Sie sind hier:
 

Clickjacking: Wenn der Feind die eigene Webcam steuert
Sicherheitslücke im Flash Player ermöglicht Zugriff auf Bild und Ton

von Moritz Zielenkewitz Uhr veröffentlicht

Diesen Artikel weiterempfehlen
SHARES

Ihre Privatsphäre steht durch eine neue Bedrohung auf dem Spiel. Doch keine Viren und Trojaner sind der Grund dafür, sondern Ihre Webcam. Über einen Trick erhalten die Betreiber von manipulierten Websites nämlich unbemerkten Zugriff darauf. Clickjacking nennt sich diese Masche.

Fremde Personen können Sie über Ihre eigene Webcam sehen, ohne dasss Sie es merken. Schuld daran ist der Adobe Flash Player, der manipulierten Internetseiten den Zugriff auf Kamera und Mikrofon des Computers gestattet. Gegen diese ungewollte Spionage können Sie sich wehren.

Adobe hört und sieht mit

Mit dem Adobe Flash Player können Online-Inhalte im Flash-Format dargestellt werden. Sowohl Format als auch das Plugin sind im Netz beliebt. Nutzt eine Website Funktionen für Webcam oder Mikrofon - häufig beim Videochat -, gibt auch hier der Flash Player seine Zustimmung und kann den Datenaustausch so komfortabel unterstützen.

Über einen Einstellungs-Manager lässt sich festlegen, wie das Plugin mit Anfragen von Internet-Seiten umgehen soll, die Zugriff auf Bild und Ton erhalten möchten. Standardmäßig ist hier die Option Immer nachfragen eingestellt, sodass der Nutzer die Kontaktaufnahme bestätigen muss. Eigentlich eine sichere Sache, aber genau das ist bei der aktuellen Bedrohung ein Problem.

Versteckte Kamera

Spezielle Websites können dem Nutzer Inhalte vorgaukeln und ihn im Hintergrund dazu bewegen, der aktuellen Seite Zugriff auf die Webcam zu geben. Während der Besucher nichts Böses denkt, klickt er sich unbemerkt durch den Einstellungs-Manager das Flash Players und liefert der manipulierten Website sämtliche nötigen Rechte. Folgendes Video zeigt einen so genannten Proof of Concept, einen Beweis für die Existenz der Sicherheitslücke - verpackt als kleines Klickspiel im Browser:


Beweisführung: Der Nutzer denkt, er klickt in diesem Spiel lediglich auf Zeit die Schaltflächen an. In Wirklichkeit gibt er unbeabsichtigt aber der Website die Zugriffsrechte für die Webcam und sieht sich plötzlich selbst im Browserfenster.

Brenzlig ist diese Schwachstelle vor allem wegen der hohen Verbreitung des Flash Players: Etwa 98 Prozent aller Computer weltweit haben das Plugin installiert. Egal, welches Betriebssystem und welcher Browser - Clickjacking, so der Name für diesen kriminellen Trick, betrifft prinzipiell jeden Rechner, der über eine Webcam verfügt. Besonders gefährdet sind hier Apple-Produkte, die fast ausnahmslos mit eingebauter Kamera ausgeliefert werden.

Problemlösung erst Ende des Monats

Als erstes wurde das Team von ha.ckers.org vor einigen Wochen auf die Sicherheitslücke aufmerksam, bewahrte Stillschweigen gegenüber der Öffentlichkeit und kontaktierte Adobe. Der Konzern hat mittlerweile reagiert: Die Schwachstelle wurde als kritisch eingestuft - die höchste Bedrohungslage, die der Konzern ausspricht. Eine Aktualisierung des Flash Players ist allerdings erst Ende Oktober geplant, wenn der Flash Player 10 auf den Markt kommt.

Bis dahin empfiehlt Adobe folgende Lösung: Im Einstellungs-Manager des Flash Players muss das Standardverhalten von Immer fragen auf Immer blockieren umgestellt werden. Diese Herangehensweise schützt zwar vor Clickjacking, bringt aber ein neues Problem mit sich: Möchten seriöse Websites Zugriff auf die Webcam erlangen, werden sie abgewiesen. Daher muss der Nutzer jede dieser Seiten von Hand unter Website-Zugriffsschutzeinstellungen im Einstellungs-Manager hinzufügen.

