Schnüffelgefahr durch WebRTC-Implementierung in Chrome und Firefox

BrowserSicherheitWorkspace
security-sicherheit (Bild:Shutterstock)

Darauf haben Experten des von der EU geförderten Projekts “Strews” hingewiesen. Sie kritisieren, dass für den Zugriff auf Kamera und Mikrofon keine exakte Vergabe von Berechtigungen möglich ist. Sie lassen sich bei den beiden Browsern nicht für eine App oder einen Dienst freigeben, sondern nur generell für einen Server.

Sicherheitsexperten des von der EU geförderten Projekts Strews haben Bedenken wegen der Umsetzung des Echtzeit-Kommunikationsstandards WebRTC in Chrome und Firefox geäußert. Das Ziel von WebRTC ist es, die unmittelbare Kommunikation im Browser zu vereinfachen. Beispielsweise kann damit eine Video-Chat-App ohne Plug-ins genutzt werden. Nach Ansicht der Forscher müssen Google und Mozilla Nutzern allerdings besser erklären, wann Websites und Apps auf Kameras und Mikrofone zugreifen können. Derzeit ließen sich in den Browsern Berechtigungen nur pauschal erteilen. Dabei sei Missbrauch aber nicht ausgeschlossen.

google-chrome

“Die Browser ermöglichen nur grobkörnige Berechtigungen”, heißt es in einer Studie des Projekts. “Sie fragen beim Start einer Anwendung danach, was den Anwender möglicherweise glauben lässt, er habe eine spezifische Berechtigung erteilt, obwohl seine Berechtigung in Wirklichkeit weitreichend ist.”

Die erteilten Genehmigungen für den Zugriff auf Kamera und Mikrofon gelten jedoch nicht für eine spezielle Anwendung, sondern für einen Server. “Bietet derselbe Server eine andere, gefährliche Applikation an und kann der Nutzer dazu verleitet werden, sie zu öffnen, dann hat sie automatisch Zugriff auf Kamera und Mikrofon”, so die Autoren der Studie weiter.

firefox-logo 2013

Darüber hinaus weisen die Forscher darauf hin, dass eine Website oder Anwendung, die WebRTC nutzt, die erteilten Berechtigungen behält, bis Firefox beendet wird. Chrome entzieht die Berechtigungen zum Ende der Browsersitzung sogar nur dann, wenn die Verbindung per HTTP hergestellt wurde. Bei einer verschlüsselten Verbindung mittels HTTPS sind die Berechtigungen sogar permanent.

Gerade auf mobilen Geräten können Nutzer oft nur schwer erkennen, ob ein Browser geschlossen wurde oder noch im Hintergrund ausgeführt wird. Dadurch sei die Berechtigung möglicherweise noch aktiv, was eine Überwachung ohne sein Wissen ermögliche, so die Forscher weiter

Die derzeitige Implementierung von WebRTC bedeute, “dass Browser ab Werk die Fähigkeit besitzen, Nutzer abzuhören und zu beobachten”, schreiben die Forscher in ihrem Bericht. Es sei sehr wahrscheinlich, dass “viele Nutzer das Berechtigungsmodell nicht verstehen”.

Neben Chrome und Firefox unterstützt auch Opera WebRTC. In Microsofts Internet Explorer sowie Apples Safari ist die Technik noch nicht enthalten.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen