Adobe schließt Webcam-Spionagemöglichkeit
Normalerweise gehen Anwender davon aus, dass sie wissen, wann ihr Mikrofon und auch die Webcam in Betrieb sind, schließlich müssen standardmäßig bei den meisten Usern diese erst manuell aktiviert werden. Im Jahr 2008 wurde Adobe erstmals darauf aufmerksam gemacht, dass manche Anwender unwissentlich Einstellungen des Flash Player verändern und somit Kriminellen die Möglichkeit einräumen würden, auf eine an den Computer angeschlossene Webcam, samt Mikrofon zugreifen zu können. Möglich gemacht wurde dieses sogenannte Clickjacking, indem man den Anwendern ein Java-Spiel vorgegaukelt hat, innerhalb dessen man bestimmte Objekte anklicken musste. Diesem Spiel war in einem unsichtbaren Frame der geöffneten Flash Player Settings Manager hinterlegt und während der ahnungslose Anwender meinte das Spiel zu spielen, veränderte er in Wirklichkeit die für Kriminelle ausnutzbaren Einstellungen.
Adobe reagierte damals prompt mit einer Überarbeitung der Webseite des Settings Managers seines Flash Players, idem ein sogenannter Framebusting-Code eingefügt wurde und meinte damit die Gefahr gebannt zu haben. Dies scheint aber nicht der Fall gewesen zu sein. Erst kürzlich, nämlich, machte ein Student der Stanford University namens Feross Aboukhadijeh erneut auf die sogenannte Clickjacking-Lücke aufmerksam. Er fand heraus, dass man nach drei vergangenen Jahren weiterhin mittels des Adobe Flash beliebige Webcams und Mikrophone von Usern einschalten und diese dadurch völlig unbemerkt ausspionieren konnte. In einem Blog stellte er dies mittels eines Videos unter Beweis. Auf einer derart präparierten Webseite können durch ein harmlos wirkendes Spiel immer noch Webcam und Mikrofon unbemerkt aktiviert werden. Wie nun herauskam liegt das daran, dass man Flash-Dateien auch direkt als iFrame einbetten kann, ohne die ursprüngliche Webseite laden zu müssen – ein kleines, aber feines Detail, mit dem Resultat, dass der Framebusting-Code von Adobe schlichtweg umgangen wird. Auf der Webseite des unternehmenseigenen Blogs ist nun zu lesen, dass ein Update der Flash-Datei gemacht wurde. Ohne dass eine Aktualisierung des Players erforderlich ist, sei das Problem jetzt endgültig behoben worden.
- Facebook erwägt Datenübermittlung von Nutzern aus Schleswig-Holstein zu stoppen
- iPhone 4S-Nutzer sollten bei der Benutzung von Siri ihre Voreinstellungen überprüfen
- Freescale lizensiert ARM Cortex-A7 und Cortex A15
- Bahnt sich bei 7“-Tablets ein Preissturz an?
- Rubin: Google Music wird eine "kleine Überraschung" mitbringen
- Intel: Auslieferung des 'Ivy Bridge' an Partner beginnt noch 2011
- Schnäppchencheck: Saturn verhökert ASUS Eee PC für 200 €
- Android-4.0-Update wird ein paar Wochen nach Samsungs Galaxy Nexus kommen
- Apple wollte Dropbox als "Feature" einkaufen
- Noctua kündigt kostenloses Kühler-Upgrade für LGA2011 ('Sandy Bridge-E') an
- Asus präsentiert Kal-El-basiertes Android-Tablet 'Eee Pad Transformer Prime'
- OCZ: Firmware-Update behebt BSOD-Problem des SandForce-2281-Controllers
- Wird Google seinem Konkurrenten Yahoo unter die Arme greifen?
- Apple: Gerüchte um verbesserte Ausstattung beim Macbook Pro
- Box.Net Aktion: 50 GB Cloud Storage kostenlos
- Flutkatastrophe in Thailand lässt möglicherweise Festplattenpreise ansteigen
- Offizielle Biographie von Steve Jobs ab heute auf Englisch erhältlich
- Wikileaks stoppt vorerst Enthüllungen
