Datenterrorist
03 September
Verchromt oder blechern?
Googles Beta-Browser (hype! hype!) mal schaun was haben wir denn da... Sicherheitsfeatures anscheinend für die Tonne, sehr Datenschutz feindlich, darf nach Lizenz _alle_ Eingaben an Google und Drittanbieter übermitteln und Zensur freudig ist er auch noch, aber der Reihe nach...
Chrome soll ja besonders schöne Sicherheitsfeatures bieten, u.a. soll eine Webseite höchstens einen Tab zum Absturz bringen können nicht aber den ganzen Browser, weil jeder Tab ein eigener Prozess ist.
Nun das scheint wohl ein wenig unwahr zu sein, denn...
"Der Sicherheitspezialist Aviv Raff hat eine Demo zur Verfügung gestellt, die das Problem vorführt. Beim Besuch der Seite wird ohne Nachfrage beim Anwender ein Java-Archiv (.jar) heruntergeladen und im Download-Ordner abgelegt – der Nutzer merkt davon nichts. Ein Klick auf den geschickt benannten Download-Button in Chrome startet dann die Java-Datei. In der Demo öffnet sich nur ein in Java geschriebenes Notepad, ein Krimineller hätte aber damit ein System kompromittieren können. Zwar ist für einen erfolgreichen Angriff eine Nutzerinteraktion notwendig, zumindest anfangs dürften aber einige unbesorgt auf die Download-Buttons klicken."
Quelle: Heise
Milw0rm Exploit
"Google Chrome Crashes with All Tabs.
An issue exists in how chrome behaves with undefined-handlers in chrome.dll version 0.2.149.27. A crash can result without user interaction. When a user is made to visit a malicious link, which has an undefined handler followed by a 'special' character, the chrome crashes with a Google Chrome message window "Whoa! Google Chrome has crashed. Restart now?". It fails in dealing with the POP EBP instruction when pointed out by the EIP register at 0x01002FF4."
Quelle: Full disclosure
Zum Thema Datenschutz gibts folgendes anzumerken:
"Googles neuer Browser Chrome telefoniert permanent nach Hause. Daraus macht der Anbieter auch kein Geheimnis, und anders können die Suchvorschläge bei Eingabe einer URL auch nicht zustande kommen. Vor allem Inhaber eines Google-Accounts laufen damit Gefahr, dass ihr Surfverhalten lückenlos protokolliert wird und ihnen auch persönlich zugeordnet werden kann. Möglich wird das durch die Seriennummer, die jeder Chrome-Download haben soll."
Quelle: Lawblog
Dabei bietet der Browser extra einen anonymen Browse Modus und suggeriert damit besonders datenschutzfreundlich zu sein, allerdings gilt die Anonymisierung lediglich für die eigene Festplatte. Das kann man auch offiziell hier nachlesen. Ganz schön frech!
Aber es geht ja noch weiter, wenn man sich mal die Nutzungsbedingungen durchliest:
"11.1 [...] Durch das Übermitteln, Einstellen oder Anzeigen von Inhalten erteilen Sie Google eine unbefristete, unwiderrufliche, weltweit gültige, unentgeltliche und nicht exklusive Lizenz zum Vervielfältigen, Anpassen, Modifizieren, Übersetzen, Veröffentlichen, zum öffentlichen Darstellen und Anzeigen sowie zum Vertreiben sämtlicher mithilfe der Services übermittelten, eingestellten oder angezeigten Inhalte.
[...]
11.2 Sie erkennen an, dass diese Lizenz Google dazu berechtigt, die Inhalte anderen Unternehmen, Organisationen oder Personen zugänglich zu machen, die mit Google zum Zweck der Bereitstellung syndizierter Services zusammenarbeiten, sowie die Inhalte im Rahmen der Bereitstellung solcher Services zu nutzen."
Also nicht nur alle URLs gehören Google, sondern auch alles, was man irgendwie in Webformulare z.B. zum Bloggen oder Online Banking eingibt darf nach dieser Lizenz an Google _und_ Drittanbieter übermittelt werden!
Aber das ist immer noch nicht alles. Zensieren und / oder manipulieren wolln se auch noch:
"8.3 Google behält sich das Recht vor (ist aber nicht verpflichtet), über einen Service verfügbare Inhalte sowohl vollständig als auch teilweise im Vorfeld zu analysieren, zu überprüfen, zu kennzeichnen, zu filtern, abzuändern, abzulehnen oder zu entfernen."
Wenn das mal keinen Big Brother Award wert ist...
Chrome soll ja besonders schöne Sicherheitsfeatures bieten, u.a. soll eine Webseite höchstens einen Tab zum Absturz bringen können nicht aber den ganzen Browser, weil jeder Tab ein eigener Prozess ist.
Nun das scheint wohl ein wenig unwahr zu sein, denn...
"Der Sicherheitspezialist Aviv Raff hat eine Demo zur Verfügung gestellt, die das Problem vorführt. Beim Besuch der Seite wird ohne Nachfrage beim Anwender ein Java-Archiv (.jar) heruntergeladen und im Download-Ordner abgelegt – der Nutzer merkt davon nichts. Ein Klick auf den geschickt benannten Download-Button in Chrome startet dann die Java-Datei. In der Demo öffnet sich nur ein in Java geschriebenes Notepad, ein Krimineller hätte aber damit ein System kompromittieren können. Zwar ist für einen erfolgreichen Angriff eine Nutzerinteraktion notwendig, zumindest anfangs dürften aber einige unbesorgt auf die Download-Buttons klicken."
Quelle: Heise
Milw0rm Exploit
"Google Chrome Crashes with All Tabs.
An issue exists in how chrome behaves with undefined-handlers in chrome.dll version 0.2.149.27. A crash can result without user interaction. When a user is made to visit a malicious link, which has an undefined handler followed by a 'special' character, the chrome crashes with a Google Chrome message window "Whoa! Google Chrome has crashed. Restart now?". It fails in dealing with the POP EBP instruction when pointed out by the EIP register at 0x01002FF4."
Quelle: Full disclosure
Zum Thema Datenschutz gibts folgendes anzumerken:
"Googles neuer Browser Chrome telefoniert permanent nach Hause. Daraus macht der Anbieter auch kein Geheimnis, und anders können die Suchvorschläge bei Eingabe einer URL auch nicht zustande kommen. Vor allem Inhaber eines Google-Accounts laufen damit Gefahr, dass ihr Surfverhalten lückenlos protokolliert wird und ihnen auch persönlich zugeordnet werden kann. Möglich wird das durch die Seriennummer, die jeder Chrome-Download haben soll."
Quelle: Lawblog
Dabei bietet der Browser extra einen anonymen Browse Modus und suggeriert damit besonders datenschutzfreundlich zu sein, allerdings gilt die Anonymisierung lediglich für die eigene Festplatte. Das kann man auch offiziell hier nachlesen. Ganz schön frech!
Aber es geht ja noch weiter, wenn man sich mal die Nutzungsbedingungen durchliest:
"11.1 [...] Durch das Übermitteln, Einstellen oder Anzeigen von Inhalten erteilen Sie Google eine unbefristete, unwiderrufliche, weltweit gültige, unentgeltliche und nicht exklusive Lizenz zum Vervielfältigen, Anpassen, Modifizieren, Übersetzen, Veröffentlichen, zum öffentlichen Darstellen und Anzeigen sowie zum Vertreiben sämtlicher mithilfe der Services übermittelten, eingestellten oder angezeigten Inhalte.
[...]
11.2 Sie erkennen an, dass diese Lizenz Google dazu berechtigt, die Inhalte anderen Unternehmen, Organisationen oder Personen zugänglich zu machen, die mit Google zum Zweck der Bereitstellung syndizierter Services zusammenarbeiten, sowie die Inhalte im Rahmen der Bereitstellung solcher Services zu nutzen."
Also nicht nur alle URLs gehören Google, sondern auch alles, was man irgendwie in Webformulare z.B. zum Bloggen oder Online Banking eingibt darf nach dieser Lizenz an Google _und_ Drittanbieter übermittelt werden!
Aber das ist immer noch nicht alles. Zensieren und / oder manipulieren wolln se auch noch:
"8.3 Google behält sich das Recht vor (ist aber nicht verpflichtet), über einen Service verfügbare Inhalte sowohl vollständig als auch teilweise im Vorfeld zu analysieren, zu überprüfen, zu kennzeichnen, zu filtern, abzuändern, abzulehnen oder zu entfernen."
Wenn das mal keinen Big Brother Award wert ist...
Comments
No comments yet
