(Avagy erre a címre tuti kapok néhány tucat Google találatot)

A Meta Rhein Main Chaos Days 111b minikonferencián Alexander Klink egy olyan módszert mutatott be, melynek segítségével némi social engineeringet és MitM támadást bevetve távolról bekapcsolható a Flash Player felhasználók mikrofonja és kamerája. 

A problémát a Macromedia.com-on elérhető Settings Manager okozza: ez a szolgáltatás nem más, mint két egymásba épülő SWF applet egy HTML oldalba ágyazva, melyek  közül a legbelső dokumentálatlan API hívások segítségével közvertlenül módosíthatja a látogató Flash Playerének beállításait (figyeljetek, egyes appletek egyenlőbbek a többinél!). Bár ez a belső applet hitelesített HTTPS csatornán töltődik le a felhasználóhoz, az áldozat gépén futó szoftver csak a felhasználóra hagyatkozik a tanúsítvány ellenőrzésekor, aki vagy figyelmen kívül hagyja a böngészőtől kapott figyelmeztetést, vagy nem (lehet tippeket tenni), előbbi esetben a letöltődő applet megnyitja a multimédia eszközöket a nagyvilág számára, és már el is lehet kezdeni streamelni a műsort.

A pontos hogyanokról a slideshow sajnos nem tesz említést, de a fentieken kívül rejt még egy vicces érdekességet, ezt mindenki nézze meg maga!