Pratite nas preko RSS-aBag u Flash Player-u omogućava špijuniranje posetioca veb sajtova preko kamere [VIDEO]
Vesti, 21.10.2011, 09:51 AM
![Bag u Flash Player-u omogućava špijuniranje posetioca veb sajtova preko kamere [VIDEO]](/thumbs/v1_7337_Adobe-flash-bug.jpg)
Adobe ubrzano radi na ispravci propusta u sveprisutnom Flash Player-u koji omogućava administratorima veb sajtova da krišom nadziru svoje posetioce uključivanjem veb kamera i mikrofona bez njihovog znanja ili pristanka, da ih špijuniranju, naprave video snimak ili urade bilo šta drugo što požele a što im omogućava ovaj propust i uključena veb kamera i mikrofon.
“Proof-of-concept” exploit kojeg je u demo snimku prezentovao student informatike Univerziteta Stenford Feross Aboukhadijeh koji ga je i otkrio, funkcioniše u svim verzijama Flash Player-a i u većini browser-a koje je Aboukhadijeh testirao. Iz nekog razloga exploit ne funkcioniše na Chrome-u za Mac i većini browser-a na Windows-u i Linux-u. Dovoljno je da posetioci kliknu na nekolicinu dugmadi kao što se vidi na snimku i bez ikakvog upozorenja kamera i mikrofon se uključuju.
Napad kojeg je izveo Aboukhadijeh veoma podseća na clickjacking napad na veb kamere iz 2008. godine. Originalni napad je podrazumevao učitavanje stranice Adobe Flash Settings Manager-a, koja je hostovana na Adobe-ovom veb sajtu u nevidljivi iFrame i njegovo maskiranje u JavaScript igricu koja zahteva od korisnika kliktanje na različite, naizgled bezopasne dugmiće koji se pojave na ekranu. Neka od dugmadi su sastavni deo igrice, dok druga preusmeravaju korisnika ka nevidljivom iframe-u.
Adobe je tada reagovao ubacujući kod na stranicu Flash Player Settings Manager koji sprečava da stranica bude iframe-ovana.
Međutim, Aboukhadijeh je otkrio da je Setting Manager ustvari SWF (Shockwave Flash) fajl i da se on može učitati direktno u iframe umesto da se to uradi sa celom stranicom, čime je zaobišao kod kojim je Adobe ispravio bag otkriven 2008. godine. Reč je ustvari o istoj ranjivosti iz 2008. godine koju je on zloupotrebio koristeći drugi vektor napada.
Kompanija Adobe oglasila se tek pošto je Aboukhadijeh javnosti prezentovao propust u Flash Player-u, iako je nekoliko nedelja pre objavljivanja email-om obavestio Adobe o svom otkriću. Iz kompanije izostnak odgovora objašnjavaju time da je Aboukhadijeh poslao email jednom od zaposlenih u kompaniji koji je na odmoru, umesto timu koji je zadužen za bezbednost proizvoda u kompaniji.
Aboukhadijeh se nada će Adobe ispraviti propust uskoro, iako priznaje da proces aktivacije veb kamere na ovakav način nije nimalo jednostavan za napadača jer zahteva više klikova na tačno određenu dugmad.
Portparol kompanije je najavio da će preuzimanje ispravke biti automatsko, odnosno da neće zahtevati nikakvo dodatno angažovanje korisnika.
Izdvojeno
Hakeri koriste lažne prijave o kršenju autorskih prava za krađu Google naloga
Istraživači kompanije Malwarebytes upozorili su na novu fišing kampanju koja cilja programere Chrome ekstenzija koristeći lažna obaveštenja o na... Dalje
WordPress malver krije komande u komentarima Steam profila
Istraživači kompanije GoDaddy otkrili su novu WordPress malver kampanju koja koristi Steam Community profile za skrivanje komandi namenjenih komprom... Dalje
Greška u Metinom AI sistemu za korisničku podršku omogućila preuzimanje Instagram naloga
Kritična greška u Metinom AI sistemu za korisničku podršku na Instagramu omogućila je napadačima da zaobiđu dvofaktorsku autentifikaciju jednos... Dalje
InstallFix napadi: lažne ChatGPT stranice koriste se za širenje malvera
Istraživači kompanije Push Security upozorili su na novu kampanju u kojoj napadači koriste legitimne ChatGPT stranice kako bi naveli korisnike da p... Dalje
Google uvodi zaštitu od krađe kolačića sesija za sve korisnike
Google je saopštio da je bezbednosna funkcija Device Bound Session Credentials (DBSC) sada dostupna svim korisnicima i da se postepeno uvodi za Googl... Dalje
Pratite nas
Nagrade
Prijatelji
