Masz kamerę internetową? Ktoś cię może podglądać!

fot. Blog.guya.net

W Sieci pojawiła się nowa gra online'owa - na pierwszy rzut oka wygląda jak prosta zabawa, mająca sprawdzić refleks użytkownika. W rzeczywistości jednak gra potrafi "podłączyć się" pod kamerę internetową i mikrofon - dzięki temu może ona szpiegować użytkownika. Na szczęście na razie nie jest to realne zagrożenie - gra jest bowiem dziełem specjalisty ds. bezpieczeństwa, których chce w ten sposób pokazać użytkownikom jakie zagrożenie stanowi nowy typ ataku internetowego, zwany "clickjacking".

cad

Clickjacking jest zagrożeniem "międzyplatformowym" - to znaczy, że nie jest przypisany do konkretnego programu. Jego odkrywcy - znani hakerzy Jeremiah Grossman i Robert "RSnake" Hansen - tłumaczą, że jest to tzw. błąd projektowy, dotyczący większości popularnych obecnie przeglądarek internetowych, programu Adobe Flash oraz wielu innych technologii związanych z przeglądaniem stron WWW. Najprościej rzecz ujmując, program ten pozwala na stworzenie strony, która "zmusi" przeglądarkę do uruchomienia niebezpiecznego odnośnika (nawet jeśli użytkownik na niego nie kliknie). O problemie tym wiadomo było od dawna - jednak do tej pory nie uznawano go za realne zagrożenie, ponieważ nikt nie był w stanie wymyślić niebezpiecznego zastosowania dla tego błędu.

Grossman i Hansen opublikowali niedawno raport na temat clickjackingu - wymienili w nim kilka potencjalnych pomysłów, z których mogą skorzystać przestępcy. Opracowanie to przeszło jednak bez echa - nie zainteresowali się nim ani specjaliści ds. bezpieczeństwa, ani producenci programów podatnych na taki atak. Być może dlatego autor bloga Blog.guya.net postanowił udowodnić, jak bardzo realny jest ten problem - stworzył prostą grę, która wykorzystuje clickjacking do zdalnego przejęcia kontroli nad podłączoną do komputera kamerą i mikrofonem. Dzięki temu jej autor może dosłownie podglądać i podsłuchiwać internautów. Do przeprowadzenia ataku nie są konieczne jakieś specjalne przygotowania - wystarczy, że "ofiara" uruchomi grę i kilkakrotnie kliknie myszą.

Oczywiście, wspomniana powyżej gra nikogo nie szpiegowała - program ten miał za zadanie uświadomienie użytkownikom zagrożenia. Aplikacja została już zresztą wyłączona - obecnie na stronie można jednak obejrzeć film przedstawiający przebieg ataku.

Przedstawiciele Adobe wydali już oświadczenie, w którym ostrzegają użytkowników Flasha (czyli zdecydowaną większość internautów - Flash obecny jest w prawie każdej przeglądarce) przed takim atakiem. Firma opublikowała również instrukcję, która umożliwia tymczasowe zabezpieczenie swojego systemu - można ją znaleźć tutaj. Wiadomo już, że pod koniec października ma pojawić się poprawiona wersja Flasha. Niestety, nie wiadomo na razie, kiedy załatane zostaną inne programy podatne na atak - Internet Explorer, Firefox, Safari i wiele, wiele innych.

Więcej informacji: Blog.guya.net.