Websites kunnen de webcam en microfoon van bezoekers inschakelen om hen vervolgens af te luisteren en te begluren. Dat ontdekte beveiligingsonderzoeker Feross Aboukhadijeh. De onderzoeker kan via clickjacking de instellingen van de Flash Settings Manager wijzigen en plaatste de broncode hiervoor online. Bij clickjacking worden gebruikers verleid tot het klikken op een website, waarbij de kliks voor andere doeleinden worden gebruikt dan de gebruiker denkt.
De aanval van Aboukhadijeh is een variatie van een normale clickjacking techniek die spammers op Facebook en andere websites al gebruiken. "Combineer cllickjacking met de Adobe Flash Player Setting Manager pagina en je hebt een recept voor slechte tijden." De onderzoeker verstopte het Flash-bestand achter een iframe op een pagina, waardoor hij 'framebusting JavaScript code' kan omzeilen.
Webcam
"Ik heb een lek in Adobe Flash ontdekt waardoor elke website je webcam en microfoon kan inschakelen, zonder dat je dit weet of waar je toestemming voor geeft, om je vervolgens te bespioneren." De aanval zou in theorie op alle browsers werken, maar op dit moment lopen alleen gebruikers van Firefox en Safari risico.
"Hoewel elke browser en besturingssysteem in theorie kwetsbaar zijn voor deze aanval, vereist het inschakelen van de webcam meerdere gerichte clicks, wat lastig is voor een aanvaller om uit te voeren", laat Aboukhadijeh in zijn blogposting weten. "Ik weet niet hoe bruikbaar deze techniek in het wild is, maar ik hoop dat Adobe snel met een oplossing komt en we dit niet hoeven te ontdekken."
Update
Adobe meldt dat het aan een oplossing werkt die mogelijk deze week al wordt uitgerold. Het gaat hier niet om een update voor Adobe Flash Player, er zal dan ook geen patch of security bulletin voor eindgebruikers verschijnen. Een soortgelijk probleem deed zich ook in 2008 voor, toen verscheen er wel een update voor die gebruikers moesten installeren.
De onderzoeker had Adobe een aantal weken geleden gemaild, maar volgens het bedrijf was dat bericht bij een werknemer terecht gekomen die met sabbatical is. Adobe kreeg het lek daardoor pas te weten toen de blogposting van Aboukhadijeh online verscheen.
Deze posting is gelocked. Reageren is niet meer mogelijk.