Adobe: risolto il problema della webcam spia

Adobe: risolto il problema della webcam spia

Adobe ha aggiornato il pannello di configurazione dedicato a Adobe Flash risolvendo il problema relativo all'attivazione da remoto della webcam del PC

di pubblicata il , alle 09:51 nel canale Sicurezza
Adobe
 

Nei giorni scorsi Adobe ha aggiornato la pagina del proprio sito web dedicata alla configurazione dei parametri di sicurezza di Adobe Flash. L'aggiornamento risolve un problema di sicurezza relativo a file in formato . SWF e alla possibile attivazione della webcam dell'utente da remoto; a questoindirizzo avevamo dato la notizia con i primi dettagli disponibili.

A portare attenzione su questo problema è stato Feross Aboukhadijeh, uno studente della Stanford University che sul proprio blog ha pubblicato un exploit in grado di sfruttare la vulnerabilità. L'exploit sfrutta il clickjacking portando l'utente a ciccare su un layer trasparente e posizionato sopra il pannello di controllo online dedicato ai parametri di Adobe Flash. In questo video viene mostrato l'exploit.

La notizia viene riportata in questo brevissimo post pubblicato sul blog dell' Adobe Product Security Incident Response Team e non vengono forniti dettagli in merito alle modifiche introdotte. Come sottolineato da Adobe per la risoluzione di questo problema non è richiesto all'utente alcun intervento e non è stato necessario distribuire aggiornamenti software per plug-in e client.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Rubberick24 Ottobre 2011, 12:02 #1
a occhio direi che l'adobe ha semplicemente impedito che possa essere caricato quel flash al di fuori di una pagina chiara e ben visibile
SuperSandro24 Ottobre 2011, 12:10 #2
"per la risoluzione di questo problema non è richiesto all'utente alcun intervento e non è stato necessario distribuire aggiornamenti software per plug-in e client."

...uhmm... non ho ben capito: come è possibile che il problema sia risolto senza scaricare aggiornamenti? Se un utente ha una versione vecchia del player e incappa in un sito che ha quell'exploit, che succede?
StePunk8124 Ottobre 2011, 22:58 #3
magia?
sintopatataelettronica25 Ottobre 2011, 01:23 #4
Originariamente inviato da: SuperSandro
"per la risoluzione di questo problema non è richiesto all'utente alcun intervento e non è stato necessario distribuire aggiornamenti software per plug-in e client."

...uhmm... non ho ben capito: come è possibile che il problema sia risolto senza scaricare aggiornamenti? Se un utente ha una versione vecchia del player e incappa in un sito che ha quell'exploit, che succede?


Originariamente inviato da: StePunk81
magia?



Ma leggete solo i titoli o cercate di capire le notizie ?
Niente magia, per il tipo di exploit non serviva aggiornare niente in locale e basta guardare il video linkato per capire cos'hanno fatto alla Adobe per tappare la falla.
Nel video è spiegato bene come funzionaVA l'hack.. geniale nella sua semplicità, in effetti.

Non so se vi è mai capitato di doverli cambiare, ma le modifiche ai settaggi del plugin flash (tra cui concedere l'autorizzazione ad un sito per l'uso di webcam e microfono) si eseguono accedendo ad una pagina online sul sito adobe.

L'hack caricava quella pagina in un'i-frame invisibile, sfruttando una vulnerabilità del codice javascript usato da adobe per proteggerla da hacking e abusi vari: la pagina dei settaggi risultava dunque invisibile all'utente.. ma era contenuta in quella del sito e ATTIVA; ad essa veniva sovrapposta una sorta di giochino che ti obbligava a cliccare in zone specifiche dello schermo in un certo ordine.. in pratica mentre giocavi senza accorgertene stavi modificando i parametri del tuo plugin flash perchè sotto (non visibile) c'era la pagina adobe con tutti i pulsanti attivi! Così, dopo 5 o 6 click in quello che a te sembrava un giochino, in pratica stavi invece concedendo alla pagina su cui navigavi l'autorizzazione all'uso PERMANENTE della tua webcam e del tuo microfono, e tutto ciò direttamente dal sito ufficiale della adobe! Geniale, c'è poco da dire.

Alla Adobe è dunque bastato modificare il codice javascript della sua pagina per arginare la falla, nessun aggiornamento dal lato client era necessario.
C'è da dire che a livello di sicurezza mi sentirei tutt'altro che tranquillo, la procedura per il cambiamento dei settaggi dovrebbe avvenire in locale con privilegi amministratore o, almeno, su un server con autentificazione, non su una pagina web accessibile a chiunque e con un misero script javascript che ne DOVREBBE impedire il riutilizzo altrove!
SuperSandro25 Ottobre 2011, 09:45 #5
Originariamente inviato da: sintopatataelettronica
1. Ma leggete solo i titoli o cercate di capire le notizie?

2. basta guardare il video linkato per capire cos'hanno fatto alla Adobe per tappare la falla. Nel video è spiegato bene come funzionaVA l'hack.. geniale nella sua semplicità, in effetti.

3. Non so se vi è mai capitato (...eccetera...) L'hack caricava quella pagina in un'i-frame invisibile, sfruttando una vulnerabilità del codice javascript (...eccetera...) concedendo alla pagina su cui navigavi l'autorizzazione all'uso PERMANENTE della tua webcam e del tuo microfono, e tutto ciò direttamente dal sito ufficiale della adobe! Geniale, c'è poco da dire. (...eccetera...)

4. ...la procedura per il cambiamento dei settaggi dovrebbe avvenire in locale con privilegi amministratore o, almeno, su un server con autentificazione, non su una pagina web accessibile a chiunque e con un misero script javascript che ne DOVREBBE impedire il riutilizzo altrove!


1.2. In effetti mi sono limitato a leggere perché nel comprendere l'inglese parlato ho alcune difficoltà. Se nell'articolo fosse stata fornita la spiegazione (3) che tu hai fornito (semplice e chiara) non mi sarei permesso di chiedere precisazioni.

4. Concordo in pieno. Inoltre non ha senso impedire all'utente finale impostazioni personalizzate sul proprio PC.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^