{"id":190903,"date":"2017-05-30T10:46:11","date_gmt":"2017-05-30T08:46:11","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=190903"},"modified":"2019-10-11T19:58:19","modified_gmt":"2019-10-11T17:58:19","slug":"chrome-bug-ermglicht-heimliche-audio-videoaufzeichnung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/05\/30\/chrome-bug-ermglicht-heimliche-audio-videoaufzeichnung\/","title":{"rendered":"Chrome-Bug ermöglicht heimliche Audio-\/Videoaufzeichnung"},"content":{"rendered":"

Im Google Chrome-Browser gibt es einen Bug, der es Dritten erm\u00f6glicht, Audio- und Videodaten am Ger\u00e4t des Surfers aufzuzeichnen, ohne dass dem Benutzer dies angezeigt wird.<\/p>\n

<\/p>\n

\"\"Es gibt das Foto<\/a> von Facebook-Chef Marc Zuckerberg, wo Spezialisten auffiel, dass dessen Webcam und Mikrofon am Notebook abgeklebt sind, um eine Abh\u00f6ren und Filmen zu vermeiden. <\/p>\n

WebRTC erm\u00f6glicht Audio-\/Videoaufzeichnung<\/h2>\n

Ran Bar-Zik ist ein Webentwickler bei AOL. Ihm ist ein Problem in Google Chrome aufgefallen, den er im Chromium-Bug-Report<\/a> ver\u00f6ffentlichte. Der Google Chrome erm\u00f6glicht es, Audio- und Videodaten aufzuzeichnen, ohne das dies durch einen Indikator auf dem Tab des Browsers angezeigt wird. <\/p>\n

\"ChromeWebRTC01\"<\/a> <\/p>\n

Normalerweise fragt der Chrome-Browser nach, ob Kamera und Mikrofon verwendet werden d\u00fcrfen (siehe oben) und blendet dann einen Indicator (roter, blinkender Punkt) auf dem Tab ein, wenn die Aufzeichnung l\u00e4uft (siehe folgendes Foto). <\/p>\n

\"ChromeWebRTC\"<\/a> <\/p>\n

Durch die Nachfrage ist das Ganze recht entsch\u00e4rft, da der Benutzer der Verwendung der Ger\u00e4te ja zustimmen muss. Man kann dies recht einfach an dieser Testseite<\/a> verifizieren. Allerdings gilt diese Zustimmung nicht per Sitzung, sondern wird einmalig abgefragt und als Ausnahme f\u00fcr die Site im Browserprofil gespeichert. <\/p>\n

Chrome-Bug mit Folgen<\/h2>\n<\/p>\n

In einer privaten Konversation zwischen Bar-Zik und Bleeping Computer<\/a> teilte Bar-Zik nun mit, dass \u00fcber WebRTC-Code ein spezieller Bug ausgenutzt werden kann. <\/p>\n

\n

WebRTC ist ein Protokoll, um Audio- und Videodaten per Internet in Echtzeit zu streamen. Aber der Benutzer muss der Website explizit die Erlaubnis zum Streamen erteilen (siehe obige Hinweise). Anschlie\u00dfend kann die Webseite JavaScript-Code verwenden, um Audio- und Videodaten vom Client abzurufen und ggf. an andere Teilnehmer per WebRTC-Stream zu senden. Dazu gibt es einen auf JavaScript basierende MediaRecorder API. Eigentlich eine sinnvolle Geschichte.<\/p>\n<\/blockquote>\n

Wie Bleeping Computer hier schreibt<\/a>, ist Bar-Zik aufgefallen, dass die Aufzeichnung der Audio- und Videodaten per Internet nicht zwingend im Browser-Tab erfolgen muss (dort wird ja die Recording-Anzeige in Form des blinkenden Punkts sichtbar). Da die Freigabe f\u00fcr WebRTC f\u00fcr die komplette Domain erfolgt, kann man ein Popup-Fenster \u00f6ffnen. Bar-Zik ist es gelungen, ein Popup-Fenster ohne Titelzeile zu \u00f6ffnen, und dort den JavaScript-Code zur Aufzeichnung der Audio- und Videodaten per Internet auszuf\u00fchren. Dann wird nat\u00fcrlich keine Aufzeichnungsanzeige eingeblendet. <\/p>\n

\"ChromeWebRTC03\"<\/a> <\/p>\n

Man das Ganze testen, indem man diese Webseite<\/a> aufruft. Es sollte die Nachfrage kommen und dann das obige Popup-Fenster angezeigt werden. Anschlie\u00dfend kann man sich die aufgezeichneten Daten abrufen. <\/p>\n

\n

Falls man die Aufzeichnung allerdings einmal abgelehnt hat, wird dies in den Ausnahmen eingetragen und das Beispiel klappt nicht mehr.<\/p>\n<\/blockquote>\n

\"ChromeWebRTC02\"<\/a><\/p>\n

\n

Gehen Sie in die Chrome-Einstellungen auf Erweitert und klicken unter 'Datenschutz' auf die Schaltfl\u00e4che 'Inhaltseinstellungen'. Dann unter Mikrofon und Kamera auf die Schaltfl\u00e4che 'Ausnahmen verwalten' gehen und die Eintr\u00e4ge f\u00fcr Blockieren l\u00f6schen. <\/p>\n<\/blockquote>\n

Das ist wohl kein gravierendes Sicherheitsproblem \u2013 da WebRTC ja ein Standard ist und der Benutzer einmalig der Verwendung von Kamera und Mikrofon zustimmen muss. Aber eine unsch\u00f6ne Sache ist es schon. Auf Bleeping Computer kann man noch einige Details nachlesen<\/a>. Das Ganze zeigt aber, dass der Teufel im Detail steckt und ein normaler Nutzer damit heillos \u00fcberfordert sein wird. Also doch Mikro und Kamera abkleben. <\/p>\n","protected":false},"excerpt":{"rendered":"

Im Google Chrome-Browser gibt es einen Bug, der es Dritten erm\u00f6glicht, Audio- und Videodaten am Ger\u00e4t des Surfers aufzuzeichnen, ohne dass dem Benutzer dies angezeigt wird.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356,426],"tags":[419,984,4328],"class_list":["post-190903","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","category-sicherheit","tag-bug","tag-google-chrome","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190903","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=190903"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190903\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=190903"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=190903"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=190903"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}