# taz.de -- Überwachung via Adobe Flash Player: Das flasht nicht
> Die in fast jedem Browser verfügbare Software schockt immer wieder mit
> Sicherheitslücken. Nun wurde eine Angriffsmethode entwickelt, mit der
> sich per Flash spionieren lässt.
(IMG) Bild: Forschung zu sicherer Informationstechnologie: Das Fraunhofer-Institut.
Satte 32 Sicherheitslücken stopfte der Software-Konzern Adobe, als er
seiner Multimedia-Technik Flash im vergangenen Juni ihr letztes großes
Update verpasste. Doch dabei blieb es nicht: Nur zwei Monate später musste
ein weiteres "Pflaster" für das Programm ("Patch", wie es im IT-Jargon
heißt) nachgeschoben werden, weil erneut ein schwerwiegendes Problem
aufgetaucht war: "Diese Lücke lässt die Anwendung abstürzen und erlaubt es
einem Angreifer, das betroffene System potenziell zu übernehmen", warnte
der Hersteller.
Flash ist allgegenwärtig: Auf nahezu jedem PC mit Browser ist die Technik
in Form eines Zusatzprogramms installiert. Als sogenanntes Plug-in stellt
sie Werbebanner und Videos dar, erlaubt technisch anspruchsvolle
Online-Spiele und sorgt so für bunte Elemente, die bis vor einigen Jahren
mit gewöhnlicher Web-Technik nicht umsetzbar waren. Kein Wunder, dass Flash
noch immer sehr beliebt ist - bei Designern genauso wie bei Betreibern von
Online-Games und Filmclip-Anbietern.
Gefahren ergeben sich vor allem daraus, dass Otto-Normal-Nutzer nie von der
Technik gehört hat und sie deshalb nicht auf dem neuesten Stand hält.
Während inzwischen ein Bewusstsein entwickelt wurde, dass man im Kampf
gegen Viren und andere Datenschädlinge sowohl Windows als auch den
verwendeten Browser stets updaten muss, bleibt Flash häufig veraltet. So
können Angreifer längst bekannte Sicherheitslücken über einen erstaunlich
langen Zeitraum weiter ausnutzen.
Was mit Flash alles geht, haben nun Sicherheitsforscher des
Fraunhofer-Instituts für sichere Informationstechnologie in Darmstadt
demonstriert. Sie entwickelten eine Methode, mit der sich Mikrofon und
eingebaute Videokamera, wie sie mittlerweile in vielen Laptops stecken, aus
der Ferne einschalten lassen. So werde der PC zur Abhörwanze und
Überwachungskamera, sagten die Wissenschaftler auf einer Präsentation des
Chaos Computer Clubs. Die dazu entwickelte Manipulationsmethode nannten die
Forscher "Man-in-the-Middle"-Attacke: Der Angreifer setzt sich dabei
zwischen Nutzer und Flash Steuersoftware und verändert diese - in diesem
Fall zum Einschalten von Kamera und Mikro. Zwar müsse der Nutzer dem
Bösewicht helfen, indem er ein falsches Verschlüsselungszertifikat
akzeptiert. Da die Steuersoftware für den Nutzer aber auf einer Seite des
Herstellers liegt, falle dies kaum auf, so die Fraunhofer-Forscher.
Neben potenziellen Sicherheitslücken, die auch zu den erwähnten
Spionageangriffen führen können, besitzt Flash noch ein weiteres Problem:
Firmen nutzen die Technik mittlerweile zum Nutzertracking. Sogenannte
Flash-Cookies, kleine Datenkrümel, landen auf der Festplatte und speichern
das Userverhalten. Da Flash-Cookies im Gegensatz zu regulären Datenkrümeln
bei den PC-Besitzern kaum bekannt sind, werden sie auch fast nie gelöscht.
(Tipps zur Entfernung gibt es [1][hier].)
Die Gefahren, die von Flash ausgehen, lassen mittlerweile auch die anderen
Software-Hersteller handeln. So besitzt der populäre freie Browser Firefox
seit kurzem eine Funktion, die regelmäßig überprüft, ob Plug-ins nicht
eventuell veraltet sind - Hauptübel sei hier Flash, geben die Programmierer
unumwunden zu. Wird eine alte Version entdeckt, wird der Nutzer nun beim
Programmstart von Firefox darüber informiert. Die Installation des Updates
muss der Nutzer dann aber selbst anstoßen - der Warnhinweis enthält einen
[2][Link] zum Download der jeweils neuesten Version, von dem man dringend
Gebrauch machen sollte.
Eine weitere Möglichkeit, Flash-Probleme zu umgehen, sind sogenannte
Flash-Blocker. Das Firefox
[3][//addons.mozilla.org/en-US/firefox/addon/433/:Add-on] erlaubt es, die
Multimedia-Technik standardmäßig abzuschalten und sie nur auf Wunsch
aufzurufen. So kann man beispielsweise unbehelligt surfen, um dann an
entsprechenden Stellen doch mal ein Flash-Video aufzurufen.
7 Sep 2010
## LINKS
(DIR) [1] http://de.wikipedia.org/wiki/Flash-Cookie
(DIR) [2] http://www.adobe.com/software/flash/about/
(DIR) [3] http://https
## ARTIKEL ZUM THEMA