Компания Adobe работает над устранением уязвимости в Flash Player, которая может быть использована для включения веб-камер и микрофонов пользователей без их ведома.

Проблема была обнаружена студентом Стенфордского университета Фероссом Абухадиже. Рабочую версию своего эксплойта с использованием кликджекинга он создал на базе похожего кода, опубликованного ещё в 2008 году неизвестным исследователем.

Кликджекинг представляет собой тип атаки, объединяющий в себе социальную инженерию с использованием обычных свойств прозрачности и позиционирования CSS, которая скрытно пытается вынудить пользователя совершить нежелательные для него действия. Например, кликджекинг использовался для того, чтобы обманом заставлять пользователей Facebook кликать на кнопки "Like", повышающие рейтинг вредоносных веб-страниц.

Атака, разработанная в 2008 году и позволявшая шпионить за пользователями, заключалась в открытии в невидимом фрейме менеджера настроек Adobe Flash Player, представляющего собой веб-страницу на сайте Adobe, и в манипуляции действиями пользователя таким образом, чтобы он сам разрешил доступ к веб-камере и микрофону.

Приманкой тогда служила игра, написанная на JavaScript, в которой от пользователя требовалось нажимать на обычного вида кнопки на экране. Некоторые клики обрабатывались самой игрой, а некоторые переадресовывались в невидимый фрейм.

Тогда Adobe просто модифицировала страницу, содержащую менеджер настроек Flash Player, таким образом, что её загрузка в отдельный фрейм стала невозможной. Однако Абухадиже обнаружил, что для обхода мер, принятых Adobe, вместо вставки целой страницы, в отдельный фрейм достаточно вставить сам менеджер настроек, представляющий собой простой SWF-файл.

По сути, новый метод атаки ничем не отличается от старого. По словам Абухадиже, он был сильно удивлён, что это работает. Он сказал, что оповестил Adobe о проблеме несколько недель назад. В ответ компания на днях связалась с ним и сообщила, что проблема будет исправлена на их стороне, и что пользователям обновлять свои установки Flash Player не потребуется.

Использование SWF-файла, расположенного на серверах Adobe, для модификации настроек Flash Player вызывало проблемы и ранее. Например, защитники конфиденциальности в прошлом часто жаловались, что это создаёт проблемы при очистке браузеров от локальных разделяемых объектов (LSO), известных также как Flash-куки.