Mediante vulnerabilidad de flash
Hackers pueden intervenir cámaras web, micrófonos y ratones
Adobe declaró máximo alerta después de conocerse un agujero de seguridad en Flash, que permite a hackers hacerse del control de cámaras web, micrófonos y ratones. La tecnología de intrusión empleada constituye una forma totalmente nueva de amenaza online.
Adobe ha distribuido una advertencia de rango crítico sobre la posibilidad que cámaras en línea, micrófonos y ratones puedan ser controlados a distancia por hackers. El nivel “crítico" es el más alto nivel de alarma usado por Adobe. En concreto, una vulnerabilidad en la tecnología Flash de Adobe habría sido