Google-Entwickler kritisieren Sicherheits-Browser Aviator
Um die Fehler in dessen Open-Source-Code zu demonstrieren, veröffentlichten die Forscher eine Seite, die Aviator zum Absturz bringt. Die Entwickler verbrächten zu viel Zeit damit, das Branding des Chromium-Klons zu entfernen, anstatt Lücken zu schließen.
- Fabian A. Scherschel
Google-Entwickler Justin Schuh kritisiert in einem öffentlichen Google+-Post den Aviator Browser von WhiteHat Security. WhiteHat bezeichnet sein Produkt als "den sichersten Browser" im Netz, die Realität aber sieht laut den Sicherheitsforschern von Google anders aus. Schuh und Google Sicherheitsexperte Tavis Ormandy haben sich den Quellcode von Aviator angesehen und sind zu dem Schluss gelangt, dass Nutzer, die Wert auf Sicherheit und Privatsphäre legen, lieber einen anderen Browser nutzen sollten. Um das zu demonstrieren, veröffentlichten die Google-Forscher eine Webseite, die Aviator abstürzen lässt.
WhiteHat hat vor kurzem den Quellcode von Aviator offen gelegt. Schuh bedankt sich dafür bei der Firma und gibt zu Protokoll, dass nur diese Tatsache eine Analyse der Sicherheit des Browsers erlaubt hätte. Allerdings habe dies gezeigt, dass der auf Googles Open-Source-Browser Chromium basierende Code dem Ursprungsprojekt mehrere Versionen hinterher hinkt.
Kosmetik steht den Sicherheitspatches im Weg
Laut Schuh verbringen die Entwickler bei WhiteHat ihre Zeit augenscheinlich hauptsächlich damit, Chrome-spezifisches Branding zu entfernen. Das geht wohl soweit, dass intern Hinweise auf Chrome aus Variablennamen und Lizenz-Headern entfernt werden – laut den Google-Forschern verlangsamt dieses Vorgehen das Einbinden von sicherheitskritischen Patches. Einen sicheren Browser zu bauen, sei nicht leicht, so Schuh. Google beschäftige dafür ein dreißigköpfiges Sicherheitsteam, das immer etwas zu tun habe.
WhiteHat-Vize Robert Hansen kontert in einem eigenen Blog-Post, die Firma habe "nie behauptet, Updates so schnell wie Google zu veröffentlichen". Eine Aussage, die mit der Werbung von Aviator, der "sicherste Browser" zu sein, kaum vereinbar scheint. Google könne sich ein größeres Team leisten, so Hansen weiter, die Firma würde schließlich 50 Milliarden US-Dollar im Jahr dadurch verdienen, die eigenen Nutzer an Werbekunden zu vermarkten. WhiteHat hingegen wolle einen Browser bauen, bei dem Sicherheit und Privatsphäre der Nutzer an erster Stelle stünden und gebe dafür sein Bestes. Dazu gehöre unter anderem, Privatsphäre-Einstellungen umzusetzen, vor denen Google zurückschrecke. (fab)