missfitsbiz

Die Vorstellung ist ein Alptraum. Durch einen falschen Klick im Web ermöglicht man Hackern den Zugriff auf den eigenen Rechner und Webcam sowie Mikrofon können von außen aktiviert werden.

Die Technik nennt sich Clickjacking und bedeutet sowas wie Klickentführung. Der Surfer bekommt eine harmlose Seite angezeigt – beispielsweise ein Spiel – und wird zu einem Klick aufgefordert. Tatsächlich klickt er allerdings auf einen unsichtbar darüber gelegten IFRAME, der z.B. die Einstellungen des Flash Players verändert.

Guy Aharonovsky hat eine Demo veröffentlicht in der genau dies demonstriert wurde und die Angreifern Zugriff auf die Webcam erlaubt hat. Die Demo funktioniert inzwischen nicht mehr, weil Adobe die Website für den Setting Manager vom Flash PLayer inzwischen überarbeitet hat.

In diesem Video wird die Funktionsweise veranschaulicht:

Es muss nicht immer gleich eine feindliche Übernahme der Computerhardware sein, die einem Angst macht. Mit der Clickjacking Technik ist es natürlich sehr leicht möglich Surfern jeden beliebigen, ungewollten Klick unter zu jubeln. Es reicht im Zweifelsfall ein Link auf die falsche Seite.

Clickjacking ist an sich keine neue Technik. Schützen kann man sich gegen Clickjacking bisher AFAIK trotzdem nur im Firefox, nämlich mit dem Firefox Plugin NoScript ab der Version 1.8.2.1. Die Funktion ClearClick soll durchsichtige oder anderweititig verborgene Frames oder Dialoge beim Anklicken sichtbar machen.

Nachtrag (07.11.08):

Ab der Version 10.0.12.36 des Adobe Flash Players ist die Sicherheitslücke offenbar geschlossen. Unter der Adresse www.adobe.com/products/flash/about/ kann man die Flashversion auf dem eigenen Rechner prüfen.

Ähnliche Posts:

1. Globale Google SERPs at your fingertips
2. wpSEO wird kostenpflichtig aber: Preis für kleine Blogger gesenkt
3. WordPress Plugin Tipp: Wartungsmodus einschalten und in Ruhe updaten