Bag u Flash Player-u omogućava špijuniranje posetioca veb sajtova preko kamere [VIDEO]

Vesti, 21.10.2011, 09:51 AM

Adobe ubrzano radi na ispravci propusta u sveprisutnom Flash Player-u koji omogućava administratorima veb sajtova da krišom nadziru svoje posetioce uključivanjem veb kamera i mikrofona bez njihovog znanja ili pristanka, da ih špijuniranju, naprave video snimak ili urade bilo šta drugo što požele a što im omogućava ovaj propust i uključena veb kamera i mikrofon.

“Proof-of-concept” exploit kojeg je u demo snimku prezentovao student informatike Univerziteta Stenford Feross Aboukhadijeh koji ga je i otkrio, funkcioniše u svim verzijama Flash Player-a i u većini browser-a koje je Aboukhadijeh testirao. Iz nekog razloga exploit ne funkcioniše na Chrome-u za Mac i većini browser-a na Windows-u i Linux-u. Dovoljno je da posetioci kliknu na nekolicinu dugmadi kao što se vidi na snimku i bez ikakvog upozorenja kamera i mikrofon se uključuju.

Napad kojeg je izveo Aboukhadijeh veoma podseća na clickjacking napad na veb kamere iz 2008. godine. Originalni napad je podrazumevao učitavanje stranice Adobe Flash Settings Manager-a, koja je hostovana na Adobe-ovom veb sajtu u nevidljivi iFrame i njegovo maskiranje u JavaScript igricu koja zahteva od korisnika kliktanje na različite, naizgled bezopasne dugmiće koji se pojave na ekranu. Neka od dugmadi su sastavni deo igrice, dok druga preusmeravaju korisnika ka nevidljivom iframe-u.

Adobe je tada reagovao ubacujući kod na stranicu Flash Player Settings Manager koji sprečava da stranica bude iframe-ovana.

Međutim, Aboukhadijeh je otkrio da je Setting Manager ustvari SWF (Shockwave Flash) fajl i da se on može učitati direktno u iframe umesto da se to uradi sa celom stranicom, čime je zaobišao kod kojim je Adobe ispravio bag otkriven 2008. godine. Reč je ustvari o istoj ranjivosti iz 2008. godine koju je on zloupotrebio koristeći drugi vektor napada.

Kompanija Adobe oglasila se tek pošto je Aboukhadijeh javnosti prezentovao propust u Flash Player-u, iako je nekoliko nedelja pre objavljivanja email-om obavestio Adobe o svom otkriću. Iz kompanije izostnak odgovora objašnjavaju time da je Aboukhadijeh poslao email jednom od zaposlenih u kompaniji koji je na odmoru, umesto timu koji je zadužen za bezbednost proizvoda u kompaniji.

Aboukhadijeh se nada će Adobe ispraviti propust uskoro, iako priznaje da proces aktivacije veb kamere na ovakav način nije nimalo jednostavan za napadača jer zahteva više klikova na tačno određenu dugmad.

Portparol kompanije je najavio da će preuzimanje ispravke biti automatsko, odnosno da neće zahtevati nikakvo dodatno angažovanje korisnika.