Abo
  • Services:

Clickjacking

Neue Methode zur Webcam-Spionage mit Adobes Flash Player

Ein Informatikstudent hat eine neue Methode zur Webcam-Spionage über den Flash Player gefunden. Adobe will die von Feross Aboukhadijeh entdeckte Sicherheitslücke noch in dieser Woche schließen.

Artikel veröffentlicht am ,
Feross Aboukhadijeh demonstriert Clickjacking-Angriff zur Webcam-Spionage.
Feross Aboukhadijeh demonstriert Clickjacking-Angriff zur Webcam-Spionage. (Bild: Feross Aboukhadijeh)

Feross Aboukhadijeh hat herausgefunden, dass der Adobe Flash Player weiterhin mittels Clickjacking dazu gebracht werden kann, die Webcam eines angegriffenen Computers einzuschalten. In seinem Blog verlinkt er eine selbst entwickelte Demonstrationswebsite, die in einem iFrame die Settings-SWF-Datei unsichtbar einblendet und den Besucher durch Clickjacking dazu bringt, die Kamera und das Mikrofon in den Flash-Einstellungen einzuschalten.

Stellenmarkt
  1. Software AG, Darmstadt
  2. SSA SoftSolutions GmbH, Augsburg

Allerdings verspricht der Student, den an der Sicherheitslücke interessierten Besuchern nur ihr eigenes Kamerabild zu zeigen und nichts aufzuzeichnen. Die Demo funktioniert bisher nur in Firefox und Safari auf dem Mac korrekt. Die meisten anderen Browser, darunter solche, die unter Windows und Linux laufen, sollen die Transparenz oder den Z-Index einer SWF-Datei in einem iFrame nicht verändern können. Das könnte an einem CSS-Fehler in Verbindung mit Transparenz liegen.

Die Methode ist laut Aboukhadijeh nicht neu. Adobe hatte bereits zuvor mit Framebusting-Code verhindert, dass die ganze Einstellungsseite unsichtbar in einem iFrame eingeblendet wird. Beispielsweise durch ein eigens erstelltes Flash-Spiel konnte der Nutzer vorher dazu gebracht werden, genau an die zum Einschalten der Webcam und des Mikrofons richtigen Stellen zu klicken.

  • Feross Aboukhadijeh zeigt seinen Clickjacking-Angriff zur Webcam-Spionage mittels Adobe Flash Player. (Bild: Screenshot von Golem.de)
Feross Aboukhadijeh zeigt seinen Clickjacking-Angriff zur Webcam-Spionage mittels Adobe Flash Player. (Bild: Screenshot von Golem.de)

Dass es aber noch möglich war, die SWF-Datei für die Einstellungen in einen iFrame zu laden und diese damit zu modifizieren, hat den Studenten laut eigenen Angaben überrascht. Aboukhadijeh informierte Adobe bereits, da das Unternehmen aber nicht reagierte, stellte er gestern seinen Blogeintrag zu der Sicherheitslücke online.

Adobe erklärte daraufhin CNet.com, dass das Problem bis Ende dieser Woche behoben sei und konkretisierte dann gegenüber Aboukhadijeh, dass das Flash-Team dazu an einer Lösung arbeite, die kein Flash-Player-Update erfordere.



Anzeige
Top-Angebote
  1. (u. a. Toshiba N300 4 TB für 99€ statt 122,19€ im Vergleich, Samsung C24FG73 für 239€ statt...
  2. 49,97€ (Bestpreis!)
  3. mit Gutschein: SUPERDEALS (u. a. HP Windows Mixed Reality Headset VR1000-100nn für 295,20€ statt...
  4. mit den Gutscheinen: DELL10 (für XPS13/XPS15) und DELL100 (für G3/G5)

rommudoh 21. Okt 2011

Deshalb: NoScript und Iframes generell verbieten :)

Anonymer Nutzer 20. Okt 2011

http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager02...

satriani 20. Okt 2011

... das war doch echt nicht die News wert. Das kann man auch mit JavaScript. Auch eine...


Folgen Sie uns
       


Amazons Fire HD 10 Kids Edition - Hands on

Das Fire HD 10 Kids Edition ist das neue Kinder-Tablet von Amazon. Das Tablet entspricht dem normalen Fire HD 10 und wird mit speziellen Dreingaben ergänzt. So gibt es eine Gummiummantelung, um Stürze abzufangen. Außerdem gehört der Dienst Freetime Unlimited für ein Jahr ohne Aufpreis dazu. Das Fire HD 10 Kids Edition kostet 200 Euro. Falls das Tablet innerhalb von zwei Jahren nach dem Kauf kaputtgeht, wird es ausgetauscht.

Amazons Fire HD 10 Kids Edition - Hands on Video aufrufen
Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  2. US Space Force Planlos im Weltraum
  3. Gewalt US-Präsident Trump will Gespräch mit Spielebranche

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

    •  /