Cerca nel blog

2011/10/25

Falla Flash che accende webcam di nascosto: risolta

Che ci faccio col clickjacking? Accendo le webcam altrui e spio


Il clickjacking è una tecnica che consente di intercettare una cliccata di un utente e dirottarla altrove. Viene usata spesso su Facebook per esempio per far rispondere inavvertitamente gli utenti a un sondaggio sul quale gli organizzatori del clickjacking percepiscono una commissione per ogni sondaggio compilato. L'utente crede di cliccare su un pulsante per vedere un video, partecipare a un giochino o fare qualcos'altro di allettante, ma il suo clic in realtà viene usato per selezionare le risposte del sondaggio, che si trovano in un iframe invisibile.

È l'equivalente informatico di quando si fa firmare un foglio innocuo a qualcuno mettendo però sotto la carta carbone che copia la firma su un documento compromettente. Il termine clickjacking è stato coniato nel 2008 da Hansen e Grossman in questo articolo.

Pochi giorni fa lo studente d'informatica Feross Aboukhadijeh ha creato una demo di clickjacking che non si limitava a rubare il clic per usarlo in un sondaggio, ma accendeva webcam e microfono della vittima senza che a video comparissero avvisi.


Questo effetto era possibile, spiega Feross, perché i clic venivano trasferiti alla pagina delle impostazioni di Flash sul sito di Adobe, attraverso la quale si possono definire i siti autorizzati ad accedere via Flash a webcam e microfono. Lo studente aveva segnalato ad Adobe la vulnerabilità di questa pagina delle impostazioni tempo addietro, ma Adobe ha corretto il problema soltanto dopo che Feross l'ha reso pubblico.

Va chiarito che nonostante le apparenze (e almeno un paio di articoli d'allarme), le impostazioni degli utenti non sono custodite presso il sito di Adobe ma risiedono sul computer di ciascun utente. La pagina delle impostazioni non fa altro che visualizzare le impostazioni presenti nel computer dell'utente.

C'è, ovviamente, un modo molto semplice per bloccare l'attivazione della webcam: coprirla. Ci sono addirittura venditori di mascherine magnetiche apposite. Questa soluzione, però, non blocca il microfono, che specialmente nei laptop potrebbe essere difficile da scollegare o tappare.


Questo articolo è stato aggiornato dopo la pubblicazione iniziale e vi arriva grazie alla gentile donazione di “marziopanc*”.

44 commenti:

Il Lupo della Luna ha detto...

E suppongo che disattivare webcam e Mic dalle preferenze di flash non serva a nulla...

mattia ha detto...

Va bene, non compaiono avvisi.
Ma sono anche capaci di accermi la webcam senza accendere la lucina che segnala che la webcam è in funzione?

Palin ha detto...

@mattia

Non tutte le webcam ne sono dotate...

Maurizio ha detto...

Da un pezzo ero sospettoso che ciò fosse fattibile.
Per quello davanti alla WCam ci tengo appiccicato un post-it.

Il Lupo della Luna ha detto...

Sulle mie si accende un LED, ma forse è disattivabile via software. Rilancio l'idea del post-it.

La Randagia ha detto...

...la mia webcam ha la "palpebra", è una di quelle vecchie logitech a palla con la chiusura scorrevole manuale: ho idea che contro 'sti dinosauri possano fare ben poco :o)

Marco ha detto...

Ecco perchè sulla mia webcam tengo un nastro di scotch nero.... anche se gradirei che i produttori di portarili mettessero già di serie un piccolo interruttore per accenderla/spegnerla fisicamente..... come il wi-fi

Stupor Mundi 83 ha detto...

Per quello davanti alla WCam ci tengo appiccicato un post-it.

Ecco perchè sulla mia webcam tengo un nastro di scotch nero...

Cos'è non volete farvi beccare a guardare i "pornografici" Ahahahahahah! XD

Comunque Io non ho il microfono e la webcam la tengo puntata al soffitto... Sarò un po' paranoico come i complottisti ma ammetto che quell'oggetto sferico che mi punta in faccia mi metteva un po' di soggezione (sapete quei pensieri stile: "metti che...").

Orsovolante ha detto...

Allora il complottista che tempo fa è stato sbeffeggiato perché consigliava di oscurare la webcam con del nastro e il microfono con del cotone non aveva tutti i torti :-)

(chi a voglia di cercare c'è il post su straker enemy).

Se non sbaglio anni fa il giochino era stato fatto con gli Imac. In quel caso si riusciva anche a far funzionare microfono ed altoparlante a computer spento.
Una delle vittime (parliamo di oltre 10 anni fa) di questo scherzo fù il DJ di RMC Jocelyn.

phicube ha detto...

@stupor mundi

Io ho la webcam nel notebook (per fortuna con lucina) ma son più paranoico di te: non potendola puntare in alto, visto che è attaccata al monitor, come prima cosa appena acceso per la prima volta il pc, ho disattivato la webcam da gestione periferiche di windows ;)

Paolo Attivissimo ha detto...

