Google ažurirao Chrome 27 zbog baga koji omogućava napadaču da krišom uključi web kameru

Vesti, 19.06.2013, 10:52 AM

Sigurnosni propust za koji je Adobe objavio zakrpu još u oktobru 2011. godine pojavio se ponovo zahvaljujući novoj ranjivosti u Flash Player browser plugin-u. Na propust je upozorio istraživač Egor Homakov koji je razvio bezopasni proof-of-concept exploit kako bi demonstrirao kako napadači mogu iskoristiti ovaj propust i preuzeti kontrolu nad web kamerom i mikrofonom.

Ova „clickjacking“ ranjivost omogućava napadaču da pristupi web kameri i mikrofonu pošto se korisnik na prevaru natera da klikne na „Allow“ dugme u prozoru za podešavanja Flash Player-a, misleći da je kliknuo na dugme „Play“ na video snimku.

Homakov je demonstrirao svoj proof-of-concept exploit koji tako što je postavio slideshow prezentacije sa fotografijama lepih devojaka. Na sredini ekrana je dugme „Play“. Kada kliknete na to dugme, zapravo ćete dozvoliti pristup web kameri svog računara. Prozor sa zahtevanom dozvolom za Flash Player je sakriven u nevidljivom sloju sa dugmetom „Allow“ koje se nalazi tačno ispod dugmeta „Play“ koje vidite. Klikom na dugme „Play“ vaša web kamera je aktivirana, a malo je verovatno da ste to primetili.

Portparol tima za bezbednost u kompaniji Adobe Heder Edel potvrdila je postojanje ranjivosti ali je naglasila da je to Google-ov problem, i da je propust moguće iskoristiti samo ako se radi o Flash Player-u za Google Chrome.

Google je brzo reagovao objavljivanjem ažuriranja za Chrome.

Chrome 27.0.1453.116 za Windows, Mac i Linux rešava problem ovog sigurnosnog propusta.

Ipak, stručnjaci smatraju da deo odgovornosti snosi i Adobe, jer Flash nema prozore koji se pojavljuje izvan browser-a koji bi mogli upozoriti korisnika o tome šta se događa. S obzirom da se prozor kao što je onaj za Adobe Flash Player Settings pojavljuje na istoj stranici koja može pripadati i nekom zlonamernom, moguće je sakriti šta se dešava.