Claude soll die Browser-Zugriffsschnittstelle für mehrere Chromium-basierte Browser hinzufügen

Ein kürzlich durchgeführter technischer Audit von Datenschutzforscher Alexander Hanff hat aufgedeckt, dass die Claude Desktop-Anwendung von Anthropic für macOS ohne Benachrichtigung einen Native Messaging Bridge in die V Ein kürzlich durchgeführter technischer Audit von Datenschutzforscher Alexander Hanff hat aufgedeckt, dass die Claude Desktop-Anwendung von Anthropic für macOS ohne Benachrichtigung einen Native Messaging Bridge in die Verzeichnisse mehrerer Chromium-basierter Browser installiert.

Dieses nicht dokumentierte Verhalten geschieht ohne Zustimmung des Benutzers und wirft erhebliche Bedenken hinsichtlich des Datenschutzes und der Sicherheit in der Cybersicherheits-Community auf.

Wenn ein Benutzer Claude Desktop (Claude.app) installiert, platziert die Anwendung automatisch eine Native Messaging Manifest-Datei mit dem Namen com.anthropic.claude_browser_extension.json in die App-Support-Ordner von bis zu sieben Chromium-basierten Browsern, darunter Chrome, Brave, Edge, Arc, Vivaldi und Opera.

Damit eine Browser-Erweiterung mit einer lokalen Desktop-Anwendung kommunizieren kann, benötigt sie einen Native Messaging Host. Diese Brücke arbeitet außerhalb des sicheren Sandkastens des Browsers und läuft mit denselben Berechtigungen wie der Benutzer.

Die Manifestdatei preautorisiert drei spezifische Chrome-Erweiterungs-IDs, um das im Claude Desktop App-Bundle befindliche Hilfs-Binary (chrome-native-host) auszulösen.

Alarmierend ist, dass diese Installation automatisch erfolgt, selbst wenn der Benutzer die Claude-Browser-Erweiterung nie installiert hat und sogar in Verzeichnisse für Browser, die nicht auf der Maschine installiert sind.