Fallo en Flash permite espionaje Webcam
Adobe se encuentra trabajando en arreglar una vulnerabilidad en Flash Player que puede ser explotada mediante técnicas de clickjacking para activar las webcam de las personas o el micrófono sin su conocimiento.
El FALLO fue descubierto por un estudiante de ciencias de la computación de la Universidad de Stanford llamado Feross Aboukhadijeh, quien basó su exploit de prueba de concepto en uno similar dado a conocer en 2008 por un investigador anónimo.
Uno de los modos de alteración de la interfaz de usuario como el clickjacking, es un tipo de ataque que combina características de programación web legítima como opacidad y posicionamiento de CSS, con la ingeniería social para engañar a los usuarios y que realicen acciones no deseadas.
Por ejemplo, las técnicas de clickjacking han sido utilizadas para engañar a los usuarios de Facebook en dar “me gusta” en páginas falsas o para publicar spam en sus muros mediante el uso de botones transparentes de “me gusta” o “compartir”, ubicándolos sobre los aparentemente legítimos.
El ataque de espionaje webcam de 2008, involucró la carga del administrador de configuración de Adobe Flash Player, el cual es de hecho una página en el sitio de Adobe, dentro de un iframe y engaña a los usuarios para habilitar la cámara web y el micrófono.
El atractivo usado como exploit fue un juego en JavaScript que requería que los usuarios dieran clic en varios botones aparentemente inofensivos en la pantalla. Algunos de estos clics eran aparentemente parte del juego, mientras que otros eran redirigidos a un iframe invisible.
Adobe respondió en su momento mediante la inserción de código dentro del administrador de configuración de Flash Player que impedía ser utilizado desde un iframe. Sin embargo, Aboukhadijeh se dió cuenta de que el administrador de configuración es, de hecho, un archivo SWF (Shockwave Flash) y que carga directamente dentro de un iframe en lugar de una página entera, por lo que pasaría por alto el código de Adobe que previene el acceso mediante iframe.
En esencia es la misma vulnerabilidad de 2008 explotada mediante otro vector de ataque. “Estuve realmente sorprendido al descubrir que esto realmente funcionaba”, dijo Aboukhadijeh.
Dijo que se contactó mediante correo electrónico con Adobe para notificar sobre el problema hace algunas semanas, pero no obtuvo respuesta. Sin embargo, la compañía lo contactó después de darlo a conocer al público para informarle que estaban trabajando en una solución, la cual sera implementada en su sistema y que no requerirá que los usuarios actualicen su instalación de Flash Player.
La utilización de un archivo SWF alojado en un servidor de Adobe para la modificación de la configuración de Flash Player en lugar de una interface local, es algo que ha ocasionado problemas anteriormente. Por ejemplo, algunos defensores de la privacidad se han quejado en el pasado de que esto hace que borrar los Local Shared Objects (LSOs), comúnmente conocidos como cookies de Flash, sea difícil y confuso.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.