Adobe Systems ha lavorato ad un fix per risolvere una vulnerabilità di Flash che poteva essere utilizzata dai siti Web per trasformare surrettiziamente il microfono di un visitatore o webcam. Il problema era nella Gestione delle impostazioni di Flash Player sui server di Adobe, e non nel software sui computer dei clienti, ha detto il portavoce di Adobe Wiebke Lips a CNET. "Gli ingegneri stanno attualmente lavorando su una correzione", avveva detto in una e-mail.
"Si noti che questo problema non coinvolge/richiede un aggiornamento del prodotto e/o azione del cliente (in altre parole, non c'è un bollettino sulla sicurezza). E' una soluzione che stiamo realizzando, e sta per essere spinta dal vivo non appena la QA [garanzia della qualità] ha completato il test. La vulnerabilità può essere fissata entro la fine della settimana", aveva detto. Il problema è stato portato alla luce da Feross Aboukhadijeh, uno studente di scienza del computer alla Stanford University, che in un post sul blog include una dimostrazione dal vivo.
L'attacco utilizzava una tecnica che è diventata popolare su siti come Facebook e Twitter chiamata "clickjacking". Il clickjacking consiste nel nascondere del codice al fine di ingannare le persone, in modo che quando fanno clic su un'area della pagina pensano che stiano facendo qualcosa di innocuo - come il "Like" su un post su Facebook, per esempio - quando i click effettivamente risultano su qualcosa di diverso.
In questo caso, qualcuno poteva fare clic su una serie di pulsanti, apparentemente come parte di un gioco o come aggiornamento, e invece davano acceso alla videocamera o al microfono senza saperlo. Per l'attacco, Aboukhadijeh ha nascosto un file SWF nel Flash Settings Manager dietro un iFrame nella pagina, che lascia bypassare il codice framebusting JavaScript, ha detto. "Ho visto un sacco di attacchi clickjacking in natura, ma non ho mai visto alcun attacco in cui l'attaccante iframe utilizza un file SWF con clickjacking su un dominio remoto -. Figuriamoci un file SWF così importante come quello che controlla l0accesso alla tua webcam e microfono!", ha scritto.
"Anche se tutti i browser e sistemi operativi sono teoricamente suscettibili a questo attacco, il processo per attivare la webcam richiede più scatti altamente mirati, che è difficile per un utente malintenzionato tirar fuori", osserva. "Non so quanto sarebbe in realtà utile questa tecnica in natura, ma spero che Adobe corregga subito quindi non ci sarebbe bisogno di scoprirlo". Un problema simile sorse nel 2008, ma tale questione richiese l'aggiornamento Adobe del suo software Flash Player sui computer dei clienti per fissare, ha detto Lips.
Aboukhadijeh ha detto di aver segnalato il problema ad Adobe un paio di settimane fa. Ma la sua e-mail è stata inviata a un dipendente che è stato un anno sabbatico e non al team di Adobe Product Security Incident Response, per cui Adobe non sapeva del problema fino all'uscita del suo post sul blog, secondo Lips. "Adobe porterà avanti questo fix rapidamente", ha detto Jeremiah Grossman, CTO di WhiteHat Security, che ha messo in guardia sui pericoli di clickjacking per diversi anni.
"Ognuno dovrebbe assicurarsi di avere il post-it per difendersi su obiettivi completamente aperti", ha scritto in una e-mail, riferendosi alla tecnica di coprire l'obiettivo della telecamera Web con un pezzo di carta. Ed Adobe dichiara di aver risolto (tempestivamente) il problema con una modifica al Flash Player Settings Manager dei file SWF, che risiedono sul sito Web di Adobe. Gli utenti non dovranno scaricare alcun aggiornamento per il loro Flash Player. Lo studio di Aboukhadijeh è disponibile in formato PDF al seguente indirizzo http://seclab.stanford.edu/websec/framebusting/framebust.pdf.
Nessun commento:
Posta un commento