Im Google Chrome-Browser gibt es einen Bug, der es Dritten ermöglicht, Audio- und Videodaten am Gerät des Surfers aufzuzeichnen, ohne dass dem Benutzer dies angezeigt wird.
Anzeige
Es gibt das Foto von Facebook-Chef Marc Zuckerberg, wo Spezialisten auffiel, dass dessen Webcam und Mikrofon am Notebook abgeklebt sind, um eine Abhören und Filmen zu vermeiden.
WebRTC ermöglicht Audio-/Videoaufzeichnung
Ran Bar-Zik ist ein Webentwickler bei AOL. Ihm ist ein Problem in Google Chrome aufgefallen, den er im Chromium-Bug-Report veröffentlichte. Der Google Chrome ermöglicht es, Audio- und Videodaten aufzuzeichnen, ohne das dies durch einen Indikator auf dem Tab des Browsers angezeigt wird.
Normalerweise fragt der Chrome-Browser nach, ob Kamera und Mikrofon verwendet werden dürfen (siehe oben) und blendet dann einen Indicator (roter, blinkender Punkt) auf dem Tab ein, wenn die Aufzeichnung läuft (siehe folgendes Foto).
Anzeige
Durch die Nachfrage ist das Ganze recht entschärft, da der Benutzer der Verwendung der Geräte ja zustimmen muss. Man kann dies recht einfach an dieser Testseite verifizieren. Allerdings gilt diese Zustimmung nicht per Sitzung, sondern wird einmalig abgefragt und als Ausnahme für die Site im Browserprofil gespeichert.
Chrome-Bug mit Folgen
In einer privaten Konversation zwischen Bar-Zik und Bleeping Computer teilte Bar-Zik nun mit, dass über WebRTC-Code ein spezieller Bug ausgenutzt werden kann.
WebRTC ist ein Protokoll, um Audio- und Videodaten per Internet in Echtzeit zu streamen. Aber der Benutzer muss der Website explizit die Erlaubnis zum Streamen erteilen (siehe obige Hinweise). Anschließend kann die Webseite JavaScript-Code verwenden, um Audio- und Videodaten vom Client abzurufen und ggf. an andere Teilnehmer per WebRTC-Stream zu senden. Dazu gibt es einen auf JavaScript basierende MediaRecorder API. Eigentlich eine sinnvolle Geschichte.
Wie Bleeping Computer hier schreibt, ist Bar-Zik aufgefallen, dass die Aufzeichnung der Audio- und Videodaten per Internet nicht zwingend im Browser-Tab erfolgen muss (dort wird ja die Recording-Anzeige in Form des blinkenden Punkts sichtbar). Da die Freigabe für WebRTC für die komplette Domain erfolgt, kann man ein Popup-Fenster öffnen. Bar-Zik ist es gelungen, ein Popup-Fenster ohne Titelzeile zu öffnen, und dort den JavaScript-Code zur Aufzeichnung der Audio- und Videodaten per Internet auszuführen. Dann wird natürlich keine Aufzeichnungsanzeige eingeblendet.
Man das Ganze testen, indem man diese Webseite aufruft. Es sollte die Nachfrage kommen und dann das obige Popup-Fenster angezeigt werden. Anschließend kann man sich die aufgezeichneten Daten abrufen.
Falls man die Aufzeichnung allerdings einmal abgelehnt hat, wird dies in den Ausnahmen eingetragen und das Beispiel klappt nicht mehr.
Gehen Sie in die Chrome-Einstellungen auf Erweitert und klicken unter 'Datenschutz' auf die Schaltfläche 'Inhaltseinstellungen'. Dann unter Mikrofon und Kamera auf die Schaltfläche 'Ausnahmen verwalten' gehen und die Einträge für Blockieren löschen.
Das ist wohl kein gravierendes Sicherheitsproblem – da WebRTC ja ein Standard ist und der Benutzer einmalig der Verwendung von Kamera und Mikrofon zustimmen muss. Aber eine unschöne Sache ist es schon. Auf Bleeping Computer kann man noch einige Details nachlesen. Das Ganze zeigt aber, dass der Teufel im Detail steckt und ein normaler Nutzer damit heillos überfordert sein wird. Also doch Mikro und Kamera abkleben.
Anzeige
Kamera abkleben ok, aber das Micro?
Ist die "Angst" davor abgehört zu werden in der heutigen Zeit nicht doch etwas albern?
Letztlich hilft dagegen bei allen mobilen Geräten und Tools wie Amazons Röhre doch nur noch Bastelei mit einer Zange und die verwendung externer Microfone die man entsprechend an-/ abstöpselt, oder richtig mechanisch abschalten kann…
Von "heimlicher" Audioaufzeichnung kann man wohl kaum noch reden, wenn überall Geräte auf "OK, Google" und "Hey Cortana" warten… und eben lauschen müssen.
Der nächste Schritt ist da einfach zu klein…
Kleine flache Nöppel aus Hartgummi reichen völlig (man kann das ja mit der Aufnahmefunktion des Videoplayers überprüfen), ansonsten gebe ich dir Recht.
…ich frag mich gerade schmunzelnd was du mit kleinen flachen Nöppeln wohl meinst und wo die hin sollen? :D
Wenn beispielsweise diese schon ältere Geschichte stimmt, oder noch stimmt, ist unter Umständen eh egal ob Microfon, oder nur Lautsprecher verbaut sind und die Sache einfacher als man so vermutet:
It is possible to manipulate the headphones (or earphones) connected to a computer, silently turning them into a pair of eavesdropping microphones – with software alone. The same is also true for some types of loudspeakers. This paper focuses on this threat in a cyber-security context. We present SPEAKE(a)R, a software that can covertly turn the headphones connected to a PC into a microphone. We present technical background and explain why most of PCs and laptops are susceptible to this type of attack. We examine an attack scenario in which malware can use a computer as an eavesdropping device, even when a microphone is not present, muted, taped, or turned off. We measure the signal quality and the effective distance, and survey the defensive countermeasures.
https://arxiv.org/abs/1611.07350
Video https://www.youtube.com/watch?v=ez3o8aIZCDM
oder : https://www.youtube.com/watch?v=9X1JndFSjIA
Ein "blinder" 3,5-Millimeter-Klinkenstecker in die Buchse für das Mikrofon am Notebook, und schon ist das interne Mikrofon abgeschaltet. Beim Kauf eines Notebooks darauf achten, dass das keine Kamera hat (ja, sowas gibt es, steht vor mir auf dem Tisch) und schon muss man weniger Angst haben.
Abgesehen davon: die Generation Teamspeak, Skype und was sonst noch so alles Audio und Video benötigt, um miteinander zu kommunizieren, dürfte sehr wahrscheinlich eh nur mit den Schultern zucken und so weiter machen wie bisher.
wer nutzt denn freiwillig "Google Chrome"?
Ich oute mich mal …
es kommt immer darauf an, was man wo macht.