Cerca nel blog

2011/10/25

Falla Flash che accende webcam di nascosto: risolta

Che ci faccio col clickjacking? Accendo le webcam altrui e spio


Il clickjacking è una tecnica che consente di intercettare una cliccata di un utente e dirottarla altrove. Viene usata spesso su Facebook per esempio per far rispondere inavvertitamente gli utenti a un sondaggio sul quale gli organizzatori del clickjacking percepiscono una commissione per ogni sondaggio compilato. L'utente crede di cliccare su un pulsante per vedere un video, partecipare a un giochino o fare qualcos'altro di allettante, ma il suo clic in realtà viene usato per selezionare le risposte del sondaggio, che si trovano in un iframe invisibile.

È l'equivalente informatico di quando si fa firmare un foglio innocuo a qualcuno mettendo però sotto la carta carbone che copia la firma su un documento compromettente. Il termine clickjacking è stato coniato nel 2008 da Hansen e Grossman in questo articolo.

Pochi giorni fa lo studente d'informatica Feross Aboukhadijeh ha creato una demo di clickjacking che non si limitava a rubare il clic per usarlo in un sondaggio, ma accendeva webcam e microfono della vittima senza che a video comparissero avvisi.


Questo effetto era possibile, spiega Feross, perché i clic venivano trasferiti alla pagina delle impostazioni di Flash sul sito di Adobe, attraverso la quale si possono definire i siti autorizzati ad accedere via Flash a webcam e microfono. Lo studente aveva segnalato ad Adobe la vulnerabilità di questa pagina delle impostazioni tempo addietro, ma Adobe ha corretto il problema soltanto dopo che Feross l'ha reso pubblico.

Va chiarito che nonostante le apparenze (e almeno un paio di articoli d'allarme), le impostazioni degli utenti non sono custodite presso il sito di Adobe ma risiedono sul computer di ciascun utente. La pagina delle impostazioni non fa altro che visualizzare le impostazioni presenti nel computer dell'utente.

C'è, ovviamente, un modo molto semplice per bloccare l'attivazione della webcam: coprirla. Ci sono addirittura venditori di mascherine magnetiche apposite. Questa soluzione, però, non blocca il microfono, che specialmente nei laptop potrebbe essere difficile da scollegare o tappare.


Questo articolo è stato aggiornato dopo la pubblicazione iniziale e vi arriva grazie alla gentile donazione di “marziopanc*”.

Nessun commento: