Vulnerabile Adobe Flash Player: la webcam accesa da remoto

Ammettiamolo, almeno una volta posizionandoci di fronte al nostro portatile e proprio davanti alla webcam abbiamo temuto di essere spiati, o anche solo ascoltati attraverso il microfono integrato. Fobia? Paura spropositata? Forse, e almeno per il momento nessun allarmismo anche se l'argomento merita di essere per lo meno considerato.

Feross Aboukhadijeh, uno studente della Stanford University, ha individuato una vulnerabilità nelle soluzioni Adobe che, se applicata su vasta scala, potrebbe rendere reali le paure appena descritte. Aboukhadijeh ha mostrato un modo attraverso il quale sarebbe in grado di attivare la webcam di PC all'insaputa dell'utente e navigando su una pagina web all'apparenza inoffensiva. È disponibile un video che mostra il problema.

Ancora una volta si utilizza la ben nota tecnica del clickjacking che in modo ingannevole induce l'utente nel cliccare su una cercta area dell'interfaccia grafica credendo di effettuare un'azione non pericolosa, mentre con questa banale operazione si da il via una payload che nel caso specifico prevede l'attivazione della webcam.

La vulnerabilità individuata da Feross Aboukhadijeh è assai simile a quella scoperta e risolta qualche anno fa relativa al Flash Player Settings Manager: questo componente veniva inserito in un IFRAME invisibile che di fatto raccoglieva i click del mouse. La nuova scoperta di Aboukhadijeh prevede l'utilizzo di un codice non troppo differente da quello utilizzato in precedenza e Adobe promette la risoluzione a breve del problema che non prevede alcun aggiornamento lato plug-in e client.