వెబ్క్యామ్ గూఢచర్యాన్ని అనుమతించే ఫ్లాష్ లోపాన్ని పరిష్కరించడానికి అడోబ్
అడోబ్ ఫ్లాష్ ప్లేయర్ దుర్బలత్వం కోసం ఫిక్స్పై పని చేస్తోంది, ఇది వ్యక్తుల వెబ్క్యామ్లు లేదా మైక్రోఫోన్లను వారికి తెలియకుండా ఆన్ చేయడానికి క్లిక్జాకింగ్ టెక్నిక్ల ద్వారా ఉపయోగించబడుతుంది.
సమస్య కనుగొనబడినది స్టాన్ఫోర్డ్ యూనివర్సిటీ కంప్యూటర్ సైన్స్ విద్యార్థి ఫెరోస్ అబౌఖాదిజేహ్ ద్వారా 2008 లో అనామక పరిశోధకుడి ద్వారా బహిర్గతమైన ఇలాంటి రుజువు-ఆధార భావన దోపిడీ ఆధారంగా రూపొందించబడింది.
విండోస్ 10 1903 లో కొత్తది ఏమిటి
సాంకేతికంగా యూజర్ ఇంటర్ఫేస్ (UI) రీడ్రెస్సింగ్ అని పిలుస్తారు, క్లిక్జాకింగ్ అనేది CSS అస్పష్టత మరియు పొజిషనింగ్ వంటి చట్టబద్ధమైన వెబ్ ప్రోగ్రామింగ్ ఫీచర్లను కలిపి, సామాజిక ఇంజనీరింగ్తో వినియోగదారులను అవాంఛిత చర్యలను ప్రారంభించడానికి మోసగించడం.
ఉదాహరణకు, ఫేస్బుక్ వినియోగదారులను మోసపూరిత పేజీలను లైక్ చేయడం లేదా వారి గోడలపై స్పామ్ను పోస్ట్ చేయడం ద్వారా క్లిక్జాకింగ్ టెక్నిక్లను ఉపయోగించారు.
ది 2008 వెబ్క్యామ్ గూఢచర్యం దాడి అడోబ్ ఫ్లాష్ ప్లేయర్ సెట్టింగ్ల మేనేజర్ని అడోబ్ వెబ్సైట్లో హోస్ట్ చేసిన పేజీ, కనిపించని ఐఫ్రేమ్లో లోడ్ చేయడం మరియు వెబ్క్యామ్ మరియు మైక్రోఫోన్ యాక్సెస్ను ఎనేబుల్ చేయడానికి వినియోగదారులను మోసగించడం.
దోపిడీ ద్వారా ఉపయోగించబడిన ఎర ఒక జావాస్క్రిప్ట్ గేమ్, దీని వలన వినియోగదారులు స్క్రీన్ మీద అమాయకంగా కనిపించే వివిధ బటన్లను క్లిక్ చేయాలి. కొన్ని క్లిక్లు గేమ్లో భాగంగా ఉన్నాయి, మరికొన్ని అదృశ్య iframe కి మళ్ళించబడ్డాయి.
ఫ్లాష్ ప్లేయర్ సెట్టింగ్ల మేనేజర్ పేజీలో కోడ్ను ఇన్సర్ట్ చేయడం ద్వారా ఆ సమయంలో అడోబ్ ప్రతిస్పందించింది, అది ఐఫ్రేమ్ కాకుండా నిరోధిస్తుంది. ఏదేమైనా, సెట్టింగ్ల నిర్వాహకుడు వాస్తవానికి SWF (షాక్వేవ్ ఫ్లాష్) ఫైల్ అని మరియు దానిని మొత్తం ఐఫ్రేమ్లోకి నేరుగా లోడ్ చేయడం, అడోబ్ యొక్క ఫ్రేమ్-బస్టింగ్ కోడ్ని దాటవేస్తుందని అబౌఖాదిజే గ్రహించాడు.
సారాంశంలో, ఇదే 2008 లో ఉన్న దుర్బలత్వం కొద్దిగా భిన్నమైన దాడి వెక్టర్ ద్వారా దోపిడీ చేయబడింది. 'ఇది నిజంగా పనిచేస్తుందని తెలుసుకున్నప్పుడు నేను నిజంగా ఆశ్చర్యపోయాను' అని అబౌఖాదిజే చెప్పారు.
అతను కొన్ని వారాల క్రితం సమస్య గురించి అడోబ్కు ఇమెయిల్ చేసాడు, కానీ ఎటువంటి స్పందన రాలేదు. ఏదేమైనా, పబ్లిక్ బహిర్గతం తర్వాత కంపెనీ అతనిని సంప్రదించింది, వారు తమ పరిష్కారానికి పని చేస్తున్నారని మరియు వినియోగదారులు వారి ఫ్లాష్ ప్లేయర్ ఇన్స్టాలేషన్లను అప్డేట్ చేయాల్సిన అవసరం లేదని అతనికి తెలియజేయడానికి.
విండోస్ 10 లో వర్చువల్ లైనక్స్
స్థానిక ఇంటర్ఫేస్కు బదులుగా ఫ్లాష్ ప్లేయర్ సెట్టింగ్లను సవరించడానికి అడోబ్ సర్వర్లలో హోస్ట్ చేయబడిన SWF ఫైల్ను ఉపయోగించడం ముందు సమస్యలను సృష్టించిన విషయం. ఉదాహరణకు, ఇది గోప్యతా న్యాయవాదులు గతంలో ఫిర్యాదు చేసారు, ఇది స్థానిక షేర్డ్ ఆబ్జెక్ట్లను (LSO లు) క్లియర్ చేస్తుంది, దీనిని సాధారణంగా ఫ్లాష్ కుకీలు అని పిలుస్తారు, కష్టంగా మరియు గందరగోళంగా ఉంటుంది.