Die macOS-App des Musikerkennungsdienstes lässt das Mikrofon selbst dann offen, wenn der Nutzer die Lauschfunktion abschaltet. „Vergiss die NSA, Shazam hört immer zu“, so ein Sicherheitsforscher.

Die Mac-Version von Shazam hört stets weiter zu, auch wenn die Horchfunktion zur Musikerkennung in der Menüleisten-App auf “Aus” geschaltet wurde. Dies berichtet der Sicherheitsforscher Patrick Wardle, der die Mac-App näher inspiziert hat. Er habe aber keinerlei Anzeichen dafür entdecken können, dass die App die durchgehend aufgezeichneten Audiospur in irgendeiner Form weiterverwendet, etwa um diese zu “speichern oder exfiltrieren”, betont Wardle.

Der Shazam-Support bestätigte gegenüber dem Sicherheitsforscher, dass die App sich wie geschildert verhält. Die kontinuierliche Aufzeichnung gehe darauf zurück, dass die iOS- und Mac-Version ein gemeinsames SDK verwenden – man setze dies in iOS ein, um eine schnellere Musikerfassung zu ermöglichen. Das Verhalten soll in einem zukünftigen Update ausgeräumt werden. Wann dieses erscheinen soll, bleibt unklar.

Malware könnte Audiospur klauen

Er sei “hin- und hergerissen”, ob es sich dabei wirklich um eine “große Sache” handelt, merkt Wardle an: Auf der einen Seite erfasst Shazam im Aus-Modus noch Ton über das integrierte Mikrofon des Macs, auf der anderen Seite scheinen diese Daten in keiner Weise genutzt zu werden. Allerdings sollte “Aus” auch “Aus” meinen, betont der Sicherheitsforscher, schließlich könne man “leicht eine Malware entwickeln”, die die Aufzeichnung klaut – ohne dafür selbst auf das Mikrofon zugreifen zu müssen und dadurch möglicherweise aufzufallen.

Mac-Sicherheits-Tool informiert über Mikro- und Webcam-Zugriff

Wardle bietet mehrere kostenlose Sicherheits-Tools für Mac-Nutzer an: Dazu gehört mit “OverSight” auch eine Software, die über Zugriffe auf das Mac-Mikrofon sowie die ebenfalls fest integrierte iSight-Webcam informiert. Ein Nutzer des Programms war auf das irreguläre Verhalten von Shazam aufmerksam geworden – und hatte Wardle darauf hingewiesen.

Quelle: //heise.de/-3466503