Flash Player-lek gaf websites toegang tot webcam
Een beveiligingslek in Adobe Flash Player dat deze week werd gepatcht maakte het mogelijk voor websites om zonder toestemming van bezoekers de webcam en microfoon in te schakelen. Het probleem was aanwezig op alle systemen die Flash Player ondersteunt, zo meldt onderzoeker Jouko Pynnönen.
Daarbij maakte het niet uit wat de bezoeker in het configuratiepaneel van Flash Player had ingeschakeld. Via dit paneel kan worden aangegeven dat websites de webcam niet mogen benaderen. Dit kon de aanval echter niet voorkomen. Details over de kwetsbaarheid wil Pynnönen nog niet vrijgeven, aangezien er een potentiële variant van het lek, dat mogelijk in de meest recente versie van Flash Player aanwezig is, wordt onderzocht.
Via de kwetsbaarheid is het ook mogelijk om een ander lek aan te roepen, waardoor een aanvaller in het ergste geval de computer kon overnemen. Ook deze kwetsbaarheid werd afgelopen dinsdag verholpen. Ter demonstratie van de webcamaanval maakte de onderzoeker de onderstaande video.
Welke zou dat nou zijn?
Eigenlijk zouden ze bij laptops verplicht een fysiek schuifje moeten maken, kan een privacy waakhond zich daar niet eens hard voor maken? Denk dat er gebeurd als iemand ooit alle ipads ineens kan afkijken... (en ga niet roepen dat het onmogelijk is, dan gaat iemand het ook nog echt proberen).
Eigenlijk zouden ze bij laptops verplicht een fysiek schuifje moeten maken, kan een privacy waakhond zich daar niet eens hard voor maken? Denk dat er gebeurd als iemand ooit alle ipads ineens kan afkijken... (en ga niet roepen dat het onmogelijk is, dan gaat iemand het ook nog echt proberen).
Zo een fysiek schuifje zou inderdaad fantastisch zijn. Een kwaadwillende kan namelijk de webcam zodanig snel aan en weer uit doen dat een brandend lampje niet opvalt.
Eigenlijk zouden ze bij laptops verplicht een fysiek schuifje moeten maken, kan een privacy waakhond zich daar niet eens hard voor maken? Denk dat er gebeurd als iemand ooit alle ipads ineens kan afkijken... (en ga niet roepen dat het onmogelijk is, dan gaat iemand het ook nog echt proberen).
het ledje zegt helemaal niets..de webcam staat altijd aan nl.
bepaalde malware kan de webcam gbruiken zonder de led te laten oplichten.
De code die access-controle uitvoert MAG NIET in hetzelfde proces draaien als de code (van buitenaf) die deze access nodig heeft.
Het vinkje in de Flash-configuratie is niet meer dan een belofte. Beloftes kunnen gebroken worden.
het ledje zegt helemaal niets..de webcam staat altijd aan nl.
bepaalde malware kan de webcam gbruiken zonder de led te laten oplichten.
Dat is zo, maar dat geldt dan waarschijnlijk weer niet voor dit soort lekken in Flash player.
Dit is dus een andere categorie van aanval. Je moet dan binaries kunnen installeren op de computer van het slachtoffer.
Ik denk niet dat er malware is die het mogelijk maakt de webcam te gebruiken hoewel er een sticker overheen zit.
Maar hier op dit forum weet je het nooit, er is altijd wel iemand die beweert dat hij het wel kan.
Eigenlijk zouden ze bij laptops verplicht een fysiek schuifje moeten maken, kan een privacy waakhond zich daar niet eens hard voor maken? Denk dat er gebeurd als iemand ooit alle ipads ineens kan afkijken... (en ga niet roepen dat het onmogelijk is, dan gaat iemand het ook nog echt proberen).
het ledje zegt helemaal niets..de webcam staat altijd aan nl.
bepaalde malware kan de webcam gbruiken zonder de led te laten oplichten.
Wat meestal niets zegt zijn je bijdragen. Leer ze te onderbouwen en ga ze onderbouwen zodat het ook inhoudelijk waarde krijgt. Nu blijft het bij maar wat vrijblijvend roepen. Vrijblijvende niet onderbouwde bangmakerij. Nutteloos.
Eigenlijk zouden ze bij laptops verplicht een fysiek schuifje moeten maken, kan een privacy waakhond zich daar niet eens hard voor maken? Denk dat er gebeurd als iemand ooit alle ipads ineens kan afkijken... (en ga niet roepen dat het onmogelijk is, dan gaat iemand het ook nog echt proberen).
het ledje zegt helemaal niets..de webcam staat altijd aan nl.
bepaalde malware kan de webcam gbruiken zonder de led te laten oplichten.
Wat meestal niets zegt zijn je bijdragen. Leer ze te onderbouwen en ga ze onderbouwen zodat het ook inhoudelijk waarde krijgt. Nu blijft het bij maar wat vrijblijvend roepen. Vrijblijvende niet onderbouwde bangmakerij. Nutteloos.
en jij weet helemaal niets..onderbouw je vooringenomen gebral eens zou ik zeggen.
waar zijn je bewijzen dat ik onware dingen beweer?
http://leaksource.info/2013/12/21/disabling-webcam-light-in-windows-and-mac-computers/
http://blog.erratasec.com/2013/12/how-to-disable-webcam-light-on-windows.html
en mocht je weer gaan mekkeren als een oud wijf ga dan zelf eens googlen zou ik zeggen.
bewijzen zat.
Kun je die claim even ondersteunen?
ja hoor
https://www.security.nl/posting/373164/Webcam+ook+op+Windows+ongezien+aan+te+zetten
Waarom kan die apparaten gewoon niet optioneel zijn? Dan kan iedereen kiezen of hij of zij nu wel of niet z`n privacy wil opgeven of op het risico daarvan.
Maar ja het probleem met webcams en dergelijke is langzamerhand zo oud als de weg naar Kralingen en van de fabrikanten hoef je helemaal niets meer te verwachten.
Sterker nog het nieuwe Windows 10 maar het begon ook al bij Windows 8 is eigenlijk al een besturingssysteem wat om de webcam heen gebouwd is.
Tja zotter kunnen we het niet maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
