Spionage-Lücke in Flash geschlossen

Feross Aboukhadijeh, ein Student aus Stanfort, hat eine kritische Clickjacking-Lücke in Adobe Flash entdeckt. Diese hat er vergangene Woche detailliert in seinem Blog beschrieben. Angreifern ist es demnach möglich, ihre Opfer unbemerkt per Kamera oder Mikrofon auszuspionieren.

Eigentlich lassen sich Kamera und Mikrofon nur vom Anwender aktivieren. Um das zu erreichen, lockt der Angreifer auf einer manipulierten Webseite mit einem leichten Klickspiel. Ist der Besucher bereit, das Spielchen zu spielen, wird er erst einmal aufgefordert, auf eine Reihe von Buttons zu klicken. Im Hintergrund werden die Klicks allerdings auf das Menü „Einstellungen“ von Adobe Flash umgeleitet, das selbst auf in ein unsichtbares iFrame geladen wurde. So räumt der Besucher der Webseite dem Angreifer die Rechte für Kamera und die Audiogeräte ein.

Bekannt ist dieses Angriffsszenario schon seit 2008. Damals hat Adobe eine Anpassung in der Einstellungsseite vorgenommen und die Lücke damit geschlossen. Seitdem verhindern mehrere Zeilen JavaScript, das der Flash-PLayer in ein iFrame geladen wird. Allerdings hat Adobe dabei übersehen, dass Flash-Dateien (.swf) auch direkt als iFrame eingebettet werden können. Dabei wird die originale Webseite nicht geladen, sodass der Javascript-Code umgangen wird.

Adobe hat die Lücke inzwischen geschlossen. Nach Angaben des Herstellers ist eine Aktualisierung des Flash-Players nicht erforderlich. Der Fehler ließ sich durch eine Änderung von Dateien beseitigen, die auf den Adobe Servern liegen.