Flash-Sicherheitslücke entdeckt: Clickjacking

Auf der Webseite des Heise-Verlags hat unser Leser Nana einen Sicherheitsluecke mit lustigem Nebeneffekt gefunden. Es handelt sich um einen Hinweis auf das sogenannte Clickjacking, wobei der Benutzer - beispielsweise eines Flash-Games - dem Angreifer unwissentlich Zugriff auf Webcam und Mikrofon ermöglicht.

Dem User wird dazu vorgegaukelt, an einer bestimmten Stelle klicken zu müssen. Im Hintergrund, bzw für wenige Millisekunden auch im Vordergrund, bedient man aber -kaum sichtbar- den Flash Player Manager und verändert die Einstellungen so, daß ein Zugriff von aussen möglich wird.

Der Flashentwickler Guy Aharonovsky hat eine Demo entwickelt, die die bereits von den Sicherheitsfachleuten Jereminah Grossmann und Robert "RSnake" Hansen entdeckten Clickjacking-Möglichkeit ausnutzt. Die Demo sollte eigentlich nicht mehr funktionieren, denn man hat bei Adobe den Flash Player Settings Manager bereits überarbeitet. Aharonovsky hat aber ein Video dazu gemacht, wie es mal aussah und es gibt noch eine andere Demo, die weiterhin funktionieren soll.

Grossmann und Hansen haben aber noch einige Clickjacking-Löcher mehr entdeckt; Hansen beschreibt sie nun -nachdem die ursprünglich geplante Geheimhaltung aufgegeben werden musste- ausführlich in seinem Blog.

Einerseits ist das Ganze ja eine lustige Angelegenheit, denn wer würde nicht gern mal eine fremde Webcam kapern. Andererseits aber auch ein ganz fieses Sicherheitsloch, vor allem, wenn man sich anschaut, über welche Software man sonst noch so ge-clickjacked werden kann. Ein unscheinbares Java-Applet, ein falscher Klick im Browser oder ein durchlässiges Plugin können dazu führen, daß man nicht mehr Herr seines Systems ist. Ein Traum für den Innenminister.

Um wenigstens vorzubeugen, so gut es geht, sollte man laut Heise auf jeden Fall das Workaround von Adobe lesen, wie man den Flash Manager sicher macht und das Firefox-Plug-in NoScript in der Version 1.8.2.1 installieren.

Ähnliche Beiträge

  1. Video: Funktionsweise Multi-TouchPad
  2. Video: HTC Shift unboxing
  3. Latest News zum MSI Wind / Medion Akoya Mini
  4. Video: Multitouch Treiber Update
  5. ASUS Eee Pad Transformer + Video
  6. ASRock bootet Windows in 4 Sekunden
  7. Video: ASUS Eee Slate EP121 und Wacom Cintiq 21UX Grafik-Tablet im Vergleich
  8. ASUS Werbespot für den Eee PC

Tags: , , , , ,

4 Responses to “Flash-Sicherheitslücke entdeckt: Clickjacking”

  1. TheRocK #

    “Ein Traum für den Innenminister.” Beste Zeile ;) Sehr interessant, gerade auch bei den ganzen Netbooks, wo man ja mitlerweile überall eine Kamera dran hat. Also sollte man immer schön die LED neben der Webcam im Auge behalten.

    October 26, 2008 at 2:52 am
  2. smoo #

    Besser noch abkleben!

    October 26, 2008 at 5:49 am
  3. das ist ja geil – besser wäre noch wenn man die webcam dann manipulieren könnte und andere bilder dem gegenüber senden könnte ;D

    October 26, 2008 at 10:11 am
  4. Arne #

    Aktuelle Version NoScript ist: V. 1.8.3.3.
    Kann NoScript übrigens SEHR empfehlen.

    October 26, 2008 at 2:51 pm

Leave a Reply

  • RSS
  • Twitter
  • Facebook