Så langt tilbake som i 2008 ble det oppdaget at det var mulig for ondsinnede å skru på både webkameraet og mikrofonen til pc-er ved å narre brukeren til å klikke på tilsynelatende uskyldig innhold på en webside. Teknikken kalles for «clickjacking» og involverte bruk av iframes og konfigurasjonspanelet til Flash Player.
I oktober 2011 kom Adobe med en enkel løsning på problemet.
Nå har problemet dukket opp på nytt, men etter alt å dømme bare i Google Chrome.
Problemet ble oppdaget av russiske Egor Homakov tidligere denne måneden. Homakov publiserte også et konseptbevis for det hele.
Teknikken som brukes i konseptbeviset dreier seg om å legge en gjennomsikt Flash-applikasjon oppå et bilde. Deretter lokkes brukeren til å klikke på bildet for å se en video. Men i virkeligheten er det ikke bildet, men Flash-applikasjonen brukeren faktisk klikker på. Det eneste som kreves er at brukeren klikker på rett sted på bildet.
Teknikken krever selvfølgelig at automatisk kjøring av Flash-applikasjoner ikke har blitt blokkert av brukeren.
Til The Register sa Heather Edell, en talskvinne for Adobes sikkerhetsteam, i går at sårbarheten er begrenset til Google Chrome, og at en sikkerhetsoppdatering er i vente.
I går kveld kom Google med en oppdatering til Chrome 27 som blant annet fjerner denne sårbarheten.
Det har ikke kommet noen offisiell forklaring på hvorfor problemet har dukket opp nå, men temaet diskuteres av Chromium-utviklere her. Det forklares at Chrome har tillatt Flash-applikasjoner som er helt transparente, i motsetning til i alle fall Firefox og Internet Explorer.
Andre mener at rotårsaken til problemet er at brukergrensesnitet som Flash har for disse sensitive innstillingene, kan vises i en ramme på websiden.
Les også:
- [21.10.2011] Enkelt å spionere på brukere med webkamera
