Fallo de Flash convierte a las laptop y webcam en mirillas espías
Es problema de Google, únicamente en Chrome, insiste Adobe.
Un fallo de seguridad, que se creía corregido por Adobe desde octubre de 2011, salió de nuevo a la luz gracias a una vulnerabilidad que afecta a navegadores que utilizan Flash Player.
Sin permiso del usuario, la vulnerabilidad (aún sin parche) crea un camino para tomar el control de la cámara web y obtener acceso al audio y video de la computadora. El fallo, similar a un secuestro de clic (clickjacking en inglés), fue descubierto por el consultor de seguridad Egor Homakov, quien desarolló una prueba de concepto inofensiva con un exploit para resaltar los problemas del fallo e impulsar una pronta solución.
“Funciona precisamente como un secuestro de clic. El usuario da clic en un objeto tipo Flash transparente, el cual permite acceso al canal de audio y video, e instantáneamente el atacante puede ver y escuchar al usuario”, explica Homakov en su blog.
La portavoz del equipo de seguridad de Adobe, Heather Edell, confirmó la existencia del problema, pero dijo que solo aplica en la versión de Flash Player para Google Chrome.
“Esta vulnerabilidad afecta a los usuarios de Google Chrome con Flash Player instalado”, comentó Edell a las oficinas del blog The Register en un correo electrónico. “Google está trabajando para resolver el fallo, por lo que planean proveer una solución esta semana”, añadió la portavoz. La vulnerabilidad sería potencialmente muy útil para acosadores y espionaje similar al de la NSA.
Robert Hansen, director de administración de productos de la compañía WhiteHat Security, dijo que el modelo de seguridad adoptado por Adobe Flash contribuye al problema.
“El problema principal con Flash es que no tiene diálogos o avisos más allá del navegador que puedan alertar al usuario de lo que puede ocurrir”, explicó Hansen. “Debido a que los diálogos están en la misma página que el código malicioso, los objetos se pueden traslapar, esconder y ocultar la advertencia.”
Recientemente, Google impuso una fecha límite de 7 días a los fabricantes para responder ante reportes de fallos de seguridad. El descubrimiento de Homakov representa la primer oportunidad de ver si Google realmente se apega a estos tiempos límite.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.