Adobe正在使用clickjacking技术反过来对人们的摄像头或麦克风,在他们不知情的情况下,可以通过利用一个Flash Player修复漏洞。
Feross Aboukhadijeh斯坦福大学计算机科学学生,他的概念证明型攻击的基础上披露,早在2008年由一个匿名研究员类似的问题被发现。
技术上称为用户界面纠正(UI),clickjacking是一个类型的攻击,结合了合法的Web编程功能,如CSS不透明度和定位与社会工程,诱骗用户启动不必要的行动。
例如,clickjacking技术已被用于诱骗喜欢流氓的网页或他们的墙壁上张贴垃圾邮件一样分享按钮,透明和合法的前瞻性的叠加超过Facebook的用户。
参与2008年的摄像头的间谍攻击装载的Adobe Flash Player设置管理器,这实际上是Adobe公司的网站上托管的网页,在一种无形的iframe诱骗用户可以通过摄像头和麦克风访问。
利用引诱是一个JavaScript的游戏,要求用户点击屏幕上的各种无辜的前瞻性按钮。点击有些人是比赛的一部分,而其他人则重定向到无形的iframe。
Adobe公司响应时间插入的Flash Player设置管理页面,防止被iframed的代码。然而,Aboukhadijeh意识到,设置管理器实际上是一个SWF的Shockwave Flash文件直接加载到一个iframe,而不是整个页面,将绕过Adobe的框架破坏代码。
Aboukhadijeh说:“从本质上讲,这是2008年相同的漏洞,通过利用一个略有不同的攻击向量。我真的很惊讶地发现,这实际上。”
他说,他通过电子邮件发送有关问题的Adobe几个星期前,但没有得到回应。不过,该公司联系,他公开披露后,通知他,他们是在将其最终部署,并不会要求用户更新Flash Player的装置的修复工作。
使用Adobe的服务器上托管一个SWF文件,修改Flash Player设置,而不是一个本地接口是一些已经产生的问题。例如,隐私的倡导者们抱怨在过去,这使得清除本地共享对象(邮品订购服务),俗称为Flash cookies的困难和混乱。