Chromes Push-Notifikationen sind ein beliebtes Mittel für Web-Entwickler, um auf Neuigkeiten oder Status-Änderungen ihrer Web-Apps hinzuweisen. Wenn etwa eine neue Nachricht eingeht, wird diese per Notifikation auf dem Display angezeigt, auch wenn die App gerade nicht verwendet wird. Diese Messages (Push und Notification) lassen sich lokal senden oder von einem Server aus steuern – unabhängig davon, ob die Webseite geöffnet ist oder nicht.
Push-Notifikationen lassen sich missbrauchen
Wie sich jetzt herausgestellt hat, lassen sich Push-Notifikationen aber auch missbrauchen. Wie BleepingComputer berichtet, werden auf Android-Smartphones gerade „Verpasster Anruf“-Notifikationen versendet, die sich als Messages von Chrome tarnen. Dabei wird sie das Browser-Logo verändert, um eigene Messages anzuzeigen (z.B. Missed Call).
Gerade das Verwenden systemeigener Apps macht diesen Angriff so wirkungsvoll. Allerdings funktionieren diese Push-Spams nur dann, wenn man die zugehörige Domain schon vorher für Notifikationen freigegeben hat.
Die URLs tarnen sich als Subdomains von Ebay oder Visa und verwenden Schlagwörter wie iPhone oder Mail. Die Webseiten sind dabei aber oft relativ gut aufgemacht und werben mit Produkt-Marketing und anderen Gratis-Angeboten.
Die Methode funktioniert auch auf dem Desktop-PC
iPhones und iPads sind momentan übrigens noch außen vor, da Apple die Push-Notifikationen bei Safari und iOs noch nicht umgesetzt hat. Es funktioniert allerdings bei Safari für den Mac und natürlich auch für Chrome auf dem Desktop.
So lassen sich Mitteilungen deaktivieren
Deaktivieren lassen sich die Push-Notifikationen bei Chrome über die Einstellungen und dann „Privatsphäre“, „Einstellungen“ und „Notifications“. Bei Safari für den Mac findet man die Option unter „Einstellungen“, „Websites“ und „Mitteilungen“ ganz unten.
Wer die Mitteilungen allerdings vollständig blockt, kann einige Webseiten vielleicht nicht mehr in vollem Umfang nutzen. Besonders moderne Web-Apps, die als Progressive Web Apps ausgelegt sind, arbeiten sehr stark mit lokalem Speicher und Mitteilungen, um das Benutzererlebnis einer richtigen App zu vermitteln.
Dazu zählen etwa die mobilen Webseiten von Starbucks, Uber oder Pinterest. In der Regel lassen sich die Mitteilungen aber auch nur für einzelne Webseiten sperren, so dass man mit wenig Aufwand nicht auf die Vorteile der Technik verzichten muss.
