Clickjacking, l'exploit passa per Flash

L'occhio della webcam potrebbe essere acceso da remoto senza l'approvazione dell'utente. Così il microfono. E tutto ciò tramite qualche click innocuo, semplicemente sfruttando la vulnerabilità già ribattezzata con l'appellativo di Clickjacking
L'occhio della webcam potrebbe essere acceso da remoto senza l'approvazione dell'utente. Così il microfono. E tutto ciò tramite qualche click innocuo, semplicemente sfruttando la vulnerabilità già ribattezzata con l'appellativo di Clickjacking
Giacomo Dotta
Pubblicato il 8 ott 2008

La webcam ed il microfono del pc o del laptop di qualunque utente potrebbero finire nelle mani di un utente remoto. L’allarme è stato lanciato da Adobe, e giunge in conseguenza di un exploit (tanto efficace quanto spettacolare nella propria dimostrazione) che rende evidente quanto con un po’ di creatività sia possibile creare trappole ad hoc per sfruttare il cosiddetto clickjacking di cui si è ampiamente discusso in rete nei giorni scorsi.

La spiegazione teorica è quella degli scopritori originari del problema, Robert Hansen e Jeremiah Grossman: «pensate ai pulsanti di un sito Web, i bonifici delle banche, i pulsanti di Digg, i banner pubblicitari, le queue di Netflix, eccetera. La lista è virtualmente illimitata e si tratta di esempi relativamente innocui. Poi considerate un attacco in grado di porsi in maniera invisibile tra questi pulsanti e il mouse degli utenti, facendo in modo che quando si preme un pulsante visibile, in realtà si stia premendo qualcos’altro che un utente malintenzionato desidera». La dimostrazione visiva è quella del video seguente, portato online per rendere evidente il problema agli occhi di tutti (l’esperimento di “proof of concept” può comunque essere provato direttamente qui):

L’autore dell’exploit, Guy Aharonovsky, ha ideato la trappola sfruttando Flash. Di qui il necessario avviso Adobe sul blog Adobe Product Security Incident Response Team (PSIRT): il gruppo segnala la possibilità per un malintenzionato di passare per Flash con lo scopo di abilitare microfono e webcam del pc. A disposizione, però, v’è ad oggi un workaround utile ad evitare ogni problema intervenendo manualmente tra le impostazioni del player Flash. Nessuna patch è stata invece al momento sviluppata.

I dettagli del problema sono stati sviscerati da Robert Hansen in un apposito post sul proprio blog. Nessuna piattaforma esclusa, nessun browser immune: l’occhio della webcam e l’orecchio del microfono sono potenzialmente nelle mani dei malintenzionati. Il procedimento però è macchinoso e con un briciolo di attenzione, per il momento, il rischio è aggirabile. In attesa di un intervento congiunto da parte delle software house.

Ti consigliamo anche

Una VPN veloce per non laggare più online: questa è la scelta più conveniente
Software e App

Una VPN veloce per non laggare più online: questa è la scelta più conveniente
Con NordVPN hai 2 anni di VPN a 3,69 euro al mese + 3 mesi extra gratis
VPN

Con NordVPN hai 2 anni di VPN a 3,69 euro al mese + 3 mesi extra gratis
È legale usare una VPN in Italia? Cosa c'è da sapere e quale scegliere oggi
Software e App

È legale usare una VPN in Italia? Cosa c'è da sapere e quale scegliere oggi
Quale VPN scegliere oggi? È semplice, c'è NordVPN in offerta (-65%)
Software e App

Quale VPN scegliere oggi? È semplice, c'è NordVPN in offerta (-65%)
Link copiato negli appunti