Orsovolante,

Allora il complottista che tempo fa è stato sbeffeggiato perché consigliava di oscurare la webcam con del nastro e il microfono con del cotone non aveva tutti i torti :-)

Certo. A volte anche uno scoiattolo cieco trova una ghianda.



In quel caso si riusciva anche a far funzionare microfono ed altoparlante a computer spento

A computer spento? Detta così mi sembra molto improbabile. Hai dei dettagli?

Stupor Mundi 83 ha detto...

Allora il complottista che tempo fa è stato sbeffeggiato perché consigliava di oscurare la webcam con del nastro e il microfono con del cotone non aveva tutti i torti :-)

Certo. A volte anche uno scoiattolo cieco trova una ghianda.


Ahahahah! E' bello anche questo paragone: "anche un orologio fermo due volte al giorno indica l'ora esatta". XD

Quel complottista credo che fosse TheTruth nel suo blog "loro ti vedono"... Se provate a leggerlo capirete che è molto peggio di uno scoiattolo cieco... Tra l'altro è anche un disperato perché supplica straker & co di venire a leggere i suoi post perché non se lo fila nessuno (http://ipensieridelfioba.blogspot.com/2011/10/rosario-marciano-e-tankerenemy-sicure.html). Inoltre ha solo tre lettori fissi e per un bel po' l'unico è stato lui stesso. Fa quasi tenerezza... XD

Stupidocane 58 ha detto...

Oddio, ed io allora che tengo la webcam nel cassetto? Riusciranno ad attivarla anche da lì? Magari con le microonde di HAARP riescono ad eccitare i poli di alimentazione della presa USB, ad accendere la webcam e grazie all'inversione dei poli magnetici (la famosa manovra "enoisrevni ied ilop") combinata con le nanoparticelle thermitiche a far muovere il filo come un serpente, farla uscire dal cassetto, cercarmi in casa e spiarmi mentre guardo i video di Michio Kaku...

Incredibbile... Dopo vado a casa e smattarello la webcam per bene, che non si sa mai...

:D

bastian contrario ha detto...

la mia webcam la possono anche accendere: tanto vedono solo me che strizzo gli occhi perché faccio fatica a leggere sullo schermo…
(questo fa il paio con facebook: se qualcuno mi trova colà, scoprirà che sono un appassionato di rugby, e ben poco altro).

Stupor Mundi 83 ha detto...

Per Stupidocane 58

Scusa ma cambi nick trimestralmente?
Dov'è andata a finire l'auto-investitura? La zampa è guarita, le fratture sono sparite e con loro anche il titolo annesso? XD

Stupidocane 58 ha detto...

@ Stupor

Uso il nick come mezzo di comunicazione del mio stato d'animo. Per un po' porterà il numero di Simoncelli, poi vedrò. :(

Stupor Mundi 83 ha detto...

Uso il nick come mezzo di comunicazione del mio stato d'animo. Per un po' porterà il numero di Simoncelli, poi vedrò. :(

Caspita, non avevo associato le due cose... Scusa. Un emoticon triste per solidarietà :-(

martinobri ha detto...

Uso il nick come mezzo di comunicazione del mio stato d'animo

Saresti un ottimo Facebookaro.
O no, come si dice? Facebookese? Facebookano? Facebookaz... ehm...

blu-flame ha detto...

Mai usato flash sul mio firefox anche quando si chiamava firebird.

Stupidocane 58 ha detto...

Saresti un ottimo Facebookaro.
O no, come si dice? Facebookese? Facebookano? Facebookaz... ehm...


Ehm... NSFW? Allora nella lista manca Facebookkino (esiste e c'ho le prove!) e siamo al completo.

E no, non ero un buon facebookkardo. Passata la buriana dei primi mesi ho cancellato l'account.

Carlo ha detto...

Io uso una pallina di "patafix" è ottima allo scopo, non sporca la lente , si rimuove facilmente, esteticamente quasi invisibile.
L 'unico problema è che se me la scordo chiudendo il notebook poi per riaprirlo servono due mani, altrimenti lo "cappotto" ;-)

Comunque, a schermo aperto e il notebook sulla scrivania la webcam punta al soffitto, e non è orientabile.

Adriano Esposito ha detto...

Scusate eh ma a meno che non siate una Venere o un Adone, ma chi straca... vi si ca... un potenziale clickjacker staccherebbe la connessione dopo due microsecondi...

La paranoia e la megalomania galoppano... :D

Adriano Esposito ha detto...

E no, non ero un buon facebookkardo. Passata la buriana dei primi mesi ho cancellato l'account.

E non sai quanto fai male.

Molotov T.M.B ha detto...

Io conosco persone che per paure di cose come queste rifiuta un determinato tipo di tecnologia. Al massimo arriva al telefonino da 30 euro.

Comunque sarebbe interessante capire come si scoprono simili falle.

Stupidocane 58 ha detto...

E non sai quanto fai male.

Scusa, cercherò di essere più delicato...

Mauro ha detto...

Per quanto riguarda la disattivazione del microfono integrato nei notebook credo sia sufficente uno spinotto jack, di quelli da saldargli i fili, (ovviamente senza fili) inserito nell'ingresso mic.

oui, c'est moi ha detto...

Stupidocane 58 ha commentato:
E non sai quanto fai male.

