Silvano Rebai - Fotolia

F

Wie der Adobe Flash Player Angreifern Zugriff auf Mikrofon und Kamera erlaubt

Unter bestimmten Voraussetzungen erlaubt der Flash Player einem Angreifer den Zugriff auf Mikrofon und Kamera eines Computers. Wie funktioniert das?

Eine Sicherheitslücke im Flash Player von Adobe ermöglicht es einem Angreifer, andere Personen über ein an ihren Computer angeschlossenes Mikrofon oder eine Webcam auszuspionieren. Der Fehler umgeht den so genannten Gleiche-Herkunfts-Schutz (Same Origin Policy) im Browser, der eigentlich verhindern soll, dass Berechtigungen, die einer bestimmten Domain gewährt werden, von einer anderen Domain aus genutzt werden können. Wie konnte es dazu kommen und warum haben die Sicherheitsfunktionen in Flash und im Browser versagt?

Bei der Suche nach Fehlern hat der Sicherheitsforscher Paulos Yibelo einen Security-Bypass in der Implementierung der Same Origin Policy des Flash Players von Adobe entdeckt. Sie wurde verzeichnet als CVE-2016-7890 und mit einem CVSS-v3-Wert (Common Vulnerability Scoring System) von 9,8 als kritisch eingestuft. Die Flash-Player-Versionen bis 23.0.0.207 sowie bis 11.2.202.644 sind betroffen. Die Sicherheitslücke ist vergleichsweise einfach auszunutzen, da ein Angreifer keine speziellen Rechte benötigt, um sich zu authentifizieren. Administratoren und Anwender sollten die bereitstehenden Patches deswegen einspielen, um die Gefahr eines Angriffs zu bannen.

Wie funktionieren Same Origin Policies?

Eigentlich sollte diese Art von Attacken durch Same Origin Policies verhindert werden. Sie besagen, dass beim Surfen im Internet keine Inhalte aus einer Domain mit Inhalten aus einer anderen Domain interagieren dürfen. Same Origin Policies sollen unter anderem sicherstellen, dass sowohl Protokoll, Port als auch der Host exakt übereinstimmen, bevor Inhalte aus einer Domain auf Inhalte einer anderen Domain zugreifen können.

Wenn ein Browser zum Beispiel eine Webseite mit der Adresse https://www.beispiel.de besucht, dann erlaubt er auch den Zugriff über das Document Object Model (DOM) auf ein Dokument von der Adresse https://meinaccount.beispiel.de zuzugreifen, aber nicht auf ein Dokument von der Seite https://www.beispiel.at und auch nicht auf http://www.beispiel.de. Im ersten Fall wird eine andere Domain verwendet, im zweiten Fall ein anderes Protokoll und ein anderer Port. Das ermöglicht es Anwendern, beim Surfen im Internet mit seinem Browser unterschiedliche Webseiten zu besuchen, ohne Gefahr zu laufen, dass diese Seiten Daten miteinander austauschen. Wenn dies nicht der Fall wäre, könnte ein Skript fremde Informationen inklusive Cookies und Session-Daten auslesen, verändern oder weiterleiten.

Obwohl auch der Flash Player dieses Sicherheitsmodell nutzt und die Same Origin Policy unterstützt, erlaubt er doch Ausnahmen, wenn eine Webseite eine so genannte Cross-Domain-Policy-Datei enthält. Dabei handelt es sich um eine Datei mit dem Namen crossdomain.xml, die festlegt, wie von einer Domain aus auf Flash-Anwendungen und -Daten zugegriffen werden darf, die auf einer anderen Domain liegen. Server, die in der Datei genannt werden, können auf alle Ressourcen zugreifen, die sich auf dem Server befinden, auf dem sich die Richtliniendatei befindet.

Die von Yibelo gefundene Lücke ermöglicht es einem lokalen Angreifer also, die einem anderen Flash-Applet gewährten Berechtigungen zu übernehmen, da der Flash Player die Same Origin Policy nicht korrekt umsetzt. Wenn zum Beispiel ein Anwender der Webseite https://www.beispiel.de erlaubt, via Flash Player auf sein Mikrofon und seine Kamera zuzugreifen, um per Video zu chatten, könnte diese Erlaubnis von einem Flash-Applet übernommen werden, das sich auf http://www.beispiel.de befindet. Flash macht dann den Fehler, jeden Zugriff von http://www.beispiel.de als legitimen Zugriff von https://www.beispiel.de zu betrachten. Der Bug kann jedoch nur ausgenutzt werden, wenn der Angreifer Zugriff auf das lokale System hat. Er würde es einem Angreifer dann aber relativ leicht erlauben, Zugang zu dem Mikrofon und der Kamera eines fremden Computers zu erhalten.

Adobe hat den Fehler mit dem Erscheinen der Version 24.0.0.186 behoben. Administratoren sollten alle relevanten Updates und Patches inklusive der kritischen Sicherheitsupdates, die Microsoft für Flash bereitstellt, daher installieren. Trotz vorhandener Updates kommen immer wieder veraltete Flash-Versionen zum Einsatz. Außerdem sollten Admins darüber nachdenken, den Flash Player per Gruppenrichtlinie zu deaktivieren, wenn er in ihrem Unternehmen als zu hohes Sicherheitsrisiko eingestuft wird. Browser wie Mozillas Firefox weisen darüber hinaus auf veraltete Flash-Versionen hin.

Adobe Flash ersetzen

Die auf lange Sicht bessere Lösung ist jedoch, die Anwendung komplett zu entfernen, wo immer es möglich ist. In HTML5 finden sich Funktionen, die denen von Flash entsprechen und teilweise sogar darüber hinausgehen. Webdesigner sollten ebenfalls auf HTML5 setzen und ihre Multimedia-Formate mit diesem Standard statt mit Flash erstellen, um Anwender keinen unnötigen Risiken auszusetzen. Administratoren von Webseiten sollten vorhandene crossdomain.xml-Dateien zudem überprüfen und sicherstellen, dass durch sie nur Zugriffe auf vertrauenswürdige Seiten erlaubt werden. Wenn die Dateien nicht mehr benötigt werden, weil Flash auf der Webseite eines Unternehmens nicht mehr eingesetzt wird, sollten sie am besten komplett entfernt werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

BSI veröffentlicht Mindeststandard für sichere Webbrowser

Wie kritisch sind DLL-Schwachstellen für Unternehmen?

Browsersicherheit: Angriff auf HTTPS per HEIST

Forbidden Attacks: Gefahr für HTTPS-Verbindungen

Artikel wurde zuletzt im Mai 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungsangriffe (Cross-Site Scripting, Buffer Overflows)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close