Google und WhiteHat Security streiten über Open-Source-Browser Aviator

WhiteHat Securitys Open-Source-Browser Aviator ist Gegenstand eines öffentlichen Streits um Sicherheit zwischen dem Anbieter und Google. WhiteHat bewirbt sein seit vergangenen Donnerstag für Windows und Mac verfügbares Programm als „den sichersten und privatesten Browser im Web“ und kritisiert zugleich die „großen Browser“ dafür, nicht genug zum Schutz der vertraulichen Daten der Nutzer zu tun. Sicherheitsexperten von Google deckten wenige Stunden nach dem Release jedoch eine Reihe ernsthafter Sicherheitslücken auf, die WhiteHat Securitys Versprechen widerlegen.

Aviator basiert auf dem Chromium-Code, den auch Google für seinen Browser Chrome nutzt. Die Sicherheitsexperten des Internetkonzerns entdeckten darin neben einigen anderen Bugs auch eine kritische Schwachstelle, die Angreifern Remotecodeausführung erlaubt.

In einem Blogeintrag vom 9. Januar schreibt Justin Schuh vom Google-Chrome-Security-Team: „Sie sollten WhiteHats Aviator-Browser vielleicht nicht nutzen, wenn Sie sich Gedanken um Ihre Sicherheitheit und Privatssphäre machen“. Er führte zudem aus, dass Aviators Branding und oberflächliche Veränderungen „den Nachverfolgungsprozess für Upstream-Sicherheitsfixes deutlich verkompliziere“, und der Open-Source-Browser hinsichtlich geschlossener Lücken weit hinter Chrome zurückbleibe. Er werde mit Dutzenden bekannter Schwachstellen ausgeliefert, die in Chrome bereits beseitigt wurden.

„Wären diese Branding-Änderungen sorgfältiger durchgeführt worden, wäre dies überhaupt kein Problem und Aviator könnte Upstream-Modifikationen beziehen sowie von den Sicherheitsverbesserungen des Chromium-Projekts profitieren“, so Schuh weiter. Generell versucht er in seinem Blogeintrag zu verdeutlichen, wie schwierig es ist, einen sicheren Browser anzubieten. So bestehe das Chrome-Security-Team aus 30 Mitgliedern, Chrome Privacy nochmals aus rund einem Dutzend und alle hätten gut zu tun. Außerdem listet Schuh einige Fehler im Aviator-Code auf und weist darauf hin, dass der Großteil von Aviators Verbesserungen auch mit der Erweiterung Disconnect sowie einigen Einstellungsmodifikationen in Chrome verfügbar sind.

Eine Antwort von WhiteHat Security auf Schuhs Blogeintrag ließ nicht lange auf sich warten. Darin heißt es, man habe nie behauptet, so schnell wie Google Updates zu veröffentlichen. Dies sei für eine Firma seiner Größe nahezu unmöglich – gerade im Vergleich zu einem Riesen wie Google. Zugleich räumte WhiteHat aber auch Bugs im Browser-Code ein, die gefixt werden könnten – wenn auch nicht so „elegant“ wie bei Chrome.

Darüber hinaus widersprach der Anbieter Schuhs Darstellung, dass einige Einstellungsmodifikationen und die Verwendung von Disconnect dieselbe Sicherheit bieten würde wie Aviator. Man habe im Gegenteil Änderungen „jenseits der Konfiguration“ vorgenommen. „Im Kern geht es bei all dem darum, dass wir versucht haben, einen Browser zu schaffen, der standardmäßig Sicherheits- und Privatssphäre-Einstellungen bietet. Wir glauben, dass wir sehr gute Fortschritte in dieser Hinsicht gemacht haben. Wenn uns Fehler rund um diese Einstellungen bekannt wurden, haben wir aktiv Veränderungen vorgenommen – etwas, das Google nicht bereit war zu tun.“

Schuh wiederum reagierte auf WhiteHat Securitys Blogbeitrag, indem er kommentierte: „Selbst wenn sie alle hinzugefügten Schwachstellen beseitigt haben, sehe ich keine Möglichkeit, wie sie dies jemals auf dem aktuellen Stand halten wollen gegenüber bekannten Lücken, die in der stabilen Chrome-Version bereits geschlossen wurden.“ Ferner kritisierte Schuh WhiteHat Securitys Aussage, dass Aviator der sicherste Browser sei, und das Unternehmen keine Verantwortung dafür übernehme, solche „ausschweifenden und unangemessenen Versprechungen“ zu machen. Das Verhalten von WhiteHat Security „ist genau die Art von Dingen, die Open Source in ein schlechtes Licht rücken“, so sein Fazit.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.