Clickjacking laat criminelen webcam en microfoon gijzelen
Gepubliceerd: Woensdag 8 oktober 2008
Auteur: Brenno de Winter
Door een fout in Adobe's Flash-speler kunnen kwaadwillenden de camera van argeloze computergebruikers kapen. Adobe heeft nog geen patch.
Het probleem wordt veroorzaakt door de mogelijkheid van Flash om een webcam op een intercatieve website te gebruiken. De software stelt de gebruiker geen vragen of de camera gebruikt mag worden. Doordat met 'Clickjacking' het mogelijk is een aanval uit te voeren op de webbrowser, waarbij de bezoeker van een website op een link klikt zonder het door te hebben.
Demonstratie
Het gevolg van een aanval is dat onbevoegden misbruik kunnen maken van zowel de webcam als de microfoon en zo mensen kunnen bespioneren en afluisteren. De laatste tijd blijkt dat problematisch, omdat steeds vaker pedofielen worden vervolgd voor het kijken naar kinderen.
Inmiddels heeft beveiligingsexpert Guy Aharonovsky een demonstratie in de vorm van een spel geschreven, waarbij hij ook een video online heeft gezet om zijn punt te maken. De eigenlijke demonstratie is inmiddels niet meer operationeel.
De demonstratie is omstreden, omdat de ontdekkers van Clickjacking Jeremiah Grossman en Robert 'RSnake' Hansen geen details wilden vrijgeven. Maar Aharonovsky stelt dat de geest toch al uit de fles is en het onderzoek goed te reproduceren door kwaadwillende hackers. Volgens hem is het dan ook beter dat mensen er nu weet van hebben.
Nog geen update
Adobe had het nakijken en kon niet anders dan versneld adviezen online zetten om de gevolgen te beperken.
Het bedrijf heeft het probleem nog niet in de software verholpen, maar belooft in de volgende versie het lek te dichten. Ondertussen raadt het bedrijf gebruikers aan om de programmatuur zo in te stellen dat de camera niet automatisch kan worden aangezet.
Alle platformen
Omdat Flash op bijna alle platformen werkt, geldt de problematiek niet alleen voor Windows-computers, maar ook voor andere platformen. Volgens Hansen zijn Mac's per definitie kwetsbaar, omdat iedere recente machine standaard met een microfoon en camera is uitgerust.
Een woordvoerder van Adobe kon niet direct aangeven of het probleem ook voor mobiele telefoons speelt, maar zegt dat uit te zoeken.
