Clickjacking

Neue Methode zur Webcam-Spionage mit Adobes Flash Player

Ein Informatikstudent hat eine neue Methode zur Webcam-Spionage über den Flash Player gefunden. Adobe will die von Feross Aboukhadijeh entdeckte Sicherheitslücke noch in dieser Woche schließen.

Artikel veröffentlicht am ,
Feross Aboukhadijeh demonstriert Clickjacking-Angriff zur Webcam-Spionage.
Feross Aboukhadijeh demonstriert Clickjacking-Angriff zur Webcam-Spionage. (Bild: Feross Aboukhadijeh)

Feross Aboukhadijeh hat herausgefunden, dass der Adobe Flash Player weiterhin mittels Clickjacking dazu gebracht werden kann, die Webcam eines angegriffenen Computers einzuschalten. In seinem Blog verlinkt er eine selbst entwickelte Demonstrationswebsite, die in einem iFrame die Settings-SWF-Datei unsichtbar einblendet und den Besucher durch Clickjacking dazu bringt, die Kamera und das Mikrofon in den Flash-Einstellungen einzuschalten.

Stellenmarkt
  1. System-Administrator/in (m/w/d)
    Landwirtschaftskammer Nordrhein-Westfalen, Münster
  2. Sachbearbeitung (m/w/d) im Referat 8506 "Dienstleistungszentren Ländlicher Raum, Berufsbildung und Beratung Agrar- und Hauswirtschaft"
    Ministerium für Wirtschaft, Verkehr, Landwirtschaft und Weinbau, Mainz
Detailsuche

Allerdings verspricht der Student, den an der Sicherheitslücke interessierten Besuchern nur ihr eigenes Kamerabild zu zeigen und nichts aufzuzeichnen. Die Demo funktioniert bisher nur in Firefox und Safari auf dem Mac korrekt. Die meisten anderen Browser, darunter solche, die unter Windows und Linux laufen, sollen die Transparenz oder den Z-Index einer SWF-Datei in einem iFrame nicht verändern können. Das könnte an einem CSS-Fehler in Verbindung mit Transparenz liegen.

Die Methode ist laut Aboukhadijeh nicht neu. Adobe hatte bereits zuvor mit Framebusting-Code verhindert, dass die ganze Einstellungsseite unsichtbar in einem iFrame eingeblendet wird. Beispielsweise durch ein eigens erstelltes Flash-Spiel konnte der Nutzer vorher dazu gebracht werden, genau an die zum Einschalten der Webcam und des Mikrofons richtigen Stellen zu klicken.

  • Feross Aboukhadijeh zeigt seinen Clickjacking-Angriff zur Webcam-Spionage mittels Adobe Flash Player. (Bild: Screenshot von Golem.de)
Feross Aboukhadijeh zeigt seinen Clickjacking-Angriff zur Webcam-Spionage mittels Adobe Flash Player. (Bild: Screenshot von Golem.de)

Dass es aber noch möglich war, die SWF-Datei für die Einstellungen in einen iFrame zu laden und diese damit zu modifizieren, hat den Studenten laut eigenen Angaben überrascht. Aboukhadijeh informierte Adobe bereits, da das Unternehmen aber nicht reagierte, stellte er gestern seinen Blogeintrag zu der Sicherheitslücke online.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

Adobe erklärte daraufhin CNet.com, dass das Problem bis Ende dieser Woche behoben sei und konkretisierte dann gegenüber Aboukhadijeh, dass das Flash-Team dazu an einer Lösung arbeite, die kein Flash-Player-Update erfordere.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
NUC11 Extreme (Beast Canyon) im Test
Intels Mini-PC ist ein Biest

Hohe Performance bei acht Litern Volumen: Der Beast Canyon macht seinem Namen alle Ehre, allerdings brüllt das NUC-System entsprechend.
Ein Test von Marc Sauter

NUC11 Extreme (Beast Canyon) im Test: Intels Mini-PC ist ein Biest
Artikel
  1. Verschlüsselung: Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen
    Verschlüsselung
    Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen

    Eine mit Bitlocker verschlüsselte SSD mit TPM-Schutz lässt sich relativ einfach knacken. Ein Passwort schützt, ist aber nicht der Standard.

  2. Autovermietung: VW will Europcar zur Mobilitätsplattform umbauen
    Autovermietung
    VW will Europcar zur Mobilitätsplattform umbauen

    Mit der Übernahme der Autovermietung Europcar durch denn Volkswagen Konzern, könnte das Angebot in eigene Dienste integriert werden.

  3. Microsoft Office: BGP-Fehler macht zahlreichen Telekom-Kunden Probleme
    Microsoft Office  
    BGP-Fehler macht zahlreichen Telekom-Kunden Probleme

    Zahlreiche Telekom-Kunden hatten am Morgen Probleme, sich etwa mit Microsofts Online-Diensten zu verbinden. Grund ist wohl ein BGP-Fehler.

rommudoh 21. Okt 2011

Deshalb: NoScript und Iframes generell verbieten :)

Anonymer Nutzer 20. Okt 2011

http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager02...

satriani 20. Okt 2011

... das war doch echt nicht die News wert. Das kann man auch mit JavaScript. Auch eine...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 jetzt bestellbar • EA-Spiele (PC) günstiger (u. a. Battlefield 5 5,99€) • Asus TUF Gaming 23,8" FHD 144Hz 169€ • Acer-Chromebooks zu Bestpreisen • Philips 65" Ambilight 679€ • Bosch Professional günstiger [Werbung]
    •  /