Spionage-Schutz selbstgemacht

Ob es verantwortungsbewusst von Adobe ist, bis zum Ende des Monats mit einem Update zu warten, sei einmal dahingestellt. Es ist aber auch ohne Hilfe des Konzerns möglich, sich vor den Folgen des Clickjackings zu schützen. Externe Webcams bieten oft eine Schutzklappe, bei integrierten Modellen hilft ein dünner Klebestreifen vor fremden Blicken.

Im Einstellungs-Manager lässt sich der Flash Player vor Clickjacking schützen.

Am wirksamsten ist es aber, den Firefox in Kombination mit der Erweiterung NoScript zu verwenden. NoScript besitzt in der aktuellen Version nämlich eine Funktion, die sämtliche Pläne des Clickjackings durchkreuzt: Dank ClearClick werden bei einem Klick auf Elemente, welche in Websites eingebettet sind, zuerst die Folgen der Aktion angezeigt. Erst wenn der Nutzer den Effekt als gewünscht bestätigt, wird der Klick tatsächlich ausgeführt.

Unwissenheit ist Trumpf der Clickjacker

Die Bedrohung durch Clickjacking ist akut und die Vorstellung einer Website, die Zugriff auf Millionen von Webcams hat, ist beunruhigend. Das Ausnutzen der Sicherheitslücke im Flash Player funktioniert aber hauptsächlich so gut, weil nur wenige Nutzer davon wissen. Nach dem Motto "Gefahr erkannt, Gefahr gebannt" ist es mit wenigen Handgriffen möglich, sich vor den Auswirkungen von Clickjacking zuverlässig abzusichern.

Den Einstellungs-Manager des Adobe Flash Player sowie die aktuelle Bedrohungslage durch Clickjacking finden Sie unten in den Links zum Thema.

Kommentare zu diesem Artikel

Ihre Privatsphäre steht durch eine neue Bedrohung auf dem Spiel. Doch keine Viren und Trojaner sind der Grund dafür, sondern Ihre Webcam. Über einen Trick erhalten die Betreiber von manipulierten Websites nämlich unbemerkten Zugriff darauf. Clickjacking nennt sich diese Masche.

Jetzt ist Ihre Meinung gefragt. Diskutieren Sie im Forum zu diesem Artikel.

Jetzt Diskutieren!
  • McGeek schrieb Uhr
    AW: News - Clickjacking: Wenn der Feind die eigene Webcam steuert

    Das Teil kostet 15€ egal wie oft ihr Kommentare dazu ignoriert oder löscht...
  • AntiVanti schrieb Uhr
    AW: News - Clickjacking: Wenn der Feind die eigene Webcam steuert

    Das Teil kostet 15€. Für 30x10x1mm Plastik.
  • Roy83 schrieb Uhr
    AW: News - Clickjacking: Wenn der Feind die eigene Webcam steuert

    Ich habe mir für meine Webcam am Laptop einfach eine Abdeckung bei camstop.de gekauft, da ich auch immer das Gefühl habe beobachtet zu werden.
  • id406 schrieb Uhr
    AW: News - Clickjacking: Wenn der Feind die eigene Webcam steuert

    Kann es sein, dass ***.erotikdvdlinks.com auf diesem Feld aktiv ist? Zumindest fängt die Kontroll-LED an gelegntlich zu blinken. Ist übrigens eines der 1. Suchergebnisse bei google unter "erotik dvd handel" solltes nicht allzu selten abgerufen werden....

DSL- & LTE-Speedtest

Testen Sie mit unserem Speedtest Ihre tatsächliche DSL- oder LTE-Geschwindigkeit. Test auch mit Smartphone und Tablet möglich.

Jetzt Testen!

Der große Android-Update-Fahrplan

Welche Android-Version ist für mein Smartphone oder Tablet-Computer aktuell? Der große Android-Update-Fahrplan bringt Licht ins Dickicht der Versionen.

Jetzt ansehen!

article
22089
Clickjacking: Wenn der Feind die eigene Webcam steuert
Clickjacking: Wenn der Feind die eigene Webcam steuert
Wenn Sie sich auf einer Website selbst sehen können, ist es bereits zu spät: Clickjacking heißt eine neue Bedrohung im Internet, bei der manipulierte Seiten Zugriff auf Webcam und Mikrofon des eigenen PCs erhalten. Schuld ist der Flash Player.
http://www.netzwelt.de/news/78697-clickjacking-feind-eigene-webcam-steuert.html
2008-10-08 14:50:00
News
Clickjacking: Wenn der Feind die eigene Webcam steuert