/ Security / Hintergrund: Ist Bluetooth im Web-Browser ein Sicherheitsrisiko?

Hintergrund: Ist Bluetooth im Web-Browser ein Sicherheitsrisiko?

Moritz Rosenfeld on February 7, 2017 - 4:19 pm in Security

Der neue Chrome 56 erlaubt den Zugriff auf Bluetooth-Geräte – ein Feature, das Sicherheitsexperten kontrovers sehen.

Zwei Wochen nach Veröffentlichung von Chrome 56 ist einigen Medien aufgefallen, dass der Web-Browser nun Webseiten ermöglicht, mit Bluetooth-Geräten zu kommunizieren. Dieses Feature ist seit Mitte 2014 im Rahmen des W3C in Arbeit (derzeit noch im Entwurfs-Stadium) und war auch bereits Gegenstand der Berichterstattung. Wird das Web durch das Bluetooth-API unsicherer – und was soll das?

Pairing im Browser

Das API kann Geräte ansprechen, die dem Standard Bluetooth Low Energy genügen und somit das Generic Attribut Profile (GATT) unterstützen. Die Web-Bluetooth-Arbeitsgruppe hat einige Demos zusammengestellt, welche die Kommunikation mit verschiedenen Geräten ermöglichen. Die Beispiele reichen von diversen Spielzeugen über Lampen und Drucker bis hin zu Körpersensoren. Um Daten dieser Geräte zu verarbeiten oder sie zu steuern, braucht es keine App-Installation mehr – und die Web-Plattform konkurriert heute nun einmal weniger mit DOC und PDF als mit nativen Apps.

Web Bluetooth setzt ähnlich wie ServiceWorker voraus, dass die betreffende Website komplett per HTTPS ausgeliefert wurde. Der Nutzer muss das Feature aktivieren – allerdings nicht wie etwa beim Geolocation API über einen Systemdialog, sondern über ein Maus-, Touch- oder Tastaturereignis. Anschließend erscheint ein Dialog, in dem der Browser das Gerät für das Pairing auswählt.

Für Tracking ausgenutzt?

Kritiker befürchten, Nutzern könnte nicht bewusst sein, dass sie ihr Gerät einer Webanwendung zugänglich machen statt der lokalen Umgebung, und dass die Schnittstelle für Tracking eingesetzt werden könnte. Das Chrome-Team hingegen spielt die verschiedenen Angriffsszenarien durch und hält die Implementierung für sicherer als native Apps: “Die Geräte mancher Benutzer werden wahrscheinlich von bösartigen Websites mit Web Bluetooth ausgebeutet werden. Wir glauben, dass die anderen Sicherheitsvorteile dies mehr als wettmachen.”

Web Bluetooth ist in Chrome bereits seit Version 53 enthalten, musste allerdings per Flag aktiviert werden. Bei Chrome 56 für Linux verhält sich dies immer noch so; aktives Bluetooth haben bisher nur Chrome für Windows und macOS sowie Vorabversionen für Android. Andere Chromium-Browser wie Opera oder Vivaldi halten sich bei diesem Feature bislang zurück. (axk)

Read more on: Source

Comments are disabled