Adobe работи по слабост на Flash player, която позволява шпиониране през уеб камера

Adobe работи над слабост на Flash Player, която може да бъде използвана от хакери, като се включат микрофоните и камерите на потребителите без тяхно знание. Проблемът е бил открит от студента по компютърни науки в Станфордкия университет, Ферос Абукаджи, който е използвал метод на анонимен откривател на подобен проблем през 2008 година. Уязвимостта на приложението дава възможност за така наречения clickjacking. При него се комбинират легитимни елементи като CSS непрозрачност и CSS позициониране със социален инженеринг, за да се примамят потребителите да извършат действия с нежелани последици. Например, clickjaking е бил използван, за да се измамят потребители на Facebook да харесат страници-фантоми или да публикуват спам информация, като бутоните Like и Share се скриват и се наслагват над действителните. През 2008 година е имало случай на подобна атака през уеб камера, като за целта е била използвана секцията на страницата на Adobe Adobe Flash Player Settings Manager. Тази секция всъщност е била страница, хоствана на уебсайта на Adobe, в прозрачен Iframe, която примамва потребителите да включат уеб камера и микрофон. „Стръвта” е била игра за JavaScript, в която е имало искане към потребителите да кликват различни бутони, изглеждащи безобидно на пръв поглед. Някои от кликванията били част от играта, други били насочвани към прозфачния Iframe. По това време Adobe сач въвели код във Flash Player Settings Manager, който би попречил да бъде използван прозрачен Iframe. Абукаджи обаче е разбрал, че самият Settings Manager е всъщност SWF (ShockWave Flash) файл. Aко този файл се зареди директно във прозрачен Iframe, вместо цялата страница, защитният код ще бъде преодолян. По същество това е същата слабост, открита през 2008 година, по малко по-различен път. „Бях наистина изненадан, като разрах че това работи” - споделя Абукаджи. Студентът казва, че е написал писмо до Аdobe преди няколко седмици, но доскоро не е получил отговор. След публичното разкриване на проблема обаче, от компанията са се свързали с него и го уведомили, че се работи по въпроса и няма да е необходимо потребителите да актуализират инсталациите си на Flash Player. Използването на SWF файл, хостван на сървърите на Аdobe за да се модифицират настройки на Flаsh Player, вместо да се въведе интерфейс за приложението на всеки отделен потребител е нещо, което е създавало проблеми и преди. Хората, загрижени за защитата на личната информация са се оплаквали, че по този начин изчистването на LSO или Flash cookies става трудно и объркващо.

Прочети цялата новина

Свързани новини: