19:34
14/6/2013

…czyli znany od 2 lat błąd powraca za sprawą tego postu na reddicie.

Camjacking

W skrócie, ten atak to de facto clickjacking. Aplet Flasha dający uprawnienia stronie internetowej do korzystania z kamery w komputerze użytkownika jest umieszczany na przeźroczystej warstwie, która następnie jest nakładana np. na obrazek atrakcyjnej kobiety z ikoną “Play”.

Kontrolka flasha do sterowania kamerą

Kontrolka flasha do sterowania kamerą

Ci którzy będą chcieli odtworzyć filmik, zdziwią się srodze, dlatego że zamiast wdzięków niewiasty ujrzą na ekranie swoją twarz — tak rzecz jasna robi exploit proof-of-concept. Prawdziwy atakujący po prosty wykradłby zdjęcie (nie pokazująć go użytkownikowi) i np. szantażował, jeśli kamerka nagrała nas w mało komfortowej sytuacji… ;-)

Przykładowa implementacja ataku

Przykładowa implementacja ataku – ofiara jest zachęcana od odtworzenia filmiku (a tak naprawdę, klika/uruchamia ukryty aplet)

Jak działa atak możecie sprawdzić tutaj (PoC działa na Google Chrome pod Mac OS X — jeśli ktoś korzysta z bezpiecznej opcji “click to play” dla pluginów, będzie musiał kliknąć 2 razy; raz aby aktywować Flasha na stronie, drugi raz aby włączyć kamerkę). Tylko lepiej przed kliknięciem załóżcie coś na siebie, tak na wszelki wypadek.

PS. Jeśli wasz webcam nie ma diody informującej o tym, że jest w użyciu (albo nie wierzycie, że nie da się nadpisać jej firmware’u), polecamy stary, sprawdzony sposób zabezpieczenia przed podglądaniem (nie podsłuchiwaniem!):

zaklejony webcam

zaklejony webcamv

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

69 komentarzy

Dodaj komentarz
  1. u mnie jakoś nie działa, taki biały kwadrat na środku jednak rzuca się w oczy
    czyżby odporność presto?

  2. http://www.shareimage.ro/images/g77yc1y0ml78l4gkvkf.png
    prawie dałem się nabrać… trololoo

    • (na firefoxie)

  3. Lipne to jakieś, bo u mnie na Operze 12.15 pokazuje okienko od Flasha z szarą otoczką.

  4. Coś kiepsko im to wyszło: http://img819.imageshack.us/img819/4207/wzd.png

    • A skorzystałeś z Mac OS X i przeglądarki Chrome, do której dostosowany jest PoC?

  5. >Jak działa atak możecie sprawdzić tutaj

    poprawnie przechwyciło mi obraz z tunera TV :) ale wcześniej Flash i tak zapytał czy na pewno chcę udostępnić kamerę, więc słaby ten “atak” ;)

  6. a prism na to niemożliwe …

  7. U mnie wtyczki są wyłączone i dopiero klikiem musiałbym je aktywować. Nie groźne mi tak marne technologie :-)

    • klikiem w opcjach, czy click-to-playem? Bo jak to drugie to po prostu 2 kliknięcia ofiara musi wykonać – co pewnie zależy od motywacji i chęci zobaczenia danego videoclipu ;-)

  8. Kiedyś widziałem laptopa z wbudowaną “zasuwką” kamerki, tak jak kiedyś to było dosyć popularne w komórkach..
    A rozwiń czy rzeczywiście diodę można unieszkodliwić, bo co prawda u mnie się świeci ale w internecie niczemu nie wolno ufać

    • Mój 2-letni Asus tak ma [seria N43]. Proste, a jak przydatne. Inna sprawa, że ten swf wysypuje się na Pepper Flashu w Chrome.

    • Nie jestem zawodowym elektronikiem, ale ‘dioda’ nie jest sterowana ‘programowo’ tylko sprzętowo (na 10 ‘przerabianych laptopów, był to zwyczajny rezystor/tranzystor/chip/inne wynalazki), wiec jest spora szansa ze ‘kamera sama się nie uruchomi’

  9. Da się włączyć kamerkę bez włączania diody, jeśli kamerka ma diodę? Rodzice się upierają, że CIA, FBI i ZUS itp itd znają sposoby…

    • ZUS? :O

    • Da się włączyć kamerkę bez diody. Np. kamerki Logitech mogą to nawet w opcjach wyłączyć.
      Masz do wyboru dioda ciągle, dioda przy włączonej, dioda wyłączona.

    • Wszystkie TLS (Trzy Literowe Nazwy) mają dostęp do wszystkiego. Moi rodzice tak twierdzą, chociaż nie potrafią nawet otworzyć nowej karty w przeglądarce. (:

    • Tylko jest jedno małe ale … mówisz o kamerach ‘zewnętrznych’ nie wbudowanych w sprzęt (laptop), a te są sterowane programowo np sterownikami, pytanie czy Flash radzi sobie z tego typu kamerami tak samo dobrze jak z zwykłymi wbudowanymi – sprawdzić nie mam jak bo nie posiadam takiej ;)

    • Skiter, radzi sobie. Miałem kamerkę Esperanzy to wiem.

  10. Zemana AntiLogger

  11. U mnie na Firefoksie pokazuje normalnie komunikat Flasha: http://puu.sh/3fE6Q.jpg

    • Mam identyczny komunikat, z tym że… pojawia się mimo tego, że mam włączone click to play! Kamera natomiast się nie włącza, diodka nie świeci.

  12. ZTCP te smieszne male laptopy dla dzieciakow (OLPC) mialy diode szeregowo na linii zasilania z kamerka, zeby nie bylo opcji wlaczyc kamere bez diody…

  13. mac os x, safari – czuje bezpieczny :D lol

  14. sie *

  15. Działa aż miło ma mac os x i chrome, tyle że mi się dioda włączyła :)

  16. W Gnu/Linuksach wystarczy dodać do czarnej listy moduł odpowiedzialny za kamerkę zazwyczaj nazwany uvcvideo lub chwilowe rozwiązanie, odładowujące moduł do restartu: sudo modprobe -r uvcvideo

  17. NoScript :) http://susepaste.org/543efca3

  18. Poco takie pierdoły (zaklejanie kamerki). Wystarczy ją wyłączyć w menadżerze urządzeń.

    • I później wystarczy kilka linijek kodu sprawdzającego stan kamerki, co to za problem napisać soft który edytuje rejestr i aktywuje kamerki wyłączone?! :D

      Ogólnie PoC działa na Chrome 27 (Windows 7)

    • Do włączenia kamerki w systemie nie wystarczy atak typu
      clickjacking/camjacking. Tutaj już musisz wgrać do systemu złośliwe
      oprogramowanie, czyli w tym przypadku mieć exploita 0-daya na
      przeglądarkę lub plugin do niej. Nie wiem też, czy UAC na
      najwyższych ustawieniach (Windowsa w zasadzie nie używam) by
      przypadkiem nie pokazało komunikatu i poprosiło o potwierdzenie
      (okienko z najwyższym security levelem), gdybyś chciał włączyć
      kamerę. Dodatkowo złośliwe oprogramowanie może być wykryte przez
      antywirusa. Tak więc musiałbyś dodatkowo zaatakować system
      operacyjny. O tym już nie jest ten artykuł na niebezpieczniku, a
      jedynie o ataku Clickjacking/camjacking.

  19. polecam cenę z jogurtu do zaklejenia webcama

    • i w końcu sensowne rozwiązanie, ja pomalowałem jeszcze cenę czarnym markerem :D

  20. No flash, no problem. :)

  21. działa jak ta lala na w7 64-bit i najnowszy chrome, nawet mi diody od kamery nie włączyło… :/

  22. Jeżeli to działa tylko na Chrome to czuję się troszkę bezpieczniej – używam tylko Opery i IE :)

  23. Przestańcie pisać teksty “u mnie na przeglądarce X wersja Y działa/nie działa”, kurde 3 strony bezsensownych wpisów, przecież pisze jak byk że to tylko PoC przystosowany do konkretnej przeglądarki i systemu. To że aktualnie nie działa np. na Operze to nie znaczy że to super bezpieczna przeglądarka i możesz spokojnie klikać gdzie popadnie, bo pewnie wystarczy dostosować obszar do konkretnej wersji.

  24. Nie potrzeba flasha , oprogramowanie systemowe microshit ciągle wysyła obraz z kamerki na swoje serwery

  25. IMHO to bug w Chrome i tyle. Tego typu okienka powinny być poza kontrolą z poziomu DOM itp. Tak samo zresztą jak nie można wpływać na alert.

  26. A to Flash się nie pyta czy dać uprawnienia dla kamery/mikrofonu na stronie? Mi np. Spikeria się pyta.

    • Ideą ataku Clickjacking/Camjacking jest właśnie to, by
      użytkownik nie wiedział, że klikając w dane pole uaktywnia
      kamerę/mikrofon. Po prostu strona tak działa, że tego nie widzi, a
      nie dlatego iż jest ignorantem w kwestii bezpieczeństwa.

  27. U mnie, na lenovo g580, win7 64 bit i chrome normalnie włącza się kamerka i odpala lenovo YouCam

  28. Mój Lenovo IdeaPad Y580 ma kombinacje klawiszy która całkowicie w ogóle odłącza kamerkę od komputera (słychać charakterystyczne windowsowskie kliknięcie jak po usunięciu sprzętu). Pierwszy raz w sumie się z tym spotykam :p

  29. Dlatego prewencyjnie nie mam kamerki. :P

  30. Lipa :) Na Ubuntu używając Chrome mam okienko flash + szara ramka.

  31. czuje się bezpieczny, u mnie nawet nie da rady kliknąć play bo nie przynosi żadnego efektu jak bym klikał w obraz

  32. Hum … nie działa :/

    Czy powodem może być brak kamery i mikrofonu ? ;)

  33. Wyświetla się komunikat żeby włączyć YouCama. Pozdrawiam, HP.

  34. a nie lepiej (pod względem estetyki) wyłączyć kamerę w menadżeże urządzeń?

  35. Dioda w kamerkach zazwyczaj się zapala tylko podczas
    nagrywania ciągłego (filmu). W przypadku robienia zwykłego zdjęcia
    zazwyczaj się nie zapali, a przecież zdjęcia można robić
    sekwencyjnie (np. co 1/10 sekundy) i uzyskać całkiem płynny
    obraz… :)

  36. Windows 8 Chrome 27.0.1453.110 m Działa i nie
    pyta;(

  37. Dioda jest sterowana sprzętowo – możliwe nawet że dają jakiś tranzystor ale jego baza/bramka idą do wyprowadzenia mikro kontrolera a to już blisko do programu.

  38. Literówka się wkradła: “Prawdziwy atakujący po prosty
    wykradłby zdjęcie”

  39. Mam LinuxMint 14, i na FX pojawia się ramka Flasha, a na
    g.Chrome nie. Kamerka Logitech i dioda się nie zapala, choć zwykle
    to robi, ale “shakowałem” ją zaślepką od jakiegoś złomu. Pasuje
    idealnie. Otwieram jedynie na żądanie moje własne :)

  40. FF zapytal o wlaczenie, Chrome nie zapytal mimo, ze ma to w
    opcjach wymuszone, ostatnia wersja FlashPLayer’a itp. wlasnie
    zgloscilem security threat…

  41. Zainstalowałem ManyCam i po problemie :)
    Wyskakuje komunikat “Please enable ManyCam.” zamiast obrazu z kamerki.

  42. Debian Testing x86. Najnowszy ffox + flashplugin-nonfree i
    działa :D Nice…

  43. zaraz ktoś wymyśli 0day na zaklejoną kamerę :P

  44. Google Chrome 27.0.1453.116 m i Windows 8, atak działa
    poprawnie ;)

  45. Na iPadzie czuje sie bezpieczny – bez flasha nie ma prawa nic mi sie stac ;-)…

  46. Jest jakiś sposób na nieinwazyjne zdalne uruchomienie kamery, jeśli mam ją wyłączoną w menedżerze urządzeń i programy normalnie jej w ogóle w tedy nie widzą? Chyba tylko trojanem z dostępem do panelu sterowania?

    • Wyłącz kamerkę w BIOS’ie i po sprawie. W systemie w ogóle jej już nie zobaczysz. A jak zobaczysz to znaczy, że ktoś ją w BIOS’ie włączył.

      PS. Czy jest paten na zdalne włączenie kamerki w BIOS’ie? Nie sądzę.

  47. Szanowny Autorze, niewiasta=dziewica, no cóż raczej te
    ostatnie wdzięków nie prezentują ;)

  48. MacOS X 10.8.4 + Chrome 27.0.1453.116 ->
    http://img805.imageshack.us/img805/9076/agx8.jpg

    No bardzo przystosowany ;) Kompletne zaskoczenie ;)

    • tak, widzialem, ze po paru dniach chrome zaczal pytac, nie zmienialem niczego, chyba cos zostalo zmienione przez google

  49. Ja już dawno w swoim laptopie przeciągnąłem kable od kamerki i mam ją na mikro włączniku, to samo z MIC. Łatwe do zrobienia a niesamowicie skuteczne o ile pamięta się o wyłączaniu.

    Od dłuższego czasu i tak na stałe zakleiłem kamerkę a MIC jest cały czas wyłączony, podpinam zew. jeśli mam taką potrzebę.

  50. […] trojan jest w stanie skorzystać z kamery w laptopie podejrzanego i zrobić mu zdjęcie (por. kliknij tu i mamy twoje zdjęcie). Co ciekawe, robi to jednak ponoć bez włączania diody sygnalizującej o pracy […]

  51. Dobry antywirus potrafi wykryć program korzystający z kamerki (lub przechwytujący obraz z innego urządzenia). W moim przypadku Kaspersky wykrył to jak uruchomiłem przechwytywanie obrazu w jakimś programie do obróbki video.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: