Het lek in de developerversie van de browser werd ontdekt door de 15-jarige scholier Jonathan Hogervorst. Volgens hem is het mogelijk om Flash als keylogger te gebruiken. Dit probleem wordt bevestigd door Google developer 'Amanda'.

Hogervorst vond de kwetsbaarheid tijdens het spelen van een spelletje in de browser terwijl hij tegelijkertijd aan het chatten was met een klasgenoot. "Terwijl ik de tekst aan het typen was reageerde het spel nog steeds op de toetsen die ik indrukte", schrijft hij.

Focus

Volgens de scholier is de focus van flash in Chrome een probleem. In een normale situatie kan maar een object op een webpagina de focus hebben. In Chrome voor Mac houdt Flash echter altijd de focus vast. Dit stelt gebruikers in staat om er invloed op uit te oefenen en in dit geval kunnen er via Flash toetsaanslagen gelogd worden.

Dit probleem doet zich voor binnen dezelfde tab, maar ook bij verschillende tabs in de browser. Er kan bijvoorbeeld tegelijkertijd een veld van een digitaal formulier en een Flash-object gefocust zijn. Dit stelt kwaadwillenden in staat om via een Flash-hack de toetsaanslagen van de gebruiker die hij elders in dezelfde pagina of in een andere pagina invoert.

Hogervorst publiceerde een voorbeeld waarin goed te zien is hoe het probleem in de praktijk werkt (werkt dus alleen op een Mac).

Alleen binnen Chrome

Developer Amanda van Google bevestigt de aanwezigheid van het lek. "Het onderliggende probleem is dat we Flash niet vertellen wanneer het focus moet verliezen, daardoor blijft Flash het toetsenbord monitoren via GetKeys ()", schrijft ze op het Chromium developer forum.

Ze banadrukt dat het probleem van het loggen van wachtwoorden zich alleen binnen Chrome voor Mac voordoet. In andere applicaties kan wel via het flashlek informatie worden gelogd, maar is het niet mogelijk om wachtwoorden te loggen. Wel is het mogelijk om via JavaScript de focus aan te passen zodat het lek kan worden uitgebreid naar verschillende browsers. Daar is echter nog geen proof-of-concept van.

Chrome voor Mac niet gebruiken

Hogervorst heeft over het probleem gepubliceerd en het tegelijkertijd aangekaart bij Google. Hij maakte het gat wereldkundig omdat Chrome voor Mac 'waarschijnlijk alleen maar gebruikt wordt door een paar developers', en hij het erg belangrijk vindt deze groep op de hoogte te stellen, zegt hij tegen Webwereld.

Google werkt inmiddels aan een patch en probeert de browser zo snel mogelijk te updaten. Een woordvoerder van Google Nederland adviseert de browser niet te gebruiken: "Google Chrome for Mac is op dit moment niet klaar voor consumentengebruik - het is alleen bedoeld voor developers, en we raden het gebruik ervan zelfs af, tenzij je een developer bent, of van zeer instabiele software houdt."