Abo
  • Services:
Anzeige
Feross Aboukhadijeh demonstriert Clickjacking-Angriff zur Webcam-Spionage.
Feross Aboukhadijeh demonstriert Clickjacking-Angriff zur Webcam-Spionage. (Bild: Feross Aboukhadijeh)

Clickjacking

Neue Methode zur Webcam-Spionage mit Adobes Flash Player

Feross Aboukhadijeh demonstriert Clickjacking-Angriff zur Webcam-Spionage.
Feross Aboukhadijeh demonstriert Clickjacking-Angriff zur Webcam-Spionage. (Bild: Feross Aboukhadijeh)

Ein Informatikstudent hat eine neue Methode zur Webcam-Spionage über den Flash Player gefunden. Adobe will die von Feross Aboukhadijeh entdeckte Sicherheitslücke noch in dieser Woche schließen.

Feross Aboukhadijeh hat herausgefunden, dass der Adobe Flash Player weiterhin mittels Clickjacking dazu gebracht werden kann, die Webcam eines angegriffenen Computers einzuschalten. In seinem Blog verlinkt er eine selbst entwickelte Demonstrationswebsite, die in einem iFrame die Settings-SWF-Datei unsichtbar einblendet und den Besucher durch Clickjacking dazu bringt, die Kamera und das Mikrofon in den Flash-Einstellungen einzuschalten.

Anzeige

Allerdings verspricht der Student, den an der Sicherheitslücke interessierten Besuchern nur ihr eigenes Kamerabild zu zeigen und nichts aufzuzeichnen. Die Demo funktioniert bisher nur in Firefox und Safari auf dem Mac korrekt. Die meisten anderen Browser, darunter solche, die unter Windows und Linux laufen, sollen die Transparenz oder den Z-Index einer SWF-Datei in einem iFrame nicht verändern können. Das könnte an einem CSS-Fehler in Verbindung mit Transparenz liegen.

Die Methode ist laut Aboukhadijeh nicht neu. Adobe hatte bereits zuvor mit Framebusting-Code verhindert, dass die ganze Einstellungsseite unsichtbar in einem iFrame eingeblendet wird. Beispielsweise durch ein eigens erstelltes Flash-Spiel konnte der Nutzer vorher dazu gebracht werden, genau an die zum Einschalten der Webcam und des Mikrofons richtigen Stellen zu klicken.

  • Feross Aboukhadijeh zeigt seinen Clickjacking-Angriff zur Webcam-Spionage mittels Adobe Flash Player. (Bild: Screenshot von Golem.de)
Feross Aboukhadijeh zeigt seinen Clickjacking-Angriff zur Webcam-Spionage mittels Adobe Flash Player. (Bild: Screenshot von Golem.de)

Dass es aber noch möglich war, die SWF-Datei für die Einstellungen in einen iFrame zu laden und diese damit zu modifizieren, hat den Studenten laut eigenen Angaben überrascht. Aboukhadijeh informierte Adobe bereits, da das Unternehmen aber nicht reagierte, stellte er gestern seinen Blogeintrag zu der Sicherheitslücke online.

Adobe erklärte daraufhin CNet.com, dass das Problem bis Ende dieser Woche behoben sei und konkretisierte dann gegenüber Aboukhadijeh, dass das Flash-Team dazu an einer Lösung arbeite, die kein Flash-Player-Update erfordere.


eye home zur Startseite
rommudoh 21. Okt 2011

Deshalb: NoScript und Iframes generell verbieten :)

Anonymer Nutzer 20. Okt 2011

http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager02...

satriani 20. Okt 2011

... das war doch echt nicht die News wert. Das kann man auch mit JavaScript. Auch eine...



Anzeige

Stellenmarkt
  1. Endress+Hauser Conducta GmbH+Co. KG, Gerlingen
  2. Daimler AG, Böblingen
  3. über Nash Direct GmbH, Ulm
  4. DENX Software Engineering GmbH, Gröbenzell bei München oder Happurg bei Nürnberg


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Electronic Arts

    Hunde, Katzen und Weltraumschlachten

  2. Microsoft

    Age of Empires 4 angekündigt

  3. Google

    Android 8.0 heißt Oreo

  4. KI

    Musk und andere fordern Verbot von autonomen Kampfrobotern

  5. Playerunknown's Battlegrounds

    Bluehole über Camper, das Wetter und die schussfeste Pfanne

  6. Vega 64 Strix ausprobiert

    Asus' Radeon macht fast alles besser

  7. Online-Tracking

    Händler können Bitcoin-Anonymität zerstören

  8. ANS-Coding

    Google will Patent auf freies Kodierverfahren

  9. Apple

    Aufregung um iPhone-Passcode-Entsperrbox

  10. Coffee Lake

    Intels 6C-Prozessoren erfordern neue Boards



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Anschlag in Charlottesville: Nazis raus - aber nur aus PR-Gründen
Nach Anschlag in Charlottesville
Nazis raus - aber nur aus PR-Gründen
  1. Bundesinnenministerium Neues Online-Bürgerportal kostet 500 Millionen Euro
  2. EU-Transparenz EuGH bekräftigt nachträglichen Zugang zu Gerichtsakten
  3. Rücknahmepflicht Elektronikschrott wird kaum zurückgegeben

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  2. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  3. Workstation AMD bringt Radeon Pro WX 9100

Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

  1. Re: Bauernfängerei

    Ext3h | 07:20

  2. Das Veröffentlichungsdatum von Age of Empires 1...

    Maxz | 07:15

  3. Re: Icon mit Zahl

    NaruHina | 07:15

  4. Re: Sieht ja chic aus

    DetlevCM | 07:08

  5. Re: Früher war alles besser

    foho | 06:56


  1. 07:23

  2. 07:06

  3. 20:53

  4. 18:40

  5. 18:25

  6. 17:52

  7. 17:30

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel