Kukkol és lehallgat a gonosz webes játék

Vágólapra másolva!
Napvilágra kerültek annak a részletei, hogy miként lehet egy trükkösen összerakott kód szoftverkód segítségével akár egy flashjátékba rejtve kémkedni a játékosnál: a clickjacking néven ismert eljárással akár a webkamerát és a mikrofont is aktiválni lehet, titokban megfigyelve a PC-jével szórakozó, mit sem sejtő felhasználót.
Vágólapra másolva!

A clickjacking elleni védekezést megnehezíti, hogy több eltérő típusú támadást illetnek ezzel a névvel, ráadásul a sebezhetőségek egy részét csak az Adobe Flash bővítményének régen várt tízes verziója orvosolja majd. Szerencsére vannak már módszerek az átverés elleni védekezésre, bár nem túl kényelmesek.

Ellenünk dolgozik a flashjáték

A támadás lényege, hogy egy Flashben készült játékot vagy bármi hasonlóan kattintásra ingerlő tartalmat a valójában engedélyezendő oldal felé pozicionál a támadó. A gyanútlan felhasználó kattintásainak egy része félre megy, azonban néhány jól elhelyezett céllal ráveszik, hogy az alul található és nem látható weboldalon engedélyezzen a támadó számára fontos dolgokat.

A sebezhetőségre két kutató, Robert Hansen és Jeremiah Grossmann talált rá szeptember közepén, ám a probléma részleteit nem hozták nyilvánosságra. Ennek köszönhetően az Adobe úgy kezdhetett el kezdhetett dolgozni a rések befoltozásán, hogy nem állt minden hackerré válni akaró szkriptkölyök rendelkezésére a támadáshoz szükséges technológia.

http://www.youtube.com/v/gxyLbpldmuU&hl=en&fs=1
Így működik a támadás

A pontos részleteket igyekeztek titokban tartani a javítás elkészültéig, ám egy másik kutató publikálta a saját tesztkódját, illetve egy a támadást bemutató videót is. Ezek után kutatópáros is nyilvánosságra hozta saját felfedezését, több lehetséges támadási módot ismertetve. A téma iránt érdeklődők a Buhera blogon olvashatnak utána a clickjacking történetének, ahol a hiba kihasználásához szükséges példakódot is linkeli a blogger.

Van megoldás, csak kicsit kényelmetlen

Szerencsére a clickjacking nem mindenható támadás, néhány egyszerű beállítással ki lehet húzni biztonságosan, amíg az Adobe javítja a Flash hiányosságait. Az egyik módszer a böngészőbe épülő plugin, bővítmény átállítása, hogy semmilyen körülmények között ne engedje a weblapokat hozzáférni a gép mikrofonjához és kamerájához. Ezt a funkciót a plugin beállítófelületén lehet kapcsolgatni, amit a legegyszerűbben az Adobe egy speciális oldalán lehet előhívni. Ez a beállítás így az összes mikrofont használó Flash-alkalmazást - például az olyan böngészőből működő webes telefonokat - ellehetetleníti, így az ilyen szolgáltatásokat használók a beállítófelület egy másik fülén engedélyt adhatnak néhány oldalnak a perifériák használatára.

A másik megoldás a Firefoxhoz letölthető NoScript kiegészítő legújabb verziójának telepítése. Itt ismét kénytelen lesz a felhasználó beállítani az engedélyezett oldalak listáját, de legalább nem egy bélyegnyi panelen kell beírnia a biztonságos oldalak címét.