Über eine verborgene Erweiterung überträgt der Browser Google Chrome unter bestimmten Voraussetzungen zahlreiche Telemetriedaten.
Der Entwickler Luca Casonato entdeckte eine neue Methode vom Google Chrome, um die Daten seiner Nutzer bezüglich der benutzten CPU, GPU und den Speicherverbrauch der Browser-Tabs an Google zu übertragen. Der Transfer läuft über eine Browsererweiterung, die man in der Liste der Erweiterungen verbirgt. Spannend ist, dass die Übertragung nur beim Besuch von google.com stattfindet. Bei allen anderen Websites schlägt die Programmierschnittstelle erst gar nicht an.
Casonato bemerkt, dass dies auch dem Gedanken der Netzneutralität entgegen läuft, die eigentlich jeder Browser sein Eigen nennen sollte. Wenn Google Chrome schon die Daten ungefragt und heimlich überträgt, dann sollte gleiches Recht für alle gelten, schreibt der Open Source-Enthusiast bei X (ehemals Twitter).
Gleiches Verhalten auch beim Brave und Edge entdeckt
Den Quellcode der Erweiterung kann man übrigens hier einsehen. Die Erweiterung kann man nicht abschalten. Casonato hat exakt das gleiche Verhalten beim Brave und Microsoft Edge entdeckt. Ob auch der Webbrowser Vivaldi oder weitere Klone vom Chrome betroffen sind, ist bisher nicht bekannt.
Einer der Diskussionsteilnehmer schrieb bei X, er habe bei der Entwicklung einer Software für Video-Konferenzen vor zwei Jahren das gleiche herausgefunden. Auf seine Anfrage an das Chromium Team teilte man ihm recht lakonisch mit, er solle den Fehler doch einfach melden.
Günther Brunner stellte außerdem fest, dass es eine undokumentierte Funktion gibt, die auch das Einbinden von Video-Konferenzen deutlich einfacher gestaltet. Brunner bemängelt, damit habe der Browser Chrome als auch Google Meet einen Vorteil gegenüber anderen Programmen.
Zusätzliches Fingerprinting wäre überflüssig
Der Entwickler Casonato stellte außerdem fest, dass er nicht davon ausgeht, dass Google damit Daten sammelt oder gar ein Fingerprinting der Benutzer durchführt. Das wäre auch gar nicht nötig, weil sich die meisten Nutzer ja sowieso schon mit ihrem Google-Account angemeldet haben. „Sie haben (bereits) Ihre Benutzer-ID„.
Die getarnte Erweiterung nutzt Google wahrscheinlich, um das Diagramm „CPU-Auslastung“ in der Rubrik „Fehlerbehebung“ bei Aufrufen auf http://meet.google.com anzuzeigen. Auch sei darüber kein Man-in-the-Middle-Angriff möglich, weil man dieses „Feature“ technisch gesehen abgesichert hat. Dazu gehört auch, dass die Datenübertragung vom Chrome nur bei der verschlüsselten Version von google.com funktioniert.
Google Chrome hat die Erweiterung gut versteckt
Felix von Leitner, besser bekannt als Fefe, kann an der geheimen Erweiterung von Google trotzdem keinen Gefallen finden. Er schreibt auf seinem Blog: „Das ist immer ein gutes Zeichen, wenn der Hersteller selber erkennt, dass er eine Funktion lieber versteckt.“ Fefe hat wie üblich den Nagel auf den Kopf getroffen. Viel mehr gibt es dazu auch nicht zu sagen.
