Thought Leadership
Eine von Google versehentlich publizierte Chromium-Schwachstelle bedroht Millionen Browser. Der Exploit erlaubt heimliche Überwachung und DDoS-Angriffe.
Der US-amerikanische Technologiekonzern Google hat unbeabsichtigt den funktionsfähigen Programmiercode für eine schwerwiegende Sicherheitslücke in seiner weit verbreiteten Chromium-Browserbasis öffentlich gemacht. Die Schwachstelle ist zum Zeitpunkt der Veröffentlichung nicht durch ein Sicherheits-Update behoben. Da der Chromium-Code das technische Fundament für eine Vielzahl moderner Webbrowser bildet, sind von diesem Sicherheitsrisiko potenziell Hunderte Millionen von Nutzern weltweit betroffen. Zu den betroffenen Anwendungen gehören neben dem hauseigenen Google Chrome auch der Microsoft Edge Browser sowie nahezu alle anderen auf Chromium basierenden Webbrowser. Der Vorfall führt dazu, dass Angreifer die Sicherheitslücke nun leichter ausnutzen können, da die detaillierte Anleitung zur Ausnutzung im Internet kursiert.
Fetch-API ermöglicht Hacken
Das von Google fälschlicherweise publizierte Proof-of-Concept-Dokument demonstriert, wie Angreifer eine standardisierte Programmierschnittstelle innerhalb des Browsers weitreichend manipulieren können. Es handelt sich hierbei um die sogenannte Browser Fetch API. Diese Schnittstelle ist im regulären Webbetrieb dafür zuständig, das Herunterladen von großen Dateien oder langen Videos im Hintergrund zu verwalten, ohne dass der Nutzer in seiner aktiven Navigation unterbrochen wird.
Die Sicherheitslücke ermöglicht es einer bösartigen Website, über einfachen JavaScript-Code einen dauerhaft aktiven Service Worker im Hintergrund des Browsers zu installieren. Ein Service Worker ist ein Skript, das der Browser im Hintergrund unabhängig von einer geöffneten Webseite ausführt. Durch die fehlerhafte Implementierung in Chromium bleibt dieser Prozess persistent geöffnet. Je nach verwendetem Browser und Betriebssystem schließen sich diese Verbindungen beim Beenden des Programms nicht. In einigen Konfigurationen werden sie sogar nach einem vollständigen Neustart des Computers oder des mobilen Endgeräts automatisch wieder geöffnet.
Risiken einer Eingliederung in Botnetze
Die Auswirkungen einer erfolgreichen Ausnutzung dieser Schwachstelle sind weitreichend, auch wenn sie im Vergleich zu anderen kritischen Systemlücken spezifischen Beschränkungen unterliegen. Sobald ein Nutzer eine manipulierte Internetseite besucht, kann der im Hintergrund gestartete Prozess eine dauerhafte Verbindung zu einem Server des Angreifers aufbauen. Dies fungiert in der Praxis wie eine begrenzte Hintertür. Das infizierte Gerät wird dadurch zu einem Teil eines begrenzten Botnetzes.
Die Fähigkeiten dieser Hintertür sind zwar auf die Aktionen beschränkt, die ein Webbrowser regulär ausführen darf, doch diese reichen für erhebliche kriminelle Aktivitäten aus. Angreifer können die Verbindung als anonymen Proxy-Server nutzen, um ihren eigenen Datenverkehr über die Geräte der Opfer umzuleiten. Zudem ist es möglich, über die kompromittierten Browser koordinierte Denial-of-Service-Angriffe auf fremde Webserver zu starten, um diese lahmzulegen. Darüber hinaus erlaubt die Schnittstelle die Überwachung bestimmter Aspekte des alltäglichen Surfverhaltens des Betroffenen. Das Hauptrisiko besteht darin, dass Angreifer auf diese Weise ein riesiges Netzwerk aus Millionen von Browsern aufbauen können, um dieses zu einem späteren Zeitpunkt, sobald eine weitere Sicherheitslücke im System entdeckt wird, für tiefgreifendere Angriffe auf die lokalen Geräte zu nutzen.
Schwachstelle bereits seit 29 Monaten bekannt
Entdeckt wurde die Schwachstelle von dem unabhängigen Sicherheitsforscher Lyra Rebane. Dieser hatte den Fehler bereits vor 29 Monaten vertraulich an das Sicherheitsteam von Google gemeldet. Innerhalb des internen Chromium-Entwicklerteams wurde der Fehler unter der Prioritätsstufe S1 geführt, was der zweithöchsten Klassifizierung für die technologische Schwere eines Fehlers entspricht. Zwei beteiligte Entwickler bezeichneten das Problem in internen Diskussionen ausdrücklich als ernsthafte Schwachstelle.
Trotz der langen Zeitspanne blieb die Existenz der Lücke außerhalb des Entwicklerkreises unbekannt, bis der Eintrag am Mittwochmorgen plötzlich im öffentlichen Chromium-Bug-Tracker auftauchte. Der Entdecker Rebane ging zunächst davon aus, dass die Veröffentlichung bedeutete, dass ein entsprechender Software-Patch bereitstehe. Kurz darauf stellte sich jedoch heraus, dass der Fehler im produktiven Code weiterhin ungepatcht existiert. Obwohl Google den Eintrag nach dem Bemerken des Fehlers zügig wieder aus dem öffentlichen Tracker entfernte, war der Exploit-Code zu diesem Zeitpunkt bereits von automatisierten Archivierungsdiensten erfasst worden und bleibt somit für die Öffentlichkeit einsehbar.
Zeitpunkt des Google Patch unbekannt
Die Tragweite dieses Vorfalls offenbart strukturelle Probleme beim Umgang mit Sicherheitsmeldungen innerhalb großer Softwareprojekte. Der Entdecker Lyra Rebane betonte in einem Interview, dass die Ausnutzung des von Google verfrüht publizierten Codes für einzelne Angriffe relativ unkompliziert sei. Die größte Hürde für Kriminelle liege lediglich im logistischen Aufwand, den Angriff so zu skalieren, dass Millionen von Geräten stabil in einem einzigen Botnetz kontrolliert werden können.
Da offizielle Vertreter von Google auf Anfragen zu den Gründen der Veröffentlichung und zum Zeitplan für einen echten Patch zunächst nicht reagierten, bleibt unklar, wann Nutzer mit einer Schließung der Sicherheitslücke rechnen können. Bis dahin stellt jeder Besuch einer nicht vertrauenswürdigen Webseite ein potenzielles Risiko dar, da die Ausnutzung im Hintergrund und ohne visuelle Warnsignale für den Endanwender erfolgt. Das Risiko betrifft durch die Monokultur der Chromium-Infrastruktur fast den gesamten globalen Browsermarkt, was die Notwendigkeit einer schnellen administrativen Klärung verdeutlicht.
