Mój komputer się na mnie gapi. Znów.

Adobe nie ma ostatnio łatwego życia - firma przebojem zastąpiła Microsoft na pierwszym miejscu listy producentów najczęściej atakowanego oprogramowania i wciąż pojawiają się nowe doniesienia o poważnych błędach w jej produktach. Właśnie dowiedzieliśmy się o kolejnym, tym razem poważnie zagrażającym prywatności użytkowników - okazuje się, że istnieje metoda zdalnego nieautoryzowanego włączenia kamery i mikrofonu w komputerze PC. To zresztą nie pierwszy taki problem Adobe.

Najnowszą lukę wykrył i opisał w swoim blogu Feross Aboukhadijeh, student informatyki na Uniwersytecie Stanforda - Aboukhadijeh udowodnił, że odpowiednie zastosowanie tzw. clickjackingu pozwala na podglądanie i podsłuchiwanie użytkownika. Clickjacking to technika polegająca na "przechwyceniu" kliknięcia - użytkownik myśli, że klika jakiś odnośnik czy pole w grze, a tak naprawdę naciska ukryty przycisk (w tym przypadku zezwalający stronie WWW na uzyskanie dostępu do mikrofonu i kamery).

Sprawa niewątpliwie jest poważna, bo błąd stanowi realne zagrożenie dla prywatności internautów - w końcu nikt nie życzy sobie transmitowania swojego życia online (no, prawie nikt - niektóre programy TV przeczą tej tezie), szczególnie jeśli odbywa się to bez jego wiedzy.

Na szczęście nic nie wskazuje na to, by ktokolwiek wykorzystywał już ów błąd do podglądania użytkowników. Teraz to się może zmienić, bo informacja o luce została upubliczniona - Aboukhadijeh zrobił to, ponieważ pracownicy Adobe zignorowali e-maila, którego wysłał kilka tygodni temu w tej sprawie. Co zresztą nieźle pokazuje, jak Adobe podchodzi do kwestii bezpieczeństwa.

To oczywiście żadne zaskoczenie, bo o tym, że Adobe ma poważne problemy z zabezpieczeniem swoich produktów wiadomo nie od dziś. Jeszcze kilka lat temu przestępcy zupełnie ignorowali Flash Playera czy Adobe Readera - ale gdy Microsoft wziął się wreszcie na poważnie za zabezpieczenie Windows, IE i Office'a, nagle okazało się, że produkty koncernu z Redmond są całkiem nieźle zabezpieczone przed cyberprzestępcami.

Nic więc dziwnego, że ci zaczęli się rozglądać się za innymi, łatwiejszymi celami - i okazało się, że w co drugim pececie jest coś napisanego przez programistów Adobe (zwykle Reader lub Flash Player) i że zwykle to coś jest dziurawe jak rzeszoto. Z dwóch powodów - po pierwsze, firma łatała swoje produkty sporadycznie i jakby od niechcenia; po drugie Adobe bardzo długo nie miał porządnego mechanizmu aktualizacyjnego, więc nawet jeśli była dostępna nowa wersja jakieś aplikacji, to znaczna część użytkowników wciąż korzystała z tej starej, dziurawej.

Oddajmy jednak sprawiedliwość Adobe - ostatnio firma naprawdę wzięła się za bezpieczeństwo swoich produktów i sytuacja stopniowo się poprawia. Ale na realne zwiększenie się poziomu bezpieczeństwa użytkownicy będą musieli jeszcze sporo poczekać - ostatnie miesiące oraz najnowszy problem z kamerą pokazuje, że Adobe ma jeszcze mnóstwo błędów do załatania, a wśród nich znajdują się luki naprawdę niebezpieczne.

Pozytywem w tej całej historii jest tylko to, że tym razem problem powinna rozwiązać aktualizacja oprogramowania po stronie Adobe, a nie na komputerach użytkowników. Firma ponoć już nad nią pracuje. Odnotujmy, że problem jest "wieloplatformowy" - metoda Ferossa Aboukhadijeha działa zarówno w  Windows, jak i w Mac OS X.

Na koniec dodajmy, że Adobe miał już na koncie podobny problem - 3 lata temu okazało się, że istnieje metoda włączenia kamery internetowej bez wiedzy użytkownika. Wtedy też problemem był clickjacking - szkoda, że firma nie wyciągnęła wniosków z tej przygody.