Сайты шпионят за нами через веб-камеры

Компания Adobe начала спешную работу над устранением неприятной уязвимости в одной из своих самых известных технологий Flash Player. Благодаря этой узявимости злоумышленники могли скрытно активировать микрофоны и веб-камеры на компьютерах конечных пользователей, используя метод так называемой «кражи кликов» (clickjacking). Обнаружил уязвимость студент Стэнфордского университета Феросс Абухадижи (Feross Aboukhadijeh), создавший пример взлома на базе алгоритма, раскрытого еще в 2008 анонимным исследователем.

Технически «похищение кликов» представляет собой такой тип атаки, в котором сочетаются вполне легальные возможности веб-приложений, включая установку прозрачности и положения элементов с помощью стилей CSS, и также методы социальной инженерии, которые обманом заставляют пользователей выполнить ненужные действия. Например, подобное применялось, чтобы заставить пользователей социальных сетей «ставить плюсики» на фальшивых страницах или размещать спам на своих – соответствующие кнопки просто делались прозрачными и накладывались поверх вполне безобидных элементов.

Атака 2008 года на веб-камеры была построена на использовании утилиты Adobe Flash Player Settings Manager, которая фактически представляет собой веб-страницу на сайте Adobe. Она выводилась в невидимом фрейме Iframe ,а пользователь в результате обмана сам включал доступ к своему микрофону и веб-камере. Тогда для обмана использовалась игра, написанная на JavaScript, причем некоторые щелчки мыши действительно работали в ней, тогда как другие перенаправлялись на невидимый фрейм. В итоге компания Adobe внедрила в диалог Flash Player Settings Manager специальный код, который не дает вставлять эту страницу в невидимые фреймы.

Несмотря на принятые меры, Абухадижи обнаружил, что все параметры доступа хранятся в обычном файле формата SWF (Shockwave Flash), и их можно загрузить во фрейм напрямую, без остальной веб-страницы. В результате появляется возможность обойти код Adobe, защищающий от вставки во фреймы. По сути, используется та же уязвимость, что и в 2008 году, только вектор атаки выбран несколько иной. Сам Абухадижи признал, что был удивлен срабатыванием своей схемы. Автор утверждает, что сообщил компании Adobe о найденной уязвимости, но не получил ответа. Только после публичной огласки компания Adobe вышла на Абухадижи, чтобы проинформировать о работе над исправлением ситуации. Предполагается, что для обхода уязвимости пользователям не придется обновлять свои копии Flash Player.