Test

Wie sicher ist Google Chrome?

13.02.2009
Von 
Roger Grimes ist freier Redakteur unserer US-Schwesterpublikation CSO Online.

Chrome übesteht Malware-Test

Trotz aller Kritik an Googles Chrome gibt es abschließend noch etwas Versöhnliche. Sämtliche Testroutinen, in deren Verlauf Chrome mit der automatisierten Installation von Malware bombardiert wurde, passierte der Browser ohne Probleme. Die Tests umfassen definierte Abläufe, die verschiedene Sicherheitsaspekte durchleuchten (darunter scanit und Jasons Toolbox). Mit einem Anteil von weniger als zwei Prozent im Browser-Markt ist Chrome allerdings auch kein bevorzugtes Ziel der Hacker. Das bietet den Anwender mehr Schutz als die ungleich beliebteren Konkurrenten Firefox und Internet Explorer.

Eine Schlüsselfunktion des Chrome zeigte im Test jedoch nicht die versprochene Funktion. Google hat wiederholt betont, isolierte Rendering-Prozesse würden dafür sorgen, dass eine fehlerhafte Browser-Sitzung nicht weitere Prozesse oder den gesamten Browser beeinträchtigt. In der Praxis hat sich jedoch gezeigt, dass die beschriebene Trennung der Prozesse lückenhaft ist. Schadhafte Web-Seiten aller Couleur haben DoS-Probleme (Denial of Service), eingefrorene Browser und komplette Systemabstürze verursacht. Vielfach mussten Nutzer nicht einmal gefährliche Seiten ansteuern, um den Browser zum Erliegen zu bringen.

Schwachstellen im Chrome-Code

Abseits der systembedingten Probleme ist Googles sorgloser Umgang mit Schwachstellen bedenklich. Die ersten Lücken stellten sich als einfache und bekannte Exploits heraus. Google brachte eine Beta-Version mit Schwächen in der WebKit-Engine heraus, für die es bereits Monate zuvor einen Patch gab. Obwohl die Version ausdrücklich als Beta-Ausführung herausgebracht wurde, war sie kein Ruhmesblatt für Google: Die Buffer-Overflow-Attacken, die alsbald erkannt wurden, entpuppten sich als einfacher String-Overflow, den man mit einem normalen Code-Testing hätte erkennen können. Viele andere Schwachstellen wurden bereits in anderen Browsern behoben und hätten sich nicht in Googles Entwicklung einschleichen müssen.

Fazit: Gute Ideen, Schwächen in der Implementierung

Chrome beherbergt ein Security-Paradoxon: Der Browser greift eine wunderbare Idee auf, gründet auf einem ausgesprochen bemerkenswerten Sicherheitsmodell und macht all die guten, ersten Eindrücke mit einer fragwürdigen Entscheidung im Umgang mit JavaScript, einem Mangel an genauer Kontrolle und einem ganz offensichtlichen versäumten Code-Reviewing zunichte. Zwar ist Chrome Googles erster Versuch im Browser-Geschäft, doch das Unternehmen sitzt mit seiner Suchmaschine an der zentralen Schaltstelle zum Netz und dürfte einen größeren Erfahrungsschatz im Browser-Betrieb und im Umgang mit schädlichen Inhalten haben als jeder andere Anbieter.

Chromes hervorragendes Security-Model und eine nicht durch Altlasten belastete Softwareentwicklung räumen Google schnelle Verbesserungsmöglichkeiten ein. In Bereichen, in die sich Wettbewerber vorsichtig vortasten, weil sie Rückwartskompatibilität gewährleisten müssen, kann Google schnellen Schrittes vorwärts kommen. Eine Hindernis bleibt: Viele der Schwachstellen sind tief verankert und lassen sich nicht durch einfache Patches beheben. Sie sind systematisch und organisatorisch bedingt. Google benötigt einen Paradigmenwechsel. (jha)

So wurde getestet

  • Neben einem Labortests wurde der Browser einigen Sicherheitstests unterzogen, darunter Scanit und Jason´s Toolbox.

  • Zudem untersuchte Infoworld-Autor Roger Grimes, wie der Browser auf rund 100 Malware-verseuchte Websites reagierte.

  • Die Passwort-Verwaltung der Browser testete "Infoworld"-Autor Roger Grimes mit Hilfe des Password Manager Evaluator.