Flash-Lücke ermöglichte Spionage via Webcam

Logo, Flash, Adobe Bildquelle: Adobe
Eine Schwachstelle in Adobes allgegenwärtigem Flash-Player erlaubte jüngst Website-Betreibern nach Angaben eines Sicherheitsexperten, die Webcam und das Mikrofon der Computer von Internet-Nutzern ohne deren Wissen anzuzapfen. Damit dies funktionierte, musste der Anwender lediglich eine speziell präparierte Website besuchen und bestimmte Schaltflächen anklicken. Ohne eine weitere Warnung wurden dadurch die Webcam und das Mikrofon aktiviert, so dass ein Angreifer die entsprechenden Streams mitschneiden konnte.

Im Jahr 2008 war bereits eine ähnliche Clickjacking-Lücke im Flash-Player aufgetreten. Adobe hat nach eigenen Angaben bereits einen entsprechenden Fix für die Schwachstelle entwickelt und seine Systeme bereits aktualisiert. Die Lücke geht auf Fehler im Einstellungs-Manager des Flash-Players zurück.

Das Menü, über das der Anwender festlegen kann, welche Sites die Webcam und das Mikrofon als Quellen nutzen können, wird im von Flash selbst verwendeten SWF-Format bereitgestellt. Der Student Feross Aboukhadijeh von der Stanford-Universität fand heraus, dass sich die SWF-Datei in einem unsichtbaren iFrame hinter entsprechend präparierten Grafiken verstecken ließ. Der Anwender würde bei diesem Ansatz ohne sein Wissen die Privatsphäreneinstellungen des Flash-Players ändern, während er glaubt einfach nur eine Schaltfläche auf der Website zu bedienen.

Der Settings-Manager des Adobe Flash Player wird auf den Servern des Unternehmens gehostet. Die Entwickler von Adobe waren deshalb in der Lage, die Schwachstelle ohne ein Update der auf den Rechnern der Nutzer installierten Software zu schließen, so Firmensprecherin Wiebke Lips in einer Stellungnahme. Die Fehlerbehebung erfolgte bereits gestern am frühen Nachmittag, zwei Tage nachdem Aboukhadijeh seine Erkenntnisse über sein Weblog veröffentlichte.

Der Student nutzte für seinen Exploit den "Transparent-Mode" des Flash-Players, bei dem bis gestern wichtige Einstellungen auch dann vorgenommen werden konnten, wenn das Einstellungsmenü versteckt angezeigt wurde. Aboukhadijeh zufolge funktionierte der Angriff nur bei Apple Mac-Systemen in Verbindung mit den Browsern Safari und Firefox. Ein CSS-Bug sorgte dafür, dass der Fehler nicht bei anderen Betriebssystemen und Browsern ausgenutzt werden konnte. Durch weitere Nachforschungen hätte allerdings die Gefahr bestanden, die Methode universeller einsetzbar zu machen.

Der Student hatte die Informationen zu der Lücke erst veröffentlicht, nachdem er Adobe informiert, aber einige Wochen lang keine Antwort des Softwareherstellers erhalten hatte. Logo, Flash, Adobe Logo, Flash, Adobe Adobe
Diese Nachricht empfehlen
Kommentieren30
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 11:45 Uhr AUKEY Externer Akku 12000mAh, 2A Eingang und 3.4A Dual Ausgängen, für iPhone, iPad, Samsung, Nexus,Tablets und andere 5V Eingang USB ladende Geräte, mit einem 20cm Micro USB Ladekabel
AUKEY Externer Akku 12000mAh, 2A Eingang und 3.4A Dual Ausgängen, für iPhone, iPad, Samsung, Nexus,Tablets und andere 5V Eingang USB ladende Geräte, mit einem 20cm Micro USB Ladekabel
Original Amazon-Preis
18,98
Im Preisvergleich ab
?
Blitzangebot-Preis
14,99
Ersparnis zu Amazon 21% oder 3,99
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden