Sicherheitsforscher kritisieren WebRTC-Implementierung in Chrome und Firefox

Die Browser ermöglichen derzeit keine genaue Vergabe von Berechtigungen für den Zugriff auf Kamera und Mikrofon. Sie gelten nicht für eine App oder einen Dienst, sondern pauschal für einen Server. Im Fall von Chrome sind die Berechtigungen bei HTTPS-Verbindungen sogar permanent.

Sicherheitsforscher des von der EU geförderten Projekts Strews haben Google und Mozilla wegen der Implementierung des Echtzeit-Kommunikationsstandards WebRTC in ihre Browser Chrome und Firefox kritisiert. Ihrer Ansicht nach müssen Nutzer genauer darüber informiert werden, wann Websites und Apps auf ihre Kameras und Mikrofone zugreifen können. Derzeit seien sie nur in der Lage pauschal Berechtigungen  zu erteilen, bei denen ein Missbrauch nicht ausgeschlossen sei.

Security (Bild: Shutterstock)

„Die Browser ermöglichen nur grobkörnige Berechtigungen“, heißt es in einer Studie des Projekts. „Sie fragen beim Start einer Anwendung danach, was den Anwender möglicherweise glauben lässt, er habe eine spezifische Berechtigung erteilt, obwohl seine Berechtigung in Wirklichkeit weitreichend ist.“

Alle erteilten Genehmigungen für einen Zugriff auf Kamera und Mikrofon gälten jedoch für einen Server, und nicht für eine spezielle Anwendung, so die Forscher weiter. „Bietet derselbe Server eine andere, gefährliche Applikation an und kann der Nutzer dazu verleitet werden, sie zu öffnen, dann hat sie automatisch Zugriff auf Kamera und Mikrofon.“

WebRTC wurde entwickelt, um die Kommunikation in Echtzeit im Browser zu erleichtern. Beispielsweise kann eine Video-Chat-App ohne weitere Plug-ins genutzt werden. Die Marktforschungsfirma Gartner erwartet, dass die Technik den Markt für Sprachdienste in den kommenden Jahren „deutlich verändern“ wird.

Darüber hinaus weisen die Forscher darauf hin, dass eine Website oder Anwendung, die WebRTC nutzt, die erteilten Berechtigungen behält, bis Firefox beendet wird. Chrome entzieht die Berechtigungen zum Ende der Browsersitzung sogar nur dann, wenn die Verbindung per HTTP hergestellt wurde. Bei einer verschlüsselten Verbindung per sicherem HTTPS sind die Berechtigungen sogar permanent.

Gerade auf mobilen Geräten könnten Nutzer oftmals nicht genau erkennen, ob ein Browser geschlossen worden sei oder noch im Hintergrund ausgeführt werde, so die Forscher weiter. Dadurch sei die Berechtigung möglicherweise noch aktiv, was eine Überwachung ohne sein Wissen ermögliche.

Die derzeitige Implementierung von WebRTC bedeute, „dass Browser ab Werk die Fähigkeit besitzen, Nutzer abzuhören und zu beobachten“, schreiben die Forscher in ihrem Bericht. Es sei sehr wahrscheinlich, dass „viele Nutzer das Berechtigungsmodell nicht verstehen“.

Neben Chrome und Firefox unterstützt auch Opera WebRTC. In Microsofts Internet Explorer sowie Apples Safari ist die Technik noch nicht enthalten. Google und Mozilla standen auf Nachfrage von ZDNet USA nicht für eine Stellungnahme zur Verfügung.

[mit Material von Nick Heath, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsforscher kritisieren WebRTC-Implementierung in Chrome und Firefox

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *