QR code per la pagina originale

Clickjacking, l’exploit passa per Flash

L'occhio della webcam potrebbe essere acceso da remoto senza l'approvazione dell'utente. Così il microfono. E tutto ciò tramite qualche click innocuo, semplicemente sfruttando la vulnerabilità già ribattezzata con l'appellativo di Clickjacking

,

La webcam ed il microfono del pc o del laptop di qualunque utente potrebbero finire nelle mani di un utente remoto. L’allarme è stato lanciato da Adobe, e giunge in conseguenza di un exploit (tanto efficace quanto spettacolare nella propria dimostrazione) che rende evidente quanto con un po’ di creatività sia possibile creare trappole ad hoc per sfruttare il cosiddetto clickjacking di cui si è ampiamente discusso in rete nei giorni scorsi.

La spiegazione teorica è quella degli scopritori originari del problema, Robert Hansen e Jeremiah Grossman: «pensate ai pulsanti di un sito Web, i bonifici delle banche, i pulsanti di Digg, i banner pubblicitari, le queue di Netflix, eccetera. La lista è virtualmente illimitata e si tratta di esempi relativamente innocui. Poi considerate un attacco in grado di porsi in maniera invisibile tra questi pulsanti e il mouse degli utenti, facendo in modo che quando si preme un pulsante visibile, in realtà si stia premendo qualcos’altro che un utente malintenzionato desidera». La dimostrazione visiva è quella del video seguente, portato online per rendere evidente il problema agli occhi di tutti (l’esperimento di “proof of concept” può comunque essere provato direttamente qui):

L’autore dell’exploit, Guy Aharonovsky, ha ideato la trappola sfruttando Flash. Di qui il necessario avviso Adobe sul blog Adobe Product Security Incident Response Team (PSIRT): il gruppo segnala la possibilità per un malintenzionato di passare per Flash con lo scopo di abilitare microfono e webcam del pc. A disposizione, però, v’è ad oggi un workaround utile ad evitare ogni problema intervenendo manualmente tra le impostazioni del player Flash. Nessuna patch è stata invece al momento sviluppata.

I dettagli del problema sono stati sviscerati da Robert Hansen in un apposito post sul proprio blog. Nessuna piattaforma esclusa, nessun browser immune: l’occhio della webcam e l’orecchio del microfono sono potenzialmente nelle mani dei malintenzionati. Il procedimento però è macchinoso e con un briciolo di attenzione, per il momento, il rischio è aggirabile. In attesa di un intervento congiunto da parte delle software house.

Commenta e partecipa alle discussioni
  • 08/10/2008 alle 13:30 #143218

    Giacomo Dotta
    Amministratore

    L’occhio della webcam potrebbe essere acceso da remoto senza l’approvazione dell’utente. Così il microfono. E tutto ciò tramite qualche click innocuo, semplicemente sfruttando la vulnerabilità già ribattezzata con l’appellativo di Clickjacking

    Leggi la notizia: Clickjacking, l’exploit passa per Flash

    08/10/2008 alle 21:00 #183657

    Salvatore
    Membro

    la soluzione è alquanto banale anch’essa: io uso sempre portatili che non hnno la webcam integrata (e non collegandola al pc il problema 1 è risolto alla radice), e per il microfono attacco sempre lo spinotto delle cuffie escludendo il microfono dal relativo pulsante.