Enkelt å spionere på brukere med webkamera

Adobe fjerner Flash-relatert sårbarhet etter to dager.

Adobe kunngjorde i går at selskapet har fjernet en sårbarhet knyttet til selskapet Flash Player, uten at brukerne behøver å laste ned noen ny versjonen. I stedet har selskapet gjort endringer i Flash Player Settings Manager SWF-filen som ligger på selskapets nettsted.

Allerede i oktober 2008 oppdaget en blogger at det var mulig, via webapplikasjoner, å skru på webkameraet og mikrofonen i pc-en til de som besøker siden.

Dette ble gjort ved hjelp av «clickjacking», en teknikk som går ut å narre brukeren til å klikke på tilsynelatende uskyldige lenker eller knapper på en webside, men hvor den egentlige funksjonaliteten som fanger opp klikket, ligger skjult i bakgrunnen.

I eksemplet fra 2008 ble hele konfigurasjonssiden for Flash Player inkludert i et spill ved hjelp av en iframe.

Adobe løste dette ved hjelp av framebusting, altså en teknikk som hindrer at en webside vises inne i en ramme.

Denne uken skrev Feross Aboukhadijeh, en informatikkstudent ved Stanford University, et innlegg hvor han forteller at framebustingen som Adobe gjorde den gang, ikke var tilstrekkelig. Han hadde nemlig oppdaget at det var mulig å legge bare selve Flash-delen av siden, altså SWF-filen, i en skjult iframe. Dette åpnet for de samme mulighetene som Adobe stengte for i 2008.

Adobe har nå altså fjernet denne muligheten, i alle fall slik at demoen til Aboukhadijeh ikke lenger fungerer.

Til toppen