Neue Methode zur Webcam-Spionage mit Adobes Flash Player

Feross Aboukhadijeh hat herausgefunden, dass der Adobe Flash Player weiterhin mittels Clickjacking dazu gebracht werden kann, die Webcam eines angegriffenen Computers einzuschalten. In seinem Blog verlinkt er eine selbst entwickelte Demonstrationswebsite, die in einem iFrame die Settings-SWF-Datei unsichtbar einblendet und den Besucher durch Clickjacking dazu bringt, die Kamera und das Mikrofon in den Flash-Einstellungen einzuschalten.

Allerdings verspricht der Student, den an der Sicherheitslücke interessierten Besuchern nur ihr eigenes Kamerabild zu zeigen und nichts aufzuzeichnen. Die Demo funktioniert bisher nur in Firefox und Safari auf dem Mac korrekt. Die meisten anderen Browser, darunter solche, die unter Windows und Linux laufen, sollen die Transparenz oder den Z-Index einer SWF-Datei in einem iFrame nicht verändern können. Das könnte an einem CSS-Fehler in Verbindung mit Transparenz liegen.

Die Methode ist laut Aboukhadijeh nicht neu. Adobe hatte bereits zuvor mit Framebusting-Code verhindert, dass die ganze Einstellungsseite unsichtbar in einem iFrame eingeblendet wird. Beispielsweise durch ein eigens erstelltes Flash-Spiel konnte der Nutzer vorher dazu gebracht werden, genau an die zum Einschalten der Webcam und des Mikrofons richtigen Stellen zu klicken.

• 

Feross Aboukhadijeh zeigt seinen Clickjacking-Angriff zur Webcam-Spionage mittels Adobe Flash Player. (Bild: Screenshot von Golem.de)

Dass es aber noch möglich war, die SWF-Datei für die Einstellungen in einen iFrame zu laden und diese damit zu modifizieren, hat den Studenten laut eigenen Angaben überrascht. Aboukhadijeh informierte Adobe bereits, da das Unternehmen aber nicht reagierte, stellte er gestern seinen Blogeintrag zu der Sicherheitslücke online.

Adobe erklärte daraufhin CNet.com, dass das Problem bis Ende dieser Woche behoben sei und konkretisierte dann gegenüber Aboukhadijeh, dass das Flash-Team dazu an einer Lösung arbeite, die kein Flash-Player-Update erfordere.