, das ohnedies nicht auf allen Plattformen existiert. Daher wird es wohl auch keine schnelle Lösung für dieses Problem geben. Chrome-Nutzer sollten daher genau darauf achten, welchen Websites sie die Berechtigung für den Zugriff auf Audio- oder Videoaufnahme erteilt haben.