Chrome blockiert künftig von Werbeanzeigen initiierte Downloads

Die Entwickler des Google-Browsers Chrome planen eine neue Sicherheitsfunktion. Sie soll verhindern, dass die für Werbeanzeigen vorgesehen Frames einer Website automatische Dateidownloads auslösen. Cyberkriminellen bietet sich darüber nämlich die Möglichkeit, Schadsoftware per Drive-by-Download zumindest einzuschleusen.

„Wir wollen von Anzeigen-Frames initiierte Downloads verhindern, denen eine Nutzer-Bestätigung fehlt, um unerwünschte Drive-by-Downloads zu unterbinden“, heißt es dazu in einem Status-Update für die Chrome-Plattform. „Downloads machen im Zusammenhang mit Werbung wenig Sinn. In der Praxis geschieht das sehr selten und es lässt sich auch nur schwer reproduzieren, was bedeutet, dass nur sehr wenige Anzeigen automatische Downloads auslösen.“

Ein neues Design-Dokument beschreibt zudem, was Google unter einem Anzeigen-Frame versteht: ein von Chromiums Werbeerkennungs-Infrastruktur als Anzeige markierte iFrame. Die neue Funktion richtet sich also gegen alle iFrames, von denen Google annimmt, dass es sich um online Werbeformat handelt.

Es ist bereits das zweite Mal in diesem Jahr, dass Google ein neues Feature für Chrome ankündigt, das Drive-by-Downloads unterbinden soll. Darunter werden alle Downloads zusammengefasst, die ohne Wissen und ohne Zustimmung des Nutzers – also im „Vorbeigehen“ – ausgeführt werden.

Im Januar stellte Google einen Schutz vor Drive-by-Downloads durch in einer Sandbox versteckte iFrames in Aussicht. Auch sie können für Werbung benutzt werden – aber auch von Exploit Kits, die Malware einschleusen wollen.

Die erste Schutzfunktion soll bereits mit Chrome 74 Einzug halten. Derzeit ist sie im Nightly Channel erhältlich. Einen Zeitplan für die zweite neue Sicherheitsfunktion nannte Google bisher nicht. Es ist aber zu erwarten, dass der Schutz vor Drive-By-Downloads noch in diesem Jahr erweitert wird.

Zu beachten ist, dass beide Sicherheitsvorkehrungen nur dann greifen, wenn Nutzer nicht mit den Anzeigen oder iFrames interagieren. Ohne Interaktion werden die Downloads ohne einen Hinweis an den Nutzer blockiert. Auf die Performance von Chrome sollen sich die Features nicht auswirken. Sie sollen zudem in alle Chrome-Versionen integriert werden. Einzige Ausnahme ist Chrome für iOS, da der Browser auf iPhones und iPads auf seine eigene Engine verzichten muss.