Menú principal

viernes, 21 de octubre de 2011

Clickjacking en Adobe Flash deja que te graben en vídeo

Adobe Flash Player Settings Manager
No solo está de moda Adobe Flash por el caso del troyano OSX/FlashBack, sino que también por un caso curioso de clickjacking que permite a una página web activar la cámara del visitante y grabarle.

Adobe ya ha anunciado que va a solucionar este problema, sobre todo después del ruido que ha levantado el vídeo de la demostración presentado por Feross, el descubridor de la vulnerabilidad. 

El fallo se explota mediante un ataque de clickjacking en una página maliciosa. En esa página se carga, dentro de un iframe transparente la página de Adobe Flash Player Setting Manager, algo heredado de Macromedia, en la que se puede configurar la activación de la cámara. 

Por supuesto, los ataques de clickjacking se conocen hace tiempo, y es por eso que hay tecnologías para detectar que se ha metido dentro un frame la página web, y Adobe también aplica esas medidas. Sin embargo, la gracia del ataque presentado por Feross es que lo que mete en el frame no es la página web en sí, sino el archivo swf que utiliza Adobe en ella, para conseguir lo que se puede ver en el vídeo.


Adobe ya ha dicho que va a arreglar esta situación, y esperemos que se bastante pronto, ya que la página está hosteada por ellos, así que no debería suponer más que un parcheo de sus servidores. Si quieres probar si aún está activa la vulnerabilidad en tu sistema, puedes probar la demo que ha puesto online, en la que tienes que hacer clic en clic me hasta que se active la Webcam. La prueba funciona en Firefox y Safari.

La noticia ha salido asociada a Mac OS X, y es cierto que los usuarios de Mac se ven afectados por esta vulnerabilidad, pero también los usuarios de Windows. En el caso de Mac iSight además se encenderá, lo que serviría de alerta, pero por si acoso, recuerda que los más paranóicos tapamos la webcam y el micrófono para evitar situaciones embarazosas con malware o técnicos mirones.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares