Adobe è al lavoro per risolvere una vulnerabilità che potrebbe avere spiacevoli conseguenze per gli utenti di Flash Player: la lacuna potrebbe infatti consentire ad un aggressore di attivare la webcam o l’altrui microfono senza che “la vittima” dell’aggressione ne sia consapevole. Secondo quanto trapelato, la lacuna di sicurezza potrebbe essere sfruttata attraverso la tecnica del clickjacking (l’utente posiziona il puntatore del mouse su di un oggetto e vi fa clic; in realtà, tale clic viene automaticamente reindirizzato su un altro elemento).
La vulnerabilità è stata messa a nudo da Feross Aboukhadijeh, uno studente della Stanford University che ha basato il suo studio su un bug similare individuato nel 2008 da un ricercatore anonimo.
L’aggressione basava il suo funzionamento sul caricamento del pannello “Gestione impostazioni” di Flash Player (in inglese Flash Player Settings Manager), una pagina ospitata sui server di Adobe che permette di variare alcune preferenze legate al funzionamento di Flash Player (gestione dei cookie, impostazioni di webcam e microfono, privacy e così via). Facendo leva sulla tecnica del clickjacking l’utente, cliccando su un link all’apparenza benigno, abilitava il microfono collegato al suo personal computer.
Il Flash Player Settings Manager veniva inserito in una tag IFRAME invisibile ed, agendo sul link malevolo, l’utente in realtà interagiva – senza saperlo – con tale pannello.
Per arginare questa tipologia d’attacco, Adobe fece in modo che il pannello delle impostazioni di Flash Player non potesse essere più inserito in un IFRAME.
Il gestore delle impostazioni di Flash Player, però, è – esso stesso – un semplice contenuto in formato Flash (.SWF). Aboukhadijeh ha spiegato che utilizzando codice molto simile a quello del 2008 ed inserendo il file Flash remoto in un IFRAME, è stato in grado di porre in essere un attacco perfettamente funzionante. “Sono rimasto sorpreso nell’apprendere che la stessa tipologia d’attacco continua a funzionare, ancor oggi“, ha dichiarato.
Adobe spiega di essere al lavoro su un aggiornamento risolutivo che non richiederà l’installazione di alcun update per Flash Player. Il problema, infatti, risiede esclusivamente nel gestore delle impostazioni fruibile collegandosi al sito dell’azienda (ved. questa pagina).
Per maggiori informazioni, vi suggeriamo la lettura di questi articoli di approfondimento.
Aggiornamento: Adobe ha comunicato di aver risolto il problema. Gli utenti, d’ora in poi, non dovrebbero più correre alcun rischio.