Google und WhiteHat Security streiten über Open-Source-Browser Aviator

WhiteHat Securitys Open-Source-Browser Aviator ist Gegenstand eines öffentlichen Streits um Sicherheit zwischen dem Anbieter und Google. WhiteHat bewirbt sein seit vergangenen Donnerstag für Windows und Mac verfügbares Programm als „den sichersten und privatesten Browser im Web“ und kritisiert zugleich die „großen Browser“ dafür, nicht genug zum Schutz der vertraulichen Daten der Nutzer zu tun. Sicherheitsexperten von Google deckten wenige Stunden nach dem Release jedoch eine Reihe ernsthafter Sicherheitslücken auf, die WhiteHat Securitys Versprechen widerlegen.

Aviator basiert auf dem Chromium-Code, den auch Google für seinen Browser Chrome nutzt. Die Sicherheitsexperten des Internetkonzerns entdeckten darin neben einigen anderen Bugs auch eine kritische Schwachstelle, die Angreifern Remotecodeausführung erlaubt.

In einem Blogeintrag vom 9. Januar schreibt Justin Schuh vom Google-Chrome-Security-Team: „Sie sollten WhiteHats Aviator-Browser vielleicht nicht nutzen, wenn Sie sich Gedanken um Ihre Sicherheitheit und Privatssphäre machen“. Er führte zudem aus, dass Aviators Branding und oberflächliche Veränderungen „den Nachverfolgungsprozess für Upstream-Sicherheitsfixes deutlich verkompliziere“, und der Open-Source-Browser hinsichtlich geschlossener Lücken weit hinter Chrome zurückbleibe. Er werde mit Dutzenden bekannter Schwachstellen ausgeliefert, die in Chrome bereits beseitigt wurden.

„Wären diese Branding-Änderungen sorgfältiger durchgeführt worden, wäre dies überhaupt kein Problem und Aviator könnte Upstream-Modifikationen beziehen sowie von den Sicherheitsverbesserungen des Chromium-Projekts profitieren“, so Schuh weiter. Generell versucht er in seinem Blogeintrag zu verdeutlichen, wie schwierig es ist, einen sicheren Browser anzubieten. So bestehe das Chrome-Security-Team aus 30 Mitgliedern, Chrome Privacy nochmals aus rund einem Dutzend und alle hätten gut zu tun. Außerdem listet Schuh einige Fehler im Aviator-Code auf und weist darauf hin, dass der Großteil von Aviators Verbesserungen auch mit der Erweiterung Disconnect sowie einigen Einstellungsmodifikationen in Chrome verfügbar sind.

Eine Antwort von WhiteHat Security auf Schuhs Blogeintrag ließ nicht lange auf sich warten. Darin heißt es, man habe nie behauptet, so schnell wie Google Updates zu veröffentlichen. Dies sei für eine Firma seiner Größe nahezu unmöglich – gerade im Vergleich zu einem Riesen wie Google. Zugleich räumte WhiteHat aber auch Bugs im Browser-Code ein, die gefixt werden könnten – wenn auch nicht so „elegant“ wie bei Chrome.

Darüber hinaus widersprach der Anbieter Schuhs Darstellung, dass einige Einstellungsmodifikationen und die Verwendung von Disconnect dieselbe Sicherheit bieten würde wie Aviator. Man habe im Gegenteil Änderungen „jenseits der Konfiguration“ vorgenommen. „Im Kern geht es bei all dem darum, dass wir versucht haben, einen Browser zu schaffen, der standardmäßig Sicherheits- und Privatssphäre-Einstellungen bietet. Wir glauben, dass wir sehr gute Fortschritte in dieser Hinsicht gemacht haben. Wenn uns Fehler rund um diese Einstellungen bekannt wurden, haben wir aktiv Veränderungen vorgenommen – etwas, das Google nicht bereit war zu tun.“

Schuh wiederum reagierte auf WhiteHat Securitys Blogbeitrag, indem er kommentierte: „Selbst wenn sie alle hinzugefügten Schwachstellen beseitigt haben, sehe ich keine Möglichkeit, wie sie dies jemals auf dem aktuellen Stand halten wollen gegenüber bekannten Lücken, die in der stabilen Chrome-Version bereits geschlossen wurden.“ Ferner kritisierte Schuh WhiteHat Securitys Aussage, dass Aviator der sicherste Browser sei, und das Unternehmen keine Verantwortung dafür übernehme, solche „ausschweifenden und unangemessenen Versprechungen“ zu machen. Das Verhalten von WhiteHat Security „ist genau die Art von Dingen, die Open Source in ein schlechtes Licht rücken“, so sein Fazit.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago