Überwachung via Chromium: Wie Angreifer Bildschirmaktivitäten unbemerkt aufzeichnen können

24. Juni 2025

Ein neuer Blogbeitrag beleuchtet, wie sich ein bestimmtes Befehlszeilen-Flag in Chromium-basierten Browsern dazu missbrauchen lässt, um die Bildschirmaktivitäten eines Nutzers heimlich zu überwachen. Der Sicherheitsforscher mr.d0x hat mehrere Methoden vorgestellt, bei denen solche Flags genutzt werden, um Browser wie Google Chrome, Microsoft Edge, Brave oder Opera in verdeckte Überwachungswerkzeuge zu verwandeln.

Konkret kann ein Angreifer, der bereits Zugriff auf ein System hat, mithilfe eines einfachen PowerShell-Skripts einen Chromium-Browser im sogenannten Headless-Modus oder in einem winzigen, außerhalb des sichtbaren Bereichs platzierten Fenster starten. Das Browserfenster bleibt für den Nutzer somit unsichtbar. Kombiniert mit weiteren Befehlszeilenparametern lässt sich der Browser so manipulieren, dass er kontinuierlich Screenshots des Bildschirms aufnimmt und diese an einen entfernten Server überträgt.

Der Blogautor beschäftigt sich bereits seit Längerem mit den verschiedenen Kommandozeilenoptionen von Chromium und zeigt in seinem Beitrag mehrere potenziell missbrauchbare Szenarien auf – darunter der Einsatz des Kiosk-Modus, verschiedene Download-Methoden sowie die Nutzung von MSEdge.exe zur unauffälligen Proxy-Kommunikation.

Die vorgestellte Methode unterstreicht einmal mehr, wie wichtig es ist, Systeme gegen unautorisierten Zugriff zu schützen und verdächtige Prozesse regelmäßig zu überprüfen – insbesondere, wenn scheinbar harmlose Anwendungen wie Webbrowser für Spionagezwecke umfunktioniert werden können.

Bildschirmfreigabe

Browser verfügen über eine integrierte Funktion zur Bildschirmfreigabe, die die meisten von uns wahrscheinlich schon einmal verwendet haben. Eine Webseite kann die API „getDisplayMedia“ verwenden, um den Benutzer aufzufordern, Zugriff auf einen Bildschirm, ein Fenster oder einen bestimmten Tab zur Freigabe zu gewähren. Daraufhin wird eine Aufforderung angezeigt, in der Sie aufgefordert werden, den Bildschirm, das Fenster oder den Tab auszuwählen, der freigegeben werden soll.

Damit die Methode getDisplayMedia funktioniert und den Benutzer zur Auswahl auffordert, muss sie als Reaktion auf eine Benutzeraktion (z. B. einen Mausklick oder einen Tastendruck) aufgerufen werden, da sonst ein Fehler auftritt.

Indem der Benutzer zunächst mit der Website interagieren und dann explizit auswählen muss, was er freigeben möchte, stellt der Browser sicher, dass die Benutzer die Freigabe ihres Bildschirms beabsichtigen, und verhindert, dass Websites sie dazu verleiten, dies unwissentlich zu tun.

Der unsichtbare Browser würde zu einer speziell gestalteten Webseite mit bösartigem JavaScript gelangen, die dann Screenshots machen, Video- und Audioaufnahmen aufzeichnen und die Daten exfiltrieren könnte.

Die „Bildschirmfreigabe“-Technik missbraucht die in Chromium integrierte Funktion zur Freigabe von Bildschirmen. Hacker können den Befehlszeilenparameter „–auto-select-desktop-capture-source=Entire“ verwenden und einen unsichtbaren Browser starten, in dem der gesamte Bildschirm für die Freigabe ausgewählt ist.

„Wenn der Benutzer über mehr als einen Bildschirm verfügt, müssen Sie ‚Bildschirm 1‘, ‚Bildschirm 2‘, ‚Bildschirm 3‘ usw. angeben“, so der Forscher.

JavaScript verfügt über eine Funktion zum Erstellen von Screenshots (captureScreenshot), die von der bösartigen Website alle paar Sekunden wiederverwendet werden kann. Der Forscher lieferte ein Beispiel, bei dem alle 3 Sekunden Screenshots erstellt, in Base64 kodiert und auf einen Remote-Server hochgeladen werden.

„Ich finde diese Methode aufgrund ihrer Einfachheit und der Tatsache, dass der Code, der die Spionageaktivitäten ausführt, remote gehostet wird, wirklich gut. Angreifer können diese Technik in der Post-Exploitation-Phase einsetzen, um die Aktivitäten eines Benutzers auszuspionieren“, schreibt mr.d0x.

Missbrauch eines Chromium-Flags: Kamera und Mikrofon ohne Zustimmung aktivieren

Ein weiterer Befehlszeilenparameter, „–auto-accept-camera-and-microphone-capture“, kann auf ähnliche Weise missbraucht werden, um automatisch die Kamera und das Mikrofon des Benutzers zu aktivieren – ohne jede Interaktion durch den Nutzer.

Wie Sicherheitsforscher berichtet, kann ein Angreifer mit einem entsprechenden PowerShell-Skript ein verstecktes Browserfenster öffnen und darüber eine präparierte Website laden. Diese ruft per JavaScript die Kamera und das Mikrofon auf, um heimlich Schnappschüsse zu machen und Audioaufnahmen aufzuzeichnen. Die gesammelten Daten werden anschließend auf einen externen Server übertragen, der unter Kontrolle des Angreifers steht.

Besonders perfide: Die Nutzer erhalten keine Warnmeldung oder Nachfrage zur Freigabe der Geräte. Lediglich das Aktivieren des Kameralichts könnte in einigen Fällen auf die Spionage hinweisen. Laut den Forschern können solche Skripte sowohl von Angreifern mit Systemzugriff als auch im Rahmen von Social-Engineering-Attacken ausgeführt werden – etwa über gefälschte CAPTCHA-Prüfungen, die den Nutzer zur Ausführung eines Skripts verleiten.

Da die eingesetzten Komponenten – etwa Browser und PowerShell – völlig legitime Systemtools sind, umgehen solche Angriffe viele herkömmliche Sicherheitsmechanismen. Der Sicherheitsexperte empfiehlt daher, dass IT-Administratoren gezielt prüfen, ob in ihrem Netzwerk Chromium-Browser mit ungewöhnlichen Befehlszeilenflags gestartet werden – insbesondere mit solchen, die reguläre Nutzer im Normalfall nicht verwenden würden.

Quelle: mr.d0x -screensharing

Quelle: mr.d0x – camera and microphone

---

Bild/Quelle: https://depositphotos.com/de/home.html

---