Clickjacking ile Webcam CasusluÄŸu

Tarayıcınızda yaptığınız basit bir "klik" siz farkında olmadan webcam ya da mikrofonunuzu dışarıdan erişime açabilir. Clickjacking olarak tabir edilen yeni saldırı metodu ile çeşitli web öğelerinde bulunan güvenlik açıkları kullanılarak bilgisayara uzaktan erişim sağlanabiliyor. Flash geliştiricisi Guy Aharonovsky Adobe Flash'ın, Flash Player Setting Manager'ında bulunan bir açıkla nasıl kullanıcının flash özelliklerinin değiştirilebildiğini ya da izinsiz olarak nasıl webcam ya da mikrofonlarının çalıştırıldığını hazırladığı demo ile anlatıyor.

Kendini bir JavaScript oyunu olarak tanımlayan uygulama içerisindeki bir objeye tıklandığında arka planda açılan IFrame ile dışarıdan Flash özelliklerine erişim sağlanabiliyor. Ayrıca tarayıcıdan javascript'i kapatmakta bir çözüm olmuyor. Benzer saldırılar Flash, DHTML, Silverlight ve Java üzerinden de yapılabiliyor. Demoda kullanılan açık için Adobe güncelleştirme yaptı. Bu nedenle demoyu isterseniz YouTube üzerinden izleyebilirsiniz.

Benzer clickjacking saldırıları çeşitli güvenlik uzmanları tarafından da araştırılmakta. Aviv Raff'ta benzer bir saldırı senaryosunu hazırladığı demo ile sunuyor. Ayrıca güvenlik uzmanları özellikle artan bu saldırılara karşı kullanıcıların dikkatli olmalarını öneriyor. Şuan güvenlik yöntemleri sınırlı da olsa Firefox'ta bulunan NoScript eklentisi ciddi bir güvenlik sağlayabiliyor. ClearClick fonksiyonu ile birlikte gizlenmiş ya da transparan kutucukların tespiti mümkün.

Referanslar:
http://blog.guya.net/2008/10/07/malicious-camera-spying-using-clickjacki...
http://ha.ckers.org/blog/20081007/clickjacking-details/
http://www.adobe.com/support/security/advisories/apsa08-08.html