Flash-Lücke Angreifer konnten Webcam unbemerkt aktivieren

Ich sehe dich einfach so: Ein Student der Elite-Uni Stanford hat eine Methode präsentiert, mit der sich Angreifer durch eine Sicherheitslücke in der Multimedia-Software Flash, unbemerkt Zugriff auf die Webcam eines Opfers erschleichen können. Adobe hat das Problem behoben.

Webcam: Solche Kameras waren wegen einer Sicherheitslücke von außen aktivierbar
AFP

Webcam: Solche Kameras waren wegen einer Sicherheitslücke von außen aktivierbar


Hamburg - Eine gemeine Flash-Sicherheitslücke hat der Informatik-Student Feross Aboukhadijeh entdeckt. Angreifern sei es mit Tricks möglich gewesen, die Webcams anderer Nutzer via Web einzuschalten. Im Prinzip ist die Methode schon seit 2008 bekannt, Adobe ergriff damals Gegenmaßnahmen. Aboukhadijeh konnte diese aber drei Jahre später umgehen.

So funktioniert der Hack: Die Angreifer locken das Opfer auf eine Website, auf der sie die Flashplayer-Einstellungen von Adobes Website unsichtbar einbinden. Über die für den Nutzer nicht sichtbare Schaltfläche der Flashplayer-Voreinstellungen legen sie andere Elemente, etwa ein Spiel - Clickjacking nennt sich diese fiese Methode. Die scheinbar harmlosen Klicks in dem vordergründig eingeblendeten Spiel werden darunter an das unsichtbare Fenster durchgereicht, so dass der Anwender, ohne es zu merken, selbst die Einstellungen derart ändert, dass Webcam und Mikrofon künftig vom Angreifer manipuliert werden können.

Mit den Webbrowsern Safari und Firefox auf dem Mac hat Stanford-Student Aboukhadijeh diese Lücke ausprobiert und entsprechende Code-Schnippsel zur Verfügung gestellt, mit denen man seinen Erfolg nachvollziehen kann. Er habe auch schon eine Idee, wie man Nutzer von Windows-Rechnern hereinlegen könne, schrieb er am Dienstag auf seiner Website. Adobe hat die Lücke allerdings nach eigenen Angaben in der Nacht von Donnerstag auf Freitag geschlossen, ein Software-Update müssen die Nutzer nicht installieren.

Ob sich in der Zwischenzeit oder schon davor Angreifer dieser Lücke bedient haben, ist bisher unklar. Die Webcams in Apple-Rechnern zeigen zumindest mit einer kleinen Leuchtdiode an, wenn sie in Betrieb sind. Wer trotzdem auf Nummer sicher gehen will, kann in den Einstellungen seines Flashplayers nachsehe.

ore

Mehr zum Thema


insgesamt 16 Beiträge
Alle Kommentare öffnen
Seite 1
roterschwadron 21.10.2011
1. Ich sehe, was du letzten Sommer programmiert hast
Zitat von sysopIch sehe Dich einfach so: Ein Student der Elite-Uni Stanford hat eine Methode präsentiert, mit der sich Angreifer durch eine Sicherheitslücke in der Multimedia-Software Flash, unbemerkt Zugriff auf die Webcam eines Opfers erschleichen können.*Adobe hat das Problem behoben. http://www.spiegel.de/netzwelt/web/0,1518,793174,00.html
Wie oft wird uns Adobe denn noch großzügig mitteilen, daß sie "das Problem" behoben hat? Merken Sie was?
Medienkritiker 21.10.2011
2. behoben?
Zitat von roterschwadronWie oft wird uns Adobe denn noch großzügig mitteilen, daß sie "das Problem" behoben hat? Merken Sie was?
ohne Update - wie ist das möglich? es muss sich dabei um die sogenannte "spukhafte Fernwirkung" handeln...ich bin beeindruckt
roterschwadron 21.10.2011
3. Ein Fall für Flash Gordon
Zitat von Medienkritikerohne Update - wie ist das möglich? es muss sich dabei um die sogenannte "spukhafte Fernwirkung" handeln...ich bin beeindruckt
Erstaunlich, wievielen die gesunden Reflexe abhanden gekommen sind und daher den Pokertrick "Flashplayer" nicht gleich wieder ausspuken...
pussinboots 21.10.2011
4. Beeindruckt
Zitat von Medienkritikerohne Update - wie ist das möglich? es muss sich dabei um die sogenannte "spukhafte Fernwirkung" handeln...ich bin beeindruckt
Ich bin auch immer wieder beeindruckt über Kommentare, die offenbar zustande kommen, ohne dass der Artikel gelesen wurde.
johndoe77 21.10.2011
5. Einstellungen bei Flash
Zitat von pussinbootsIch bin auch immer wieder beeindruckt über Kommentare, die offenbar zustande kommen, ohne dass der Artikel gelesen wurde.
Mir ist noch nicht ganz klar wie Adobe dieses vorgehen unterbinden will, ohne ein update zu liefern. Werden diese Einstellungen per Script online geliefert über die Adobe-Seite?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.