HARD CORE SECURITY LAB

Właścicieli wszystkich komputerów stacjonarnych oraz przenośnych, które wyposażone są w kamerę oraz/lub mikrofon, zachęcam do zwrócenia szczególnej uwagi na nową metodę ataku pozwalającego na zdalne podglądanie oraz podsłuchiwanie użytkowników takiego komputera. Okazuje się, że możliwe jest przygotowanie specjalnej strony internetowej, która pozwoli innym dowolnie wybranym stronom internetowym na przechwytywanie obrazu z kamery oraz dźwięku zarejestrowanego przez mikrofon bez naszej wiedzy i zgody.

Ataki mające na celu przechwycenie obrazu pochodzącego z naszych kamer internetowych nie są nowością. Znany jest przypadek komputerowego przestępcy, który za pomocą trojana dystrybuowanego pośród wybranych internautów (gimnazjalistek), podglądał swe ofiary poprzez kamery internetowe. Warto również wiedzieć, że jeśli korzystamy z komputera należącego do jakiejś organizacji (szkoły, pracodawcy, itd.), to sprzęt taki może być umyślnie wyposażony w oprogramowanie pozwalające na zdalną aktywację kamery. W taki właśnie sposób amerykańscy licealiści byli podglądani we własnym domu przez pracowników szkoły.

Tymczasem specjaliści ze słynnego instytutu Fraunhofera (znani nam już chociażby z badań nad metodami łamania Windowsowego BitLockera), opracowali metodę ataku na nasze kamery i mikrofony z wykorzystaniem pewnych własności Adobe Flash Playera. Otóż konfiguracja poszczególnych ustawień Flash Playera możliwa jest za pomocą apletu Settings Manager, który to sam jest stworzony w technologii Flash i został udostępniony przez Adobe pod tym adresem. Ustawienia prywatności, takie jak umożliwienie dostępu poszczególnym witrynom internetowym do naszej kamery oraz mikrofonu, dostępne są w ramach Global Privacy Settings panel. Jak się okazuje, cały mechanizm nie jest wystarczająco zabezpieczony, w wyniku czego intruz może poprzez fałszywy aplet dowolnie zmodyfikować poszczególne ustawienia, w tym np. zezwolić dowolnej stronie internetowej na dostęp do naszej kamery oraz mikrofonu!

Jedynym zabezpieczeniem jest tak naprawdę fakt, że Settings Manager musi zostać pobrany za pomocą protokołu HTTPS z domeny www.macromedia.com. Na udany atak może więc przykładowo pozwolić odrobina interakcji z użytkownikiem oraz zastosowanie techniki MitM (ang. man in the middle). Pewnym problemem może być dla intruza brak odpowiedniego certyfikatu. Warto jednak przypomnieć, że w takim wypadku można skorzystać z ataku typu Compelled certificate creation, który w skrócie polega na wystawienia fałszywego certyfikatu poświadczającego tożsamość określonej organizacji.

Do przeprowadzenia udanego ataku wystarczy więc, by użytkownik odwiedził (może do tego zostać zmuszony przez intruza np. w wyniku przekierowania, modyfikacji ruchu sieciowego w locie, itd.) witrynę zawierającą fałszywy aplet Settings Manager. Jeśli intruzowi udało się zdobyć odpowiedni certyfikat, nie pojawi się ostrzeżenie o fałszywym certyfikacie. Fałszywy Settings Manager może dowolnie zmodyfikować opcje prywatności, w szczególności zezwalając dowolnej witrynie na swobodny dostęp do lokalnej kamery internetowej oraz mikrofonu.

W całej sprawie interesujące jest również to, że firma Adobe została powiadomiona o nowej metodzie ataku już 08.03.2010 r. Do tej pory nie zostało jednak opracowane żadne rozwiązanie mogące uchronić internautów przed udanym atakiem. Na chwilę obecną nie ma również żadnych oficjalnych planów co do poprawienia zagrażającego naszej prywatności mechanizmu. Jedynym dostępnym obecnie rozwiązaniem jest natomiast całkowite zablokowanie dostępu Flash Playera do mikrofonu oraz kamery, co można osiągnąć dodając wpis o treści:

AVHardwareDisable = 1

do pliku mms.cfg. Więcej informacji na temat konfiguracji Flash Playera za pomocą pliku mms.cfg można znaleźć tutaj.

Podsumowując, najpewniejszym sposobem na ochronę własnej prywatności przed intruzem próbującym wykorzystać naszą kamerę internetową pozostaje nadal fizyczne zasłonięcie obiektywu...