Flashlek toont webcam Mac-gebruikers
Een lek in Flash zorgt ervoor dat de webcam van Mac-gebruikers kan worden misbruikt. Adobe heeft het probleem meteen aangepakt.
Het probleem stelt zich op de servers van Adobe zelf en werd blootgelegd door Feross Aboukahedijeh. De student computerwetenschappen aan de Amerikaanse universiteit van Stanford meldde het probleem in een blogpost, inclusief demonstratie.
De techniek maakte gebruik van clickjacking, een techniek die vooral op sociale netwerken als Twitter en Facebook wordt gebruikt. Je laat je slachtoffer ergens op het scherm klikken, maar wat hij of zij niet ziet is een onderliggende laag waardoor hij in realiteit toegang geeft tot bijvoorbeeld zijn webcam.
Volgens Aboukhadijeh lukt de techniek steevast in Firefox en Safari voor de Mac. Bij Chrome voor Mac en de meeste browsers op Windows of Linux lukt het niet.
In dit geval moest het slachtoffer op een aantal knoppen op het scherm klikken voor een spelletje, waardoor de camera en microfoon werden aangezet. de instellingen voor Flash (waarbij je de toestemming geeft voor video en audio), werden achter een iFrame op de pagina verstopt.
Volgens Aboukahedijeh is het de eerste keer dat een SWF-bestand van een ander domein kon worden verstopt achter een iFrame. Normaal wordt dit opgemerkt door Javascriptcode, maar dat kan dus wel degelijk worden omzeild.
Adobe wijzigt
Adobe heeft het probleem vrij snel aangepakt. Het instellingenscherm, wat eigenlijk een SWF-bestand van Adobe zelf is, is intussen aangepast waardoor clickjacking niet langer mogelijk is. Hierdoor hoeven gebruikers zelf geen actie te ondernemen.