Vulnerabile Adobe Flash Player: la webcam accesa da remoto

Vulnerabile Adobe Flash Player: la webcam accesa da remoto

Un problema di sicurezza rilevato nelle tecnologie Adobe permetterebbe a malintenzionati di accendere una webcam da remoto attraverso il clickjacking

di pubblicata il , alle 16:39 nel canale Sicurezza
Adobe
 

Ammettiamolo, almeno una volta posizionandoci di fronte al nostro portatile e proprio davanti alla webcam abbiamo temuto di essere spiati, o anche solo ascoltati attraverso il microfono integrato. Fobia? Paura spropositata? Forse, e almeno per il momento nessun allarmismo anche se l'argomento merita di essere per lo meno considerato.

Feross Aboukhadijeh, uno studente della Stanford University, ha individuato una vulnerabilità nelle soluzioni Adobe che, se applicata su vasta scala, potrebbe rendere reali le paure appena descritte. Aboukhadijeh ha mostrato un modo attraverso il quale sarebbe in grado di attivare la webcam di PC all'insaputa dell'utente e navigando su una pagina web all'apparenza inoffensiva. È disponibile un video che mostra il problema.

Ancora una volta si utilizza la ben nota tecnica del clickjacking che in modo ingannevole induce l'utente nel cliccare su una cercta area dell'interfaccia grafica credendo di effettuare un'azione non pericolosa, mentre con questa banale operazione si da il via una payload che nel caso specifico prevede l'attivazione della webcam.

La vulnerabilità individuata da Feross Aboukhadijeh è assai simile a quella scoperta e risolta qualche anno fa relativa al Flash Player Settings Manager: questo componente veniva inserito in un IFRAME invisibile che di fatto raccoglieva i click del mouse. La nuova scoperta di Aboukhadijeh prevede l'utilizzo di un codice non troppo differente da quello utilizzato in precedenza e Adobe promette la risoluzione a breve del problema che non prevede alcun aggiornamento lato plug-in e client.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
banryu7921 Ottobre 2011, 16:53 #1
Workaround "Do it to yourself" : appiccicare un post-it! sulla webcam quando non in uso.
piererentolo21 Ottobre 2011, 16:59 #2
Originariamente inviato da: Redazione di Hardware Upgrade
Aboukhadijeh ha mostrato un modo attraverso il quale sarebbe in grado di attivare la webcam di PC all'insaputa dell'utente e navigando su una pagina web all'apparenza inoffensiva.


Se la pagina web fosse in stile youporn... mamma quante risate si farebbe il tipo
Stargazer21 Ottobre 2011, 17:23 #3
disattiviamo anche il microfono a sto punto va
WarDuck21 Ottobre 2011, 18:11 #4
Il mio portatile (un Dell XPS 1330) ha un led per indicare quando la telecamera è accesa

Sul fisso non ce l'ho proprio la webcam quindi non mi preoccupo
pierr22 Ottobre 2011, 00:04 #5
Questa vulnerabilità è nota da tempo e su Firefox il Clickjacking è tenuto a bada da NoScript dal 2008.
Babbo Natale22 Ottobre 2011, 08:53 #6
peccato che con noscript attivo non funziona quasi nulla, a meno che non si visitino solo sempre gli stessi 2-3 siti è una estensione inutilmente rompicoglioni
pgp22 Ottobre 2011, 09:29 #7
Originariamente inviato da: WarDuck
Il mio portatile (un Dell XPS 1330) ha un led per indicare quando la telecamera è accesa


Anche il mio MacBook Pro (ammesso che questa vulnerabilità abbia effetto anche su OS X).
Comunque direi che tutti i portatili recenti hanno qualcosa per indicare o disabilitare l'utilizzo della webcam: gli Eeepc hanno un piccolo "tappo" per oscurare la telecamera quando è inutilizzata.


pgp
ImperatoreNeo22 Ottobre 2011, 11:15 #8

Aggiornamenti Flash Player

Sono basito dal fatto che Adobe rilasci 15 - 20 aggiornamenti di Flash all'anno ed ogni volta, dico OGNI VOLTA, bisogna Accettare, Confermare, Ho letto.. , Si, e che p***e!!

Ho dei clienti che mi chiamano appositamente per risolvere il problema.. Io gli rispondo che non è un problema ma un aggiornamento.. Solo che il problema esiste ed è relativo al cervello di chi ha concepito questo sistema di aggiornamenti..

Mi auguro che Flash sparisca presto soppiantato da HTML5..
TheMonzOne22 Ottobre 2011, 11:21 #9
Originariamente inviato da: pgp
Anche il mio MacBook Pro (ammesso che questa vulnerabilità abbia effetto anche su OS X).
Comunque direi che tutti i portatili recenti hanno qualcosa per indicare o disabilitare l'utilizzo della webcam: gli Eeepc hanno un piccolo "tappo" per oscurare la telecamera quando è inutilizzata.
pgp
Ma il video lo hai guardato? La demo è fatta su Mac .
Quello che non ho capito è la parte iniziale del video dove dice "Funziona con la maggior parte delle versioni Flash con cui l'ho testata e con la maggior parte dei Browser con cui l'ho testata...per qualche ragione non funziona su Chrome per OSX e sulla maggior parte dei browser sotto Windows...."
Quindi funziona solo su FF per OSX come mostrato nella demo?
zappy22 Ottobre 2011, 11:39 #10
Originariamente inviato da: WarDuck
Il mio portatile (un Dell XPS 1330) ha un led per indicare quando la telecamera è accesa


molto probabilmente è controllata dal driver via sw, quindi taroccabile.
L'unica soluzione sicura sarebbe hw, ma più costosa, oppure un coperchietto di plastica.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^