F

Bug oder Design-Fehler: Spracherkennung in Google Chrome birgt Sicherheitsrisiko

Die Spracherkennung in Google Chrome kann unter Umständen ausgenutzt werden, um vertrauliche Gespräche abzuhören. So schützen Sie Ihr Unternehmen.

Ich habe gelesen, dass Angreifer über Google Chrome Anrufe und Gespräche auf Smartphones ausspionieren können. Ist das ein Grund zur Sorge? Auf welche Weise kann ich mein Unternehmen vor Schaden bewahren? 

Im Blog des Forschers Tal Ater wird behauptet, dass es „ein Fehler in Chrome ermöglicht, private Gespräche zu belauschen.“ Laut Google ist die Funktion zur Spracherkennung im Chrome-Browser jedoch sicher und entspricht der Web Speech API Specification der W3C.

Egal ob es sich dabei um eine Sicherheitslücke, einen Design-Fehler oder um etwas ganz anderes handelt: Smartphone-Nutzer sollten sich der Möglichkeit zur Spracherkennung bewusst sein und wissen, wie man sie nutzt, ohne ungewollt persönliche oder geschäftliche Daten preiszugeben.

Sicherheitslücke oder Design-Fehler: Chrome ermöglicht unerlaubtes Lauschen

Auf der Google-Homepage finden Sie ganz rechts in der Such-Box ein Mikrofon-Symbol für die Spracherkennung. Wenn Sie darauf klicken, zeigt Chrome am oberen Ende des Browsers eine Leiste an und Sie werden um Erlaubnis gebeten, das Mikrofon des Geräts nutzen zu dürfen. Falls Sie jetzt auf „Zulassen“ klicken, können Sie die Webseite per Spracheingabe steuern. Während die Spracherkennung aktiv ist, wird in Chrome ein entsprechendes Symbol angezeigt. Sobald der Benutzer die Spracherkennung ausschaltet oder die Seite verlässt, hört Chrome auch nicht mehr zu.

Ater dagegen behauptet, dass Angreifer über manipulierte Webseiten in der Lage seien, den Mikrofon-Zugang zu missbrauchen, solange Chrome läuft. Somit könnten Gespräche, Meetings oder Telefongespräche, die in der Nähe des Gerätes stattfinden, belauscht werden. Das sei auch dann möglich, wenn der Benutzer die entsprechende Webseite bereits verlassen hat, da eine manipulierte Webseite unbemerkt unterhalb des Hauptfensters ein verstecktes Pop-up-Fenster öffnen könne.

Angeblich muss dafür nur einmal die Erlaubnis für den Mikrofon-Zugang erteilt werden, zum Beispiel bei der Nutzung der Sprachsuche auf der offiziellen Google-Homepage. Google setzt dem entgegen, dass ein derartiger Missbrauch nur dann gelänge, wenn der Anwender die Mikrofon-Benutzung für eine Website ausdrücklich genehmigt. Außerdem müsste er Pop-ups zulassen, da Chrome Pop-ups standardmäßig deaktiviert.

Gehen Sie auf Nummer sicher: Deaktivieren Sie die Spracherkennung

Es ist Ansichtssache, ob Chrome ausreichend davor warnt, wenn eine Webseite auf die Kamera oder das Mikrofon zugreifen möchte. Dieses Problem wird durch die Tatsache verschleiert, dass die Web Speech API Specification derzeit noch kein finaler W3C-Standard ist und wohl auch vor Ende dieses Jahres nicht mehr werden wird. Der frühe Einsatz modernster Technologien wie der Sprachsuche ist für Browser-Hersteller äußerst entscheidend und frühes Feedback kann helfen, den entsprechenden Spezifikationen Form zu geben und sie zu verbessern. Daher werden entsprechende Features vergleichsweise früh integriert.

Aters Beobachtungen konzentrieren sich auf ein relativ kleines und Anwender-bezogenes Thema. Ein erfolgreicher Lauschangriff könnte mithilfe des Mikrofons aber streng vertrauliche Informationen ohne das Wissen des Anwenders abhören. Daher ist es wichtig, das Standardverhalten richtig zu konzipieren. Zudem muss aber auch gewährleistet werden, dass alle Nutzer ausreichend geschützt werden. Wenn die Erlaubnis für eine Webseite zur Nutzung des Mikrofons per HTTPS erteilt wird, ist dies eine dauerhafte Einstellung. Es ist unwahrscheinlich, dass sich jeder Benutzer daran erinnert, das Mikrofon jedes Mal ein- und auszuschalten, wenn er auf eine Webseite zugreift.

Unternehmen müssen sich entscheiden, ob die Spracherkennung für den Einsatz in ihrer Firma wirklich notwendig ist. Kann Spracherkennung wirklich die Produktivität zu verbessern, oder ist sie vielleicht sogar eher eine lästige Störung für alle, die in einem Großraumbüro arbeiten? Bis eine vollständige Risikobewertung abgeschlossen ist, sollten Sie die Konfigurationen für die Gruppenrichtlinien überprüfen. Stellen Sie sicher, dass bei den erweiterten Einstellungen von Chrome die Option „Websites dürfen nicht auf meine Kamera und mein Mikrofon zugreifen“ aktiviert ist. Wenn Sie auf Nummer sicher gehen wollen, dann lautet die Empfehlung also ganz klar: Deaktivieren Sie die Spracherkennung!

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Bedrohungen für Smartphones und Tablets

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close