Scusa, cercherò di essere più delicato...

Ma LOL!

Gian ha detto...

E io che definivo paranoico mio fratello che metteva schotch nero sulla webcam incorporata del portatile!e lo faceva anche col mio PC!

RagazzaAcidella ha detto...

@ Stupidocane 58 e martinobri
O no, come si dice? Facebookese? Facebookano? Facebookaz... ehm...
Io suggerirei Facebookane!

Adriano Esposito ha detto...

Stu e Ué: prrrrrrrrrrrrrrr

Adriano Esposito ha detto...

Ma perché dovete insultare quelli come me che usano Facebook ogni giorno? Credete di essere migliori di me? Più intelligenti? Più qualcosa?

Stupidane da ciò è esentato perché è universalmente noto che è troppo stupido per capire come ci si iscrive a Facebook. Vero Stu?

puffolottiaccident ha detto...

Per il microfono dei notebooks:

Infilare un jack farlocco nella presa esterna dovrebbe disattivare il microfono integrato, dal punto di vista di un simile programma, ma non mi sento di ecsludere che questa caratteristica potrebbe essere scavalcata via software.

Paolo Attivissimo ha detto...

Adriano,

Ma perché dovete insultare quelli come me che usano Facebook ogni giorno? Credete di essere migliori di me? Più intelligenti? Più qualcosa?

Più tolleranti e meno permalosi? :-)


Stupidane da ciò è esentato perché è universalmente noto che è troppo stupido per capire come ci si iscrive a Facebook. Vero Stu?

Datti una calmata, per favore. Niente insulti personali.

Stupidocane 58 ha detto...

Stupidane da ciò è esentato perché è universalmente noto che è troppo stupido per capire come ci si iscrive a Facebook. Vero Stu?

Datti una calmata, per favore. Niente insulti personali.


Nema problema, io ed Adriamo siamo nemiciamici come Red & Toby, solo un po' meno gay. :D Il problema non è certamente tra me ed Adriano, bensì per chi legge "e non capisce il perché di tanta crudeltà" (cit.)

Faccio tesoro del suggerimento e mi dò una calmata. Faccio una corsa dietro al gatto e passa tutto...

Adriano Esposito ha detto...

Datti una calmata, per favore. Niente insulti personali.

Stu, metterò anche questa su lungo conto che abbiamo aperto ò__ó

Paolo Attivissimo ha detto...

Il problema non è certamente tra me ed Adriano, bensì per chi legge "e non capisce il perché di tanta crudeltà" (cit.)

Appunto. Visto da fuori sembra un battibecco serio, per cui è meglio chiarire (con emoticon o simili) oppure smettere :-)

Adriano Esposito ha detto...

Grazie per aver associato la parola serio, anche se solo in potenziale, alla mia persona!!!1!!1 Sono commosso ;-(


:D:D:D:D

Orsovolante ha detto...

@Attivissimo

Non so indicarti un documento dell'epoca. Parliamo degli iMac a tubo catodico, quindi diversi anni fa. Ricordo però bene la vicenda perché, credo la stampa, pubblico un intervista a Joselen. Con il computer collegato alla rete era possibile ascoltare dal microfono e attivare l'altoparlante. Presumo che per spento si intendesse il computer in std. By.

yos ha detto...

Ho provato a cliccare sulla demo di prova, ma non funziona !

Ho la Flash versione 11,0,1,152 con Fedora 14 e Firefox

A voi funziona? Cioè riuscite ad accendere la vostra web-cam?

Massimiliano ha detto...

Paolo, non è sufficiente scollegare la propria Web-cam dal PC quando non la si utilizza ?

Locomotiva ha detto...

@massimiliano: un sacco di computer mdoerni hanno la webcam integrata nello schermo piatto.

C'era una vignetta/pubblicità comparativa, mi pare della Dell. si vedeva, di lato, il computer della ditta, con tastiera, schermo piatto in cui e telecamerina appollaiata in cima.
A fianco si vedeva dalla stessa prospettiva un MAC (?) qualcosa, con tastiera e schermo con webcam incorporata.

Sotto c'era una riga: se è da riparare la webcam...
Il computer della ditta senza la telecamerina e il mac senza lo schermo.

Adriano Esposito ha detto...

@Massimiliano

Naturalmente, ci si riferisce alle web-cam integrate.

@Yos

Con Linux niente funziona! Più seriamente, l'autore certifica questa vulnerabilità solo su Firefox per Imac e Safari per iMac

Riccardo (D.O.C.) ha detto...

A questo punto però mi sorge spontanea una domanda: ma voi che ci fate davanti al computer? Se si accendesse la telecamera del mio, si vedrebbe o la mia brutta faccia o lo schienale della mia sedia. Al massimo, il gatto che va a dormire sempre sopra la tastiera. E allora? che se ne farebbe lo spione di turno? Mi preoccuperebbe molto di più l'accensione del microfono: quello sì che è un problema, perché, come tutti noi, potrei voler tener riservate le mie parole. Ma la faccia non la capisco molto. A meno che...

Stupidocane 58 ha detto...

@ Locomotiva

Era per caso questa?