Wenn eine Anwendung Zugriff auf Webcam oder Mikro eines Computers hat, werden oft durch ein visuelles Signal darüber informiert. Googles Browser Chrome ermöglicht es allerdings, dass das auch ohne "Warnhinweis" geschieht. Ob es sich dabei um eine Sicherheitslücke handelt, darüber scheiden sich jedoch die Geister.

Präparierte Seiten mit Pop-ups

In Chrome werden Nutzer durch einen roten Punkt im jeweiligen Browser-Tab über eine aktive Aufnahme mit Kamera oder Mikro informiert. Der Entwickler Ran Bar-Zik hat nun entdeckt, dass Seiten dieses Hinweissignal umgehen können, wie "Bleeping Computer" berichtet. Die Zugriffsrechte für Video- und Audiodaten gelten demnach für eine komplette Domain und sind auch nicht nur auf einen einzelnen Browser-Tab beschränkt. Angreifer könnten Seiten so präparieren bzw. manipulieren, dass ein Pop-up ohne Titelleiste geöffnet wird, über das die Aufnahmen dann laufen ohne den Nutzer darauf hinzuweisen.

Zwar muss der Nutzer einer Website oder App erst Zugriffsrechte auf Kamera und Mikro geben. Angreifer könnten laut Bar-Zik aber auch vertrauenswürdige Seiten mittels Cross-Site-Scripting missbrauchen, um heimlich Aufnahmen zu machen.

Sicherheitslücke oder nur fehlendes Feature?

Der Entwickler hat seine Entdeckung bereits gemeldet, Google sieht darin ebenso wie "Bleeping Computer" jedoch keine Sicherheitslücke. Das Unternehmen verweist darauf, dass der rote Hinweispunkt ohnehin nicht auf allen Plattformen angezeigt werde. In mobilen Browsern werde er beispielsweise nicht angezeigt. Es handle sich nur um ein Feature, das nicht überall zur Verfügung stehe. Google hat jedoch zugesichert, in Zukunft eine bessere Lösung dafür zu finden.

Nutzern wird geraten, immer aufmerksam zu lesen welche Seite welche Zugriffsrechte verlangt. Welche Rechte einer Seite ver- oder gewährt wurden, kann man ansehen, indem man auf das Schlosssymbol am Anfang der Adressleiste klickt. (red, 1.6.2017)