Überwachung via Adobe Flash Player: Das flasht nicht

Die in fast jedem Browser verfügbare Software schockt immer wieder mit Sicherheitslücken. Nun wurde eine Angriffsmethode entwickelt, mit der sich per Flash spionieren lässt.

Forschung zu sicherer Informationstechnologie: Das Fraunhofer-Institut. Bild: dpa

Satte 32 Sicherheitslücken stopfte der Software-Konzern Adobe, als er seiner Multimedia-Technik Flash im vergangenen Juni ihr letztes großes Update verpasste. Doch dabei blieb es nicht: Nur zwei Monate später musste ein weiteres "Pflaster" für das Programm ("Patch", wie es im IT-Jargon heißt) nachgeschoben werden, weil erneut ein schwerwiegendes Problem aufgetaucht war: "Diese Lücke lässt die Anwendung abstürzen und erlaubt es einem Angreifer, das betroffene System potenziell zu übernehmen", warnte der Hersteller.

Flash ist allgegenwärtig: Auf nahezu jedem PC mit Browser ist die Technik in Form eines Zusatzprogramms installiert. Als sogenanntes Plug-in stellt sie Werbebanner und Videos dar, erlaubt technisch anspruchsvolle Online-Spiele und sorgt so für bunte Elemente, die bis vor einigen Jahren mit gewöhnlicher Web-Technik nicht umsetzbar waren. Kein Wunder, dass Flash noch immer sehr beliebt ist - bei Designern genauso wie bei Betreibern von Online-Games und Filmclip-Anbietern.

Gefahren ergeben sich vor allem daraus, dass Otto-Normal-Nutzer nie von der Technik gehört hat und sie deshalb nicht auf dem neuesten Stand hält. Während inzwischen ein Bewusstsein entwickelt wurde, dass man im Kampf gegen Viren und andere Datenschädlinge sowohl Windows als auch den verwendeten Browser stets updaten muss, bleibt Flash häufig veraltet. So können Angreifer längst bekannte Sicherheitslücken über einen erstaunlich langen Zeitraum weiter ausnutzen.

Was mit Flash alles geht, haben nun Sicherheitsforscher des Fraunhofer-Instituts für sichere Informationstechnologie in Darmstadt demonstriert. Sie entwickelten eine Methode, mit der sich Mikrofon und eingebaute Videokamera, wie sie mittlerweile in vielen Laptops stecken, aus der Ferne einschalten lassen. So werde der PC zur Abhörwanze und Überwachungskamera, sagten die Wissenschaftler auf einer Präsentation des Chaos Computer Clubs. Die dazu entwickelte Manipulationsmethode nannten die Forscher "Man-in-the-Middle"-Attacke: Der Angreifer setzt sich dabei zwischen Nutzer und Flash Steuersoftware und verändert diese - in diesem Fall zum Einschalten von Kamera und Mikro. Zwar müsse der Nutzer dem Bösewicht helfen, indem er ein falsches Verschlüsselungszertifikat akzeptiert. Da die Steuersoftware für den Nutzer aber auf einer Seite des Herstellers liegt, falle dies kaum auf, so die Fraunhofer-Forscher.

Neben potenziellen Sicherheitslücken, die auch zu den erwähnten Spionageangriffen führen können, besitzt Flash noch ein weiteres Problem: Firmen nutzen die Technik mittlerweile zum Nutzertracking. Sogenannte Flash-Cookies, kleine Datenkrümel, landen auf der Festplatte und speichern das Userverhalten. Da Flash-Cookies im Gegensatz zu regulären Datenkrümeln bei den PC-Besitzern kaum bekannt sind, werden sie auch fast nie gelöscht. (Tipps zur Entfernung gibt es hier.)

Die Gefahren, die von Flash ausgehen, lassen mittlerweile auch die anderen Software-Hersteller handeln. So besitzt der populäre freie Browser Firefox seit kurzem eine Funktion, die regelmäßig überprüft, ob Plug-ins nicht eventuell veraltet sind - Hauptübel sei hier Flash, geben die Programmierer unumwunden zu. Wird eine alte Version entdeckt, wird der Nutzer nun beim Programmstart von Firefox darüber informiert. Die Installation des Updates muss der Nutzer dann aber selbst anstoßen - der Warnhinweis enthält einen Link zum Download der jeweils neuesten Version, von dem man dringend Gebrauch machen sollte.

Eine weitere Möglichkeit, Flash-Probleme zu umgehen, sind sogenannte Flash-Blocker. Das Firefox //addons.mozilla.org/en-US/firefox/addon/433/:Add-on erlaubt es, die Multimedia-Technik standardmäßig abzuschalten und sie nur auf Wunsch aufzurufen. So kann man beispielsweise unbehelligt surfen, um dann an entsprechenden Stellen doch mal ein Flash-Video aufzurufen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.