696124

Werbebanner kapern die Zwischenablage

20.08.2008 | 16:11 Uhr |

Angreifer haben in Werbenetzwerke schädliche Flash-Animationen eingeschleust, die die Kontrolle über die Zwischenablage von Windows-, Linux- und Mac-Rechnern übernehmen. Sie schreiben dort, auch wiederholt, eine Web-Adresse hinein.

Berichte von Anwendern über mysteriöse Manipulationen ihrer Zwischenablage haben zur Entdeckung speziell präparierter Flash-Werbebanner als Ursache geführt. Diese Flash-Animationen nutzen in Flash vorhandene Möglichkeiten eigene Inhalte in die Zwischenablage zu kopieren. Die Animationen werden offenbar in Werbenetzwerke eingeschleust und erscheinen dann auf legitimen Websites, etwa bei großen Nachrichtenportalen.

Derzeit werden Adressen von Websites hinein kopiert, die betrügerische Antivirusprogramme für Windows anbieten. Die Manipulationen sind jedoch nicht auf Windows oder einen bestimmten Browser begrenzt - sie funktionieren auch unter Mac OS X und Linux. Die Folge ist, dass Anwender nicht in der Lage sind die gewünschten Textabschnitte oder Bilder über die Zwischenablage zu kopieren.

So gelingt es zum Beispiel nicht, die Web-Adresse einer beliebigen Site in ein Chat-Fenster oder in die URL-Zeile des Browsers zu kopieren. Sie wird von der Flash-Animation sofort und immer wieder durch die URL der Werbeseite ersetzt. Das kann zum Beispiel dazu führen, und das dürfte auch der Zweck der Sache sein, dass Anwender statt der von ihnen gewünschten Web-Adresse die der Werbeseite in ein Chat-Fenster kopieren.

Die Angreifer nutzen eine in Flash enthaltene ActionScript-Funktion namens "setClipboard()", um die globale Zwischenablage des Rechners eines Besuchers durch eigene Inhalte zu überschreiben. Dies geschieht permanent, so lange der Anwender die Web-Seite geöffnet hat, die das manipulative Flash-Banner geladen hat. Laut Adobes ActionScript-Dokumentation gibt es wenigstens keine Funktion, mit der sich der Inhalt der Zwischenablage auslesen ließe.

Die Angreifer missbrauchen offenbar das kostenlose Flash-Tool Fuse Kit , um die manipulierenden Werbebanner zu erstellen. Fuse selbst ist jedoch eine legitime und völlig harmlose Anwendung, wie etwa ein Texteditor oder Grafikprogramm. Wie es ihnen gelingt ihre Flash-Banner in kommerzielle Werbenetzwerke einzuschleusen, ist noch nicht abschließend geklärt.

Gegen die Manipulation der Zwischenablage hilft das Schließen des betreffenden Browser-Fensters. Vorbeugend können Nutzer von Firefox und anderer Mozilla-Browser Erweiterungen wie FlashBlock oder NoScript nutzen. Für den Internet Explorer gibt es zum Beispiel IE7 Pro, das ähnliches leistet. Der israelische Sicherheitsforscher Aviv Raff hat eine Demo-Seite bereit gestellt, in der eine nicht sichtbare Flash-Animation die Web-Adresse "www.evil.com" in die Zwischenablage schreibt.

0 Kommentare zu diesem Artikel
696124