Flashlek toont webcam Mac-gebruikers

Adobe reageert snel

21 oktober 2011 | Pieterjan Van Leemputten

Een lek in Flash zorgt ervoor dat de webcam van Mac-gebruikers kan worden misbruikt. Adobe heeft het probleem meteen aangepakt.

Het probleem doet zich voor op de servers van Adobe zelf en werd blootgelegd door Feross Aboukahedijeh. De student computerwetenschappen aan de Amerikaanse universiteit van Stanford meldde het probleem in een blogpost, inclusief demonstratie.

De techniek maakt gebruik van clickjacking, een techniek die vooral op sociale netwerken als Twitter en Facebook wordt gebruikt. Je laat je slachtoffer ergens op het scherm klikken, maar wat hij of zij niet ziet is een onderliggende laag waarmee hij in realiteit toegang geeft tot bijvoorbeeld zijn webcam.

Volgens Aboukahedijeh lukt de techniek steevast in Firefox en Safari voor de Mac. Bij Chrome voor Mac en de meeste browsers op Windows of Linux lukt het niet.

In dit geval moest het slachtoffer op een aantal knoppen op het scherm klikken voor een spelletje, waardoor de camera en microfoon werden aangezet. de instellingen voor Flash (waarbij je de toestemming geeft voor video en audio), werden achter een iFrame op de pagina verstopt.

Volgens Aboukahedijeh is het de eerste keer dat een SWF-bestand van een ander domein kon worden verstopt achter een iFrame. Normaal wordt dit opgemerkt door JavaScript code, maar dat kan dus wel degelijk worden omzeild.

Adobe wijzigt
Adobe heeft het probleem vrij snel aangepakt. Het instellingenscherm, wat eigenlijk een SWF-bestand van Adobe zelf is, is intussen aangepast waardoor clickjacking niet langer mogelijk is. Hierdoor hoeven gebruikers zelf geen actie te ondernemen.

Lees meer artikels over : beveiliging, adobe, mac, flash, swf, iframe, aboukhadijeh, hack, webcam, toestemming

bron: ZDNet