Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Kamera és mikrofon bekapcsolása távolról, Flash Playerrel

2010.09.06. 18:27 | buherator | 2 komment

(Avagy erre a címre tuti kapok néhány tucat Google találatot)

A Meta Rhein Main Chaos Days 111b minikonferencián Alexander Klink egy olyan módszert mutatott be, melynek segítségével némi social engineeringet és MitM támadást bevetve távolról bekapcsolható a Flash Player felhasználók mikrofonja és kamerája. 

A problémát a Macromedia.com-on elérhető Settings Manager okozza: ez a szolgáltatás nem más, mint két egymásba épülő SWF applet egy HTML oldalba ágyazva, melyek  közül a legbelső dokumentálatlan API hívások segítségével közvertlenül módosíthatja a látogató Flash Playerének beállításait (figyeljetek, egyes appletek egyenlőbbek a többinél!). Bár ez a belső applet hitelesített HTTPS csatornán töltődik le a felhasználóhoz, az áldozat gépén futó szoftver csak a felhasználóra hagyatkozik a tanúsítvány ellenőrzésekor, aki vagy figyelmen kívül hagyja a böngészőtől kapott figyelmeztetést, vagy nem (lehet tippeket tenni), előbbi esetben a letöltődő applet megnyitja a multimédia eszközöket a nagyvilág számára, és már el is lehet kezdeni streamelni a műsort.

A pontos hogyanokról a slideshow sajnos nem tesz említést, de a fentieken kívül rejt még egy vicces érdekességet, ezt mindenki nézze meg maga!

Címkék: privacy flash player

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

domi007 2010.09.06. 21:12:35

Pontosan emiatt általában a kamera mellett egy LED-es fény mindig jelzi, ha a kamera be van kapcsolva...bár a mikrofonra ez nem igaz.