Vulnerabile Adobe Flash Player: la webcam accesa da remoto
Un problema di sicurezza rilevato nelle tecnologie Adobe permetterebbe a malintenzionati di accendere una webcam da remoto attraverso il clickjacking
di Fabio Boneschi pubblicata il 21 Ottobre 2011, alle 16:39 nel canale SicurezzaAdobe
Ammettiamolo, almeno una volta posizionandoci di fronte al nostro portatile e proprio davanti alla webcam abbiamo temuto di essere spiati, o anche solo ascoltati attraverso il microfono integrato. Fobia? Paura spropositata? Forse, e almeno per il momento nessun allarmismo anche se l'argomento merita di essere per lo meno considerato.
Feross Aboukhadijeh, uno studente della Stanford University, ha individuato una vulnerabilità nelle soluzioni Adobe che, se applicata su vasta scala, potrebbe rendere reali le paure appena descritte. Aboukhadijeh ha mostrato un modo attraverso il quale sarebbe in grado di attivare la webcam di PC all'insaputa dell'utente e navigando su una pagina web all'apparenza inoffensiva. È disponibile un video che mostra il problema.
Ancora una volta si utilizza la ben nota tecnica del clickjacking che in modo ingannevole induce l'utente nel cliccare su una cercta area dell'interfaccia grafica credendo di effettuare un'azione non pericolosa, mentre con questa banale operazione si da il via una payload che nel caso specifico prevede l'attivazione della webcam.
La vulnerabilità individuata da Feross Aboukhadijeh è assai simile a quella scoperta e risolta qualche anno fa relativa al Flash Player Settings Manager: questo componente veniva inserito in un IFRAME invisibile che di fatto raccoglieva i click del mouse. La nuova scoperta di Aboukhadijeh prevede l'utilizzo di un codice non troppo differente da quello utilizzato in precedenza e Adobe promette la risoluzione a breve del problema che non prevede alcun aggiornamento lato plug-in e client.
15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoSe la pagina web fosse in stile youporn... mamma quante risate si farebbe il tipo
Sul fisso non ce l'ho proprio la webcam quindi non mi preoccupo
Anche il mio MacBook Pro (ammesso che questa vulnerabilità abbia effetto anche su OS X).
Comunque direi che tutti i portatili recenti hanno qualcosa per indicare o disabilitare l'utilizzo della webcam: gli Eeepc hanno un piccolo "tappo" per oscurare la telecamera quando è inutilizzata.
pgp
Aggiornamenti Flash Player
Sono basito dal fatto che Adobe rilasci 15 - 20 aggiornamenti di Flash all'anno ed ogni volta, dico OGNI VOLTA, bisogna Accettare, Confermare, Ho letto.. , Si, e che p***e!!Ho dei clienti che mi chiamano appositamente per risolvere il problema.. Io gli rispondo che non è un problema ma un aggiornamento.. Solo che il problema esiste ed è relativo al cervello di chi ha concepito questo sistema di aggiornamenti..
Mi auguro che Flash sparisca presto soppiantato da HTML5..
Comunque direi che tutti i portatili recenti hanno qualcosa per indicare o disabilitare l'utilizzo della webcam: gli Eeepc hanno un piccolo "tappo" per oscurare la telecamera quando è inutilizzata.
pgp
Quello che non ho capito è la parte iniziale del video dove dice "Funziona con la maggior parte delle versioni Flash con cui l'ho testata e con la maggior parte dei Browser con cui l'ho testata...per qualche ragione non funziona su Chrome per OSX e sulla maggior parte dei browser sotto Windows...."
Quindi funziona solo su FF per OSX come mostrato nella demo?
molto probabilmente è controllata dal driver via sw, quindi taroccabile.
L'unica soluzione sicura sarebbe hw, ma più costosa, oppure un coperchietto di plastica.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".