Clickjacking: Bug im Flash-Player aktiviert unbemerkt Webcam und Mikrofon

**Julian_** · 21. 10. 2011, 20:56

Wie der Informatik Student Feross Aboukhadijeh herausfand, ist Adobes Flash-Player anfällig für Clickjacking-Attacken. In einem Video demonstrierte der junge Mann, wie man einen Nutzer unbewusst dazu verleiten kann, einer Webseite Zugriff auf Webcam und Mikrofon zu gewähren. Adobe hat die Sicherheitslücke mittlerweile geschlossen.

zur News

**Trubarde** · 21. 10. 2011, 21:09

ist beim mac ja nichts neues...ich sach nur akkuviren...
aber da zahlt man doppelt soviel wie das ding eigentlich wert ist und wird dann nicht nur von apple, sondern auch noch von privaten personen ausgespäht...aber als appleuser muss man damit leben->modemarke:wenig zweckwert, dafür "in"

**Bright0001** · 21. 10. 2011, 22:02

ICH WUSSTE ES!

Hab mich früher bei Abschütteln immer von der WebCam beobachtet gefühlt.

**Gugel** · 21. 10. 2011, 23:04

Flash war nie als besonders robust oder gar sicher bekannt...

**bonzei123** · 22. 10. 2011, 10:08

als pornoseiten besitzer hätt ich das abgefeiert

**meranti** · 22. 10. 2011, 10:36

Webcam/Mikrofon-Kombination ist bei mir grundsätzlich nicht angeschlossen. Für Videotelefonate stecke ich einmal kurz den USB-Stecker in den HUB und los geht's. Ein gesundes Maß an Paranoia sollte jeder haben, der sich im Internet bewegt.

Ist natürlich bei Laptops nicht ganz so einfach, aber die Webcam würde ich auf jeden Fall irgendwie überdecken, wenn sie nicht gebraucht wird.

**toalettenfrau** · 22. 10. 2011, 18:41

Zitat von Julian_

Wie der Informatik Student Feross Aboukhadijeh herausfand, ist Adobes Flash-Player anfällig für Clickjacking-Attacken. In einem Video demonstrierte der junge Mann, wie man einen Nutzer unbewusst dazu verleiten kann, einer Webseite Zugriff auf Webcam und Mikrofon zu gewähren. Adobe hat die Sicherheitslücke mittlerweile geschlossen.

zur News

Mikrofon & Webcam? So ein Sch....kommt mir nicht ins Haus! Oder ist das Micro jetzt schon auf dem Motherboard, vielleicht versteckt hinter einem Kühlkörper?

TF

**Rammsteiner** · 22. 10. 2011, 18:44

Konkret betroffen waren bis vor Kurzem ausschließlich Mac-Nutzer. Denn nur die Browser Safari und Firefox (Mac-Version)

Also war die Windowsversion von Safari nicht betroffen?

**Kugelfisch23** · 22. 10. 2011, 19:15

Erschreckend ist, dass diese bereits seit Oktober 2008(!) bekannte Schwachstelle offenbar nicht korrekt behoben oder erneut aufgerissen wurde. Die erste (auch in der verlinkten Quelle erwähnte) Version exakt dieses Angriffs wurde bloss wenige Wochen nach der ersten Veröffentlichung der grundsätzlichen Problematik (http://ha.ckers.org/blog/20080915/clickjacking/) unter http://blog.guya.net/2008/10/07/mali...-clickjacking/ gepostet. Adobe hatte damals reagiert, indem mittels eines Framebusting-JavaScripts dafür gesorgt wurde, dass sich die Website, auf der sich der Flash-Settings-Manager befindet, nicht mehr ohne Weiteres in einem Frame einbinden lässt. Ich hatte bereits damals erwähnt, dass dies kaum hilft, auch der nachfolgende Artikel http://ha.ckers.org/blog/20081007/clickjacking-details/ kam zu diesem Schluss. Das ist schlicht ein grundsätzliches Problem u.a. der Tatsache, dass sich der Flash-Player über eine spezielle Adobe-Website konfigurieren lässt. Adobe hatte gemäss http://www.adobe.com/support/securit...apsa08-08.html zumindest ein Workaround mittels eines Flash-Updates ausgeliefert. IIRC war das Problem dadurch zeitweise behoben, was bedeuten würde, dass es zu einem späteren Zeitpunkt wieder aufgerissen wurde oder der Fix nicht unter allen von Flash unterstützten Betriebssystemen wirksam war, insbesondere nicht unter Mac OS X.

**BoardRatte** · 22. 10. 2011, 22:20

Zitat von Bright0001

ICH WUSSTE ES!

Hab mich früher bei Abschütteln immer von der WebCam beobachtet gefühlt.

dann wars ja gut, dass ich dann immer die webcam weggedreht habe....

**darkcloud1987** · 22. 10. 2011, 22:45

Zitat von meranti

Webcam/Mikrofon-Kombination ist bei mir grundsätzlich nicht angeschlossen. Für Videotelefonate stecke ich einmal kurz den USB-Stecker in den HUB und los geht's. Ein gesundes Maß an Paranoia sollte jeder haben, der sich im Internet bewegt.

Ist natürlich bei Laptops nicht ganz so einfach, aber die Webcam würde ich auf jeden Fall irgendwie überdecken, wenn sie nicht gebraucht wird.

Ist es allerdings denn ich bekomm den Webcamtreiber einfach nicht los. Das nervt einfach weil Flash über die interne cameinstellungen nicht auf eine externe wechseln will.