Abo
  • Services:

Mikrofonzugriff: Wieder Mithör-Bug in Chrome entdeckt

Erneut ist ein Fehler entdeckt worden, der das unbemerkte Mithören über das Speech-API in Chrome ermöglicht. Genutzt wird dazu eine längst überholte Version des APIs, die es erlaubt, das Element zu verstecken.

Artikel veröffentlicht am ,
Spracherkennung in Google Chrome
Spracherkennung in Google Chrome (Bild: Google)

Bereits im Januar ist bekanntgeworden, dass Chrome eine Schwachstelle enthält, die es ermöglicht, unbemerkt die Spracheingabe über das Mikrofon aufzuzeichnen. Mit dem nun gefundenen Fehler ist dies ebenfalls möglich, allerdings über ein deutlich anderes Angriffsszenario.

Stellenmarkt
  1. Deutsche Energie-Agentur GmbH (dena), Berlin
  2. CompuGroup Medical SE, Nürnberg, Erlangen

So wird für den neuen Angriff eine sehr alte Version des Web-Speech-APIs benutzt, die vermutlich seit Version 11 in Chrome zur Verfügung stehen könnte. Das Problem an dem X-webkit-speech-Tag ist, dass ein damit erstelltes Element auf verschiedene Arten verändert werden kann, was ausgenutzt werden könnte.

So kann die Sichtbarkeit des Sprachelements in Größe und Deckkraft verändert werden. Zudem kann das Element sämtliche Klicks, die auf einer Webseite platziert werden, übernehmen, ohne selbst sichtbar zu sein, und der Hinweis auf eine Aufzeichnung kann manipuliert und außerhalb des Bildschirms gerendert werden.

Vereinfacht ausgedrückt wird das Element einfach gut versteckt und Nutzer bemerken so nicht, dass sie belauscht werden. Denn auch das nach dem Bug vom Januar eingeführte Pop-up, das die Aufnahme sichtbar machen sollte, erscheint bei dem dargestellten Angriff nicht.

Gegenüber dem aktuell in Chrome verwendeten Speech-API hat das in dem beschriebenen Angriff eingesetzte API den technischen Nachteil, dass darüber keine dauerhaften Aufnahmen gemacht werden können. Die Aufnahme muss also für jeden Satz neu gestartet werden, was einen möglichen Angriff etwas weniger gefährlich erscheinen lässt.

Ein Proof-of-Concept, der den Fehler ausnutzt, steht online bereit, ebenso wie eine detaillierte Erklärung. Der Bug-Report, der die Chrome-Entwickler dazu auffordert, das veraltete Speech-API einzumotten, ist bereits über ein Jahr alt.



Anzeige
Top-Angebote
  1. 18,99€ (nur für Prime-Kunden)
  2. 99,00€ (bei otto.de)
  3. 54,99€
  4. GRATIS

Folgen Sie uns
       


Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert

Sailfish OS gibt es als Sailfish X auch für einige Xperia-Smartphones von Sony. Wir haben uns die aktuelle Beta-Version auf dem Xperia XA2 Plus angeschaut.

Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert Video aufrufen
Thyssen-Krupp Testturm Rottweil: Herr Fetzer parkt die Aufzugkabine um
Thyssen-Krupp Testturm Rottweil
Herr Fetzer parkt die Aufzugkabine um

Ohne Aufzüge gäbe es keine Hochhäuser. Aber inzwischen sind Wolkenkratzer zu hoch für herkömmliche Systeme. Thyssen-Krupp testet derzeit einen neuartigen Aufzug, der beliebig hoch fahren kann. Inspiriert ist er vom Paternoster und dem Transrapid. Wir waren im Testturm.
Ein Bericht von Werner Pluta

  1. Ceramic Speed Hätte, hätte - Fahrrad ohne Kette
  2. Geheimdienste und Bundeswehr Masterstudiengang für Staatshacker gestartet
  3. Sonitus Technologies Zahnmikrofon sorgt für klare Kommunikation

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  2. Webauthn Standard für passwortloses Anmelden verabschiedet
  3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

Gesetzesinitiative des Bundesrates: Neuer Straftatbestand Handelsplattform-Betreiber im Darknet
Gesetzesinitiative des Bundesrates
Neuer Straftatbestand Handelsplattform-Betreiber im Darknet

Eine Gesetzesinitiative des Bundesrates soll den Betrieb von Handelsplattformen im Darknet unter Strafe stellen, wenn sie Illegales fördern. Das war auch bisher schon strafbar, das Gesetz könnte jedoch vor allem der Überwachung dienen, kritisieren Juristen.
Von Moritz Tremmel

  1. Security Onionshare 2 ermöglicht einfachen Dateiaustausch per Tor
  2. Tor-Netzwerk Britischer Kleinstprovider testet Tor-SIM-Karte
  3. Tor-Netzwerk Sicherheitslücke für Tor Browser 7 veröffentlicht

    •  /