Web-Sicherheit

Oktober 25, 2011

Durch Fehler in Flash lassen sich Computerbenutzer über die Webcam ausspionieren

Filed under: Allgemein — sebastiankuebeck @ 14:14
Tags: , , , , , , , ,

In Abschnitt 10.5 meines Buches beschreibe ich Clickjacking, eine Angriffstechnik, mit der Angreifer Teile einer Webseite auf ihrer eigenen einblenden, um Besucher dazu zu bringen, Aktivitäten auf der legitimen Webseite durchzuführen, die der Benutzer gar nicht beabsichtigt. Es ist also eine Variante von Cross-Site Request Forgery für die allerdings gar keine Schwachstelle in der Webanwendung notwendig ist. Damit der Benutzer nur jene Teile zu sehen bekommt, die ihm der Angreifer zeigen will, verwendet letzterer beispielsweise ein DIV-Element das er vor einem IFrame platziert.

„Klassischer“ Clickjaking-Angriff auf Facebook von 2010.

Da sich auch Flash-Inhalte durch ein DIV-Element abdecken lassen, war es bis vor einiger Zeit möglich, den arglosen Benutzer dazu zu bringen, die Webcam aufzudrehen. So konnte der Angreifer alles mitverfolgen, was die Webcam des Benutzers erfasste, wie folgendes Video demonstriert.

Clickjaking-Angriff auf Webcam des Seitenbesuchers 2008.

Inzwischen hat Adobe das Problem durch ein Update das Flash-Plugins behoben, indem das Plugin eine Technik namens Framebusting verwendet, die das Anzeigen des Plugins (genauer gesagt, das Anzeigen der Dialogbox, mit der der Benutzer das Aktivieren der Webcam genehmigt) innerhalb eines IFrames verhindert. Wie sich allerdings inzwischen herausstellt, lässt sich dieser Schutz umgehen. Feross Aboukhadijeh, Student der Stanford Universität, fand einen Weg, den Framebusting-Code des Plugins (Details dazu sind in meinem Buch und in diesem Paper zu finden) zu umgehen: Dazu platzierte er einfach die SWF-Datei für die Einstellungen in einem IFrame, was Clickjaking-Angriffe wieder möglich macht.

Feross Aboukhadijeh’s erweiterter Clickjaking-Angriff, der den Schutz des Flash-Plugins umgeht.

Laut Feross Aboukhadijeh funktioniert der Angriff mit allen Flash-Plugin-Versionen, die er getestet hat, für den Mozilla Firefox und den Safari-Browser auf dem Mac. Durch einen Fehler in der CSS-Implementierung funktioniert der Angriff weder auf dem Chrome-Browser für den Mac noch auf den meisten Windows und Linux-Brwosern. Aboukhadijeh veröffentlichte einen Proof-Of-Concept-Code (PoC) auf seinem Blog, nachdem Adobe nicht auf seinen Fehlerbericht reagiert hatte.
Wie es aussieht hat Adobe inzwischen eine Lösung für das Problem gefunden.

Auch wenn das Problem jetzt behoben zu sein scheint, sollte man die Webcam hardwareseitig (oder softwareseitig, wenn das hardwareseitig nicht möglich ist) deaktivieren, wenn man sie nicht benötigt. In der Vergangenheit wurden Webcams bereits dazu missbraucht, Kinder bei der Bedienung ihrer Notebooks zu beobachten.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: