Flash-Lücke: Angreifer konnten Webcam unbemerkt aktivieren

Ich sehe dich einfach so: Ein Student der Elite-Uni Stanford hat eine Methode präsentiert, mit der sich Angreifer durch eine Sicherheitslücke in der Multimedia-Software Flash, unbemerkt Zugriff auf die Webcam eines Opfers erschleichen können. Adobe hat das Problem behoben.

Webcam: Solche Kameras waren wegen einer Sicherheitslücke von außen aktivierbarZur Großansicht
AFP

Webcam: Solche Kameras waren wegen einer Sicherheitslücke von außen aktivierbar

Hamburg - Eine gemeine Flash-Sicherheitslücke hat der Informatik-Student Feross Aboukhadijeh entdeckt. Angreifern sei es mit Tricks möglich gewesen, die Webcams anderer Nutzer via Web einzuschalten. Im Prinzip ist die Methode schon seit 2008 bekannt, Adobe ergriff damals Gegenmaßnahmen. Aboukhadijeh konnte diese aber drei Jahre später umgehen.

So funktioniert der Hack: Die Angreifer locken das Opfer auf eine Website, auf der sie die Flashplayer-Einstellungen von Adobes Website unsichtbar einbinden. Über die für den Nutzer nicht sichtbare Schaltfläche der Flashplayer-Voreinstellungen legen sie andere Elemente, etwa ein Spiel - Clickjacking nennt sich diese fiese Methode. Die scheinbar harmlosen Klicks in dem vordergründig eingeblendeten Spiel werden darunter an das unsichtbare Fenster durchgereicht, so dass der Anwender, ohne es zu merken, selbst die Einstellungen derart ändert, dass Webcam und Mikrofon künftig vom Angreifer manipuliert werden können.

Mit den Webbrowsern Safari und Firefox auf dem Mac hat Stanford-Student Aboukhadijeh diese Lücke ausprobiert und entsprechende Code-Schnippsel zur Verfügung gestellt, mit denen man seinen Erfolg nachvollziehen kann. Er habe auch schon eine Idee, wie man Nutzer von Windows-Rechnern hereinlegen könne, schrieb er am Dienstag auf seiner Website. Adobe hat die Lücke allerdings nach eigenen Angaben in der Nacht von Donnerstag auf Freitag geschlossen, ein Software-Update müssen die Nutzer nicht installieren.

Ob sich in der Zwischenzeit oder schon davor Angreifer dieser Lücke bedient haben, ist bisher unklar. Die Webcams in Apple-Rechnern zeigen zumindest mit einer kleinen Leuchtdiode an, wenn sie in Betrieb sind. Wer trotzdem auf Nummer sicher gehen will, kann in den Einstellungen seines Flashplayers nachsehe.

ore

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
Auf anderen Social Networks teilen
  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum
Diskutieren Sie über diesen Artikel
insgesamt 16 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Ich sehe, was du letzten Sommer programmiert hast
roterschwadron 21.10.2011
Wie oft wird uns Adobe denn noch großzügig mitteilen, daß sie "das Problem" behoben hat? Merken Sie was?
Zitat von sysopIch sehe Dich einfach so: Ein Student der Elite-Uni Stanford hat eine Methode präsentiert, mit der sich Angreifer durch eine Sicherheitslücke in der Multimedia-Software Flash, unbemerkt Zugriff auf die Webcam eines Opfers erschleichen können.*Adobe hat das Problem behoben. http://www.spiegel.de/netzwelt/web/0,1518,793174,00.html
Wie oft wird uns Adobe denn noch großzügig mitteilen, daß sie "das Problem" behoben hat? Merken Sie was?
2. behoben?
Medienkritiker 21.10.2011
ohne Update - wie ist das möglich? es muss sich dabei um die sogenannte "spukhafte Fernwirkung" handeln...ich bin beeindruckt
Zitat von roterschwadronWie oft wird uns Adobe denn noch großzügig mitteilen, daß sie "das Problem" behoben hat? Merken Sie was?
ohne Update - wie ist das möglich? es muss sich dabei um die sogenannte "spukhafte Fernwirkung" handeln...ich bin beeindruckt
3. Ein Fall für Flash Gordon
roterschwadron 21.10.2011
Erstaunlich, wievielen die gesunden Reflexe abhanden gekommen sind und daher den Pokertrick "Flashplayer" nicht gleich wieder ausspuken...
Zitat von Medienkritikerohne Update - wie ist das möglich? es muss sich dabei um die sogenannte "spukhafte Fernwirkung" handeln...ich bin beeindruckt
Erstaunlich, wievielen die gesunden Reflexe abhanden gekommen sind und daher den Pokertrick "Flashplayer" nicht gleich wieder ausspuken...
4. Beeindruckt
pussinboots 21.10.2011
Ich bin auch immer wieder beeindruckt über Kommentare, die offenbar zustande kommen, ohne dass der Artikel gelesen wurde. ---Zitat--- So funktioniert der Hack: Die Angreifer locken das Opfer auf eine Website, auf der sie [...]
Zitat von Medienkritikerohne Update - wie ist das möglich? es muss sich dabei um die sogenannte "spukhafte Fernwirkung" handeln...ich bin beeindruckt
Ich bin auch immer wieder beeindruckt über Kommentare, die offenbar zustande kommen, ohne dass der Artikel gelesen wurde. ---Zitat--- So funktioniert der Hack: Die Angreifer locken das Opfer auf eine Website, auf der sie die Flashplayer-Einstellungen von Adobes Website unsichtbar einbinden. ---Zitatende---
5. Einstellungen bei Flash
johndoe77 21.10.2011
Mir ist noch nicht ganz klar wie Adobe dieses vorgehen unterbinden will, ohne ein update zu liefern. Werden diese Einstellungen per Script online geliefert über die Adobe-Seite?
Zitat von pussinbootsIch bin auch immer wieder beeindruckt über Kommentare, die offenbar zustande kommen, ohne dass der Artikel gelesen wurde.
Mir ist noch nicht ganz klar wie Adobe dieses vorgehen unterbinden will, ohne ein update zu liefern. Werden diese Einstellungen per Script online geliefert über die Adobe-Seite?
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt Twitter | RSS
alles aus der Rubrik Web RSS
alles zum Thema Computersicherheit RSS

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Freitag, 21.10.2011 – 13:40 Uhr
  • Drucken Versenden Feedback
  • Kommentieren | 16 Kommentare
Alle Themenseiten
Mehr im Internet
SPIEGEL ONLINE ist nicht verantwortlich
für die Inhalte externer Internetseiten.






MEHR AUS DEM RESSORT NETZWELT

Übersicht Netzwelt
TOP



TOP