Adobe beseitigt Webcam-Spionage-Lücke in Flash
Eine Clickjacking-Lücke hat es Angreifern erlaubt, Webseitenbesucher unbemerkt mittels Mikrofon und Webcam auszuspionieren. Adobe hat das Problem nur zwei Tage nach Bekanntwerden geschlossen.
- Ronald Eikenberg
Adobe hat eine Clickjacking-Lücke in Adobe Flash geschlossen, durch die Angreifer ihre Opfer unbemerkt mittels Kamera und Mikrofon ausspionieren konnten. Entdeckt hat die Lücke der Stanford-Student Feross Aboukhadijeh, der die Details zu seinem Fund am vergangenen Dienstag in seinem Blog veröffentlicht hat.
Standardmäßig sind Kamera und Mikrofon deaktiviert und lassen sich normalerweise nur vom Anwender aktivieren. Damit der Anwender Webcam und Mikro aktiviert, präsentiert der Angreifer auf einer präparierten Webseite ein einfaches Klick-Spiel, das den Besucher dazu auffordert, mit der Maus auf eine Reihe von Buttons zu klicken. Im Hintergrund leitet die Webseite auf das Einstellungsmenü von Adobe Flash um, das in ein unsichtbares iFrame geladen wurde. Dadurch räumt der Besucher der Webseite nach und nach das Recht ein, die Video- und Audioeingabegeräte anzuzapfen.
Dieses Angriffsszenario wurde bereits im Jahr 2008 erstmals präsentiert. Adobe hat das Problem damals durch die Anpassung der Einstellungsseite behoben; ein paar Zeilen JavaScript verhindern seitdem, dass die Seite in ein iFrame geladen wird (Framebusting). Ein Detail hat der Hersteller dabei aber übersehen: Flash-Dateien (.swf) kann man auch direkt als iFrame einbetten – die ursprüngliche Webseite wird dabei nicht geladen, der Framebusting-Code kommt nicht zum Tragen.
Adobe hat das Problem nun durch ein Update der beim Hersteller gehosteten Flash-Datei behoben. Eine Aktualisierung des Flash-Players ist nicht nötig. (rei)
