Sicherheitsforscher kritisieren WebRTC-Implementierung in Chrome und Firefox

Sicherheitsforscher des von der EU geförderten Projekts Strews haben Google und Mozilla wegen der Implementierung des Echtzeit-Kommunikationsstandards WebRTC in ihre Browser Chrome und Firefox kritisiert. Ihrer Ansicht nach müssen Nutzer genauer darüber informiert werden, wann Websites und Apps auf ihre Kameras und Mikrofone zugreifen können. Derzeit seien sie nur in der Lage pauschal Berechtigungen  zu erteilen, bei denen ein Missbrauch nicht ausgeschlossen sei.

„Die Browser ermöglichen nur grobkörnige Berechtigungen“, heißt es in einer Studie des Projekts. „Sie fragen beim Start einer Anwendung danach, was den Anwender möglicherweise glauben lässt, er habe eine spezifische Berechtigung erteilt, obwohl seine Berechtigung in Wirklichkeit weitreichend ist.“

Alle erteilten Genehmigungen für einen Zugriff auf Kamera und Mikrofon gälten jedoch für einen Server, und nicht für eine spezielle Anwendung, so die Forscher weiter. „Bietet derselbe Server eine andere, gefährliche Applikation an und kann der Nutzer dazu verleitet werden, sie zu öffnen, dann hat sie automatisch Zugriff auf Kamera und Mikrofon.“

WebRTC wurde entwickelt, um die Kommunikation in Echtzeit im Browser zu erleichtern. Beispielsweise kann eine Video-Chat-App ohne weitere Plug-ins genutzt werden. Die Marktforschungsfirma Gartner erwartet, dass die Technik den Markt für Sprachdienste in den kommenden Jahren „deutlich verändern“ wird.

Darüber hinaus weisen die Forscher darauf hin, dass eine Website oder Anwendung, die WebRTC nutzt, die erteilten Berechtigungen behält, bis Firefox beendet wird. Chrome entzieht die Berechtigungen zum Ende der Browsersitzung sogar nur dann, wenn die Verbindung per HTTP hergestellt wurde. Bei einer verschlüsselten Verbindung per sicherem HTTPS sind die Berechtigungen sogar permanent.

Gerade auf mobilen Geräten könnten Nutzer oftmals nicht genau erkennen, ob ein Browser geschlossen worden sei oder noch im Hintergrund ausgeführt werde, so die Forscher weiter. Dadurch sei die Berechtigung möglicherweise noch aktiv, was eine Überwachung ohne sein Wissen ermögliche.

Die derzeitige Implementierung von WebRTC bedeute, „dass Browser ab Werk die Fähigkeit besitzen, Nutzer abzuhören und zu beobachten“, schreiben die Forscher in ihrem Bericht. Es sei sehr wahrscheinlich, dass „viele Nutzer das Berechtigungsmodell nicht verstehen“.

Neben Chrome und Firefox unterstützt auch Opera WebRTC. In Microsofts Internet Explorer sowie Apples Safari ist die Technik noch nicht enthalten. Google und Mozilla standen auf Nachfrage von ZDNet USA nicht für eine Stellungnahme zur Verfügung.

[mit Material von Nick Heath, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chrome: Google verschiebt das Aus für Drittanbietercookies

Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…

5 Stunden ago

BAUMLINK: Wir sind Partner und Aussteller bei der Frankfurt Tech Show 2024

Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…

7 Stunden ago

Business GPT: Generative KI für den Unternehmenseinsatz

Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.

11 Stunden ago

Alphabet übertrifft die Erwartungen im ersten Quartal

Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…

3 Tagen ago

Microsoft steigert Umsatz und Gewinn im dritten Fiskalquartal

Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…

4 Tagen ago

Digitalisierung! Aber wie?

Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…

4 Tagen ago