Software::Browser
Ärger um binäre Dateien in Chromium
Wie einer kürzlich veröffentlichten Untersuchung eines Entwicklers entnommen werden kann, lädt der freie Chromium-Browser im Hintergrund unfreie, binäre Dateien herunter. Bei der Erweiterung handelt es sich um die Google-Suchfunktion mit Spracherkennung. Aktiviert wird die Zusatzfunktionalität aber nicht automatisch.
Mirko Lindner
Der freie Webbrowser Chromium
Ein Debian-Fehlerbericht, der Ende Mai geschrieben wurde und nun für Diskussionen sorgt, erinnert daran, dass auch quelloffene Software nicht immun gegen proprietäre Einflüsse ist. Stein des Anstoßes ist der freie Webbrowser Chromium. Wie der Japaner Yoshindo Yoshihito herausfand, lädt die Version 43 des Browsers im Hintergrund ohne eine Einwilligung oder Interaktion des Nutzers eine binäre Erweiterung herunter. Bei der Erweiterung handelt es sich um die Spracherkennung, die mittels »OK Google« aktiviert wird.
Erwartungsgemäß stieß die Entdeckung der unerwünschten Funktion auf wenig Gegenliebe. So handelt es sich bei dem Modul um einen binären Blob, zu dem es keine Quellen geschweige verifizierbare Untersuchungen gibt. Erschwerend kommt noch hinzu, dass die Erweiterung dem Anschein nach komplett im Hintergrund agiert und auch nicht in der Liste der installierten Anwendungen auftaucht. Lediglich der Eintrag unter chrome://voicesearch/ zeugt von der Funktion. Anwender müssten dazu allerdings diese Seite kennen und über die Installation informiert sein, was bis dato nicht der Fall war.
In Summe lässt sich deshalb sagen, dass einer der populärsten freien Browser unter Linux und anderen Systemen ohne das Wissen des Anwenders eine ungewollte und nicht verifizierbare Funktionalität installiert, die einen vollständigen Zugriff auf das System hat. So ist das Modul nicht nur in der Lage, auf das Dateisystem zuzugreifen, sondern auch beispielsweise das Mikrofon einzuschalten oder zusätzliche binäre Dateien herunterzuladen – und das alles ohne eine direkte Interaktion oder Intervention des Anwenders.
Wie es zu der neuen Funktion kam, lässt sich nicht wirklich klären. Fakt ist nur, dass das unerwünschte Verhalten Ende Mai an die Chromium-Entwickler gemeldet wurde. Am 9. Juni erfuhren die Quellen eine Änderung. So ist es nun Paketerstellern möglich, das immer noch standardmäßig eingeschaltete Verhalten zu deaktivieren. Anfang der Woche hat Debian Chromium durch eine neue Version ersetzt, die nun keine Dateien mehr herunterlädt. Auch die Chromium-Entwickler nahmen Stellung zu der unerwünschten Funktionalität. Demnach werde das Modul zwar automatisch heruntergeladen, aber nicht automatisch aktiviert. Erst wenn der Anwender die Option explizit im Browser einschalte, werde das Modul aktiv. Intransparent bleibt das Ganze dennoch, denn auch beim Aktivieren erfährt der Anwender nicht, dass zuvor ein Blob heruntergeladen wurde und er ihn gerade aktiviert hat.
Die Diskussion um Chromium zeigt anschaulich, dass auch quelloffene Software nicht frei von Manipulationsversuchen ist. Zwar ist Chromium selbst offen, doch durch die Einbindung eines fremden Moduls wurde diese Freiheit wissentlich durch ein Unternehmen kompromittiert. Denn was tatsächlich in dem heruntergeladenen Modul passiert, lässt sich höchstens vermuten - einen Weg, es nachzuprüfen, gibt es aber nicht.
){kind=small}
