partikelfernsteuerung

Wieder ist ein neuer Aspekt der Browsersicherheit aufgetaucht: „Clickjacking“, also das Umlenken von Klicks auf Funktionen, die der Benutzer eigentlich gar nicht aktivieren wollte. Die Idee ist alt, schon seit langem gibt es Versuche, gewisse Sicherheitsabfragen des Browsers teilweise durch Popup-Fenster zu überdecken, so dass der Benutzer denkt, er stimme einer ganz anderen, harmlosen Frage zu. Mit zunehmender Komplexität der Browser funktioniert diese Idee nun weitaus besser.

Hauptsächlich betroffen ist Adobe Flash, aber auch andere Plugins. Das Problem geht so:

• Webseiten können aus mehreren Layern bestehen, die übereinander liegen. Sie können sogar ganz oder teilweise transparent sein.
• Flashfilme können auf Webcam und Mikrofon des Computers zugreifen. Von dort aufgenommene Töne und Bilder können beliebig verarbeitet werden, z.B. an einen Server geschickt. Selbstverständlich ist der Zugriff nur möglich, wenn der Benutzer zustimmt.
• Flash zeigt seine Einstellungen nicht in einem besonderen Fenster an, sondern blendet sie direkt im betreffenden Flashfilm ein. So auch die Abfrage, ob der Nutzer dem Zugriff auf Kamera und Mikrofon zustimmt.
• Flashfilme sind normaler Bestandteil der Webseite, können also auch von anderen Ebenen überlagert werden. Damit wird dann auch die Sicherheitsabfrage überdeckt.
• Dennoch ist es möglich, dass ein Klick vom versteckten Layer empfangen wird. Man muss also den Benutzer nur dazu bringen, exakt auf die richtige Stelle zu klicken – z.B. indem dort ein interessanter Link positioniert wird.

Ein Video von Guya macht das Prinzip deutlich. Ursprünglich publiziert wurde das Problem auf ha.ckers.org, Adobe hat bereits darauf reagiert.

Eine simple, aber vielfältig zu missbrauchende Technik, die sehr viele Nutzer betrifft, weil fast alle Browser betroffen sind, und Flash sehr weit verbreitet ist. Und heimlicher Zugriff auf die Webcam ist eine ziemlich konkrete Bedrohung, im Gegensatz zu subtileren Angriffen auf die Privatsphäre.

Abhilfe für Firefox-Nutzer schafft wieder einmal die Erweiterung NoScript, die solche Attacken in der neuesten Version erkennt (im Laufe des Tages sollte hoffentlich auch die deutsche Übersetzung die neue Version ausliefern).

Andere wichtige Firefox-Plugins