Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 9/10/2008
En angriber kan åbne for sit offers mikrofon og webkamera, uden at offeret opdager det, ved at udnytte en sårbarhed af typen clickjacking.Det demonstrerer et program, som er et af de første eksempler på praktisk anvendelse af clickjacking. Angrebsmetoden er opdaget af sikkerhedsforskerne Robert Hansen og Jeremiah Grossman, som hidtil har hemmeligholdt detaljerne.
Efter at demonstrationsprogrammet er blevet offentliggjort, har de valgt at fortælle mere om sårbarheden. Den består i, at en angriber kan kapre klik, der var tiltænkt én applikation, så de bliver brugt i en anden. Det kan ske ved at gøre den anden applikations vindue gennemsigtigt og placere det oven på det vindue, som brugeren ser.
Når brugeren klikker i vinduet, kan nogle af hans klik ende i den anden applikation.
I demonstrationsprogrammet ser brugeren et spil, hvor han skal prøve at klikke på et ikon, der flytter sig. Men nogle af klikkene går i virkeligheden over til en webside, som styrer sikkerhedsindstillingerne for brug af mikrofon og webkamera i Adobes Flash Player.
Adobe har nu lukket sikkerhedshullet med en foreløbig rettelse. Firmaet planlægger at komme med en endelig rettelse inden udgangen af måneden.
I en artikel på sin blog understreger Robert Hansen, at JavaScript ikke er nødvendig for at kunne gennemføre clickjacking. Han nævner 12 eksempler på clickjacking-sårbarheder. To af dem er rettet, fire ventes rettet i kommende versioner af de sårbare programmer.