Chrome 73: Google plant Schutz vor Drive-by-Downloads
Google plant bei seinem Browser Chrome die Integration eines Schutzes vor Angriffen durch ungewollte oder unbemerkte Downloads. Die neue Sicherheitsfunktion soll zukünftig ebenso in der Open-Source-Version des Browsers Chromium enthalten sein.
Mit der neuen Funktion zieht Google zu Microsoft Edge und Mozillas Firefox gleich, welche diesen Schutz bereits seit ein paar Jahren bieten.
iFrames als Ursache
Google legt beim neuen Schutz den Fokus vor allem auf Downloads in iFrames. Zwar gilt diese Technik bereits seit Jahren als überholt, dennoch werden iFrames nach wie vor oft eingesetzt. Vereinfacht gesagt wird dabei in eine Webseite eine andere Webseite geladen. Das Problem: Der Inhaber der Seite besitzt keinen Einfluss auf die angezeigten Inhalte im iFrame. Im Gegensatz zu anderen Techniken taucht der herangezogene Inhalt nicht im Quelltext der dargestellten Seite auf und kann daher nur schwer überprüft werden.
Funktion unwirksam bei Hacks
Wird dann der dargestellte Teil kompromittiert, kann der Betreiber höchstens den Link zu den entfernten Inhalten löschen, meist ist es in diesem Moment aber schon zu spät. Nicht selten werden solche iFrames aber auch nach einem Hack auf eine Webseite gesetzt. Mit der anschließend gerade einmal auf einen Pixel gesetzten Größe lassen sich solche Eingriffe gut und wirksam verstecken, so dass sie niemandem auffallen. Daher birgt diese Methode ein unkalkulierbares Risiko bezüglich der Sicherheit, denn schenkt man Zahlen von Google Glauben, wird von rund 0,002117 Prozent aller in Chrome geladenen Webseiten ein Drive-by-Download ausgelöst.
Laden von iFrames in einer Sandbox
Chrome 73 wird iFrames standardmäßig in einer Sandbox laden, die das Starten von Downloads ohne Nutzerinteraktion (also automatisch startende Downloads) standardmäßig unterbindet. Die einbindende Website hat die Möglichkeit, diese Einschränkung mit dem iFrame-Attribut sandbox="allow-downloads-without-user-activation"
in Einzelfällen gezielt aufzuheben.
iOS bleibt außen vor
Die neue Sicherheitsfunktion kann im aktuellen Nightly Build für Entwickler bereits getestet werden. Offiziell erscheinen soll der Schutz mit Chrome 73, welcher für März oder April geplant ist. Die neue Funktion soll bis auf Chrome für iOS für alle anderen OS-Versionen integriert werden. Da Apple jedoch im eigenen Betriebssystem Drittanbietern die Nutzung einer eigenen Browser-Engine untersagt, ist Google gezwungen, unter iOS auf Apples Safari-Engine WebKit zurückzugreifen. Dieser fehlt eine solche Schutzfunktion jedoch. Google setzt seit 2013 auf die eigene Engine Blink, die ein Fork der WebCore-Komponente von WebKit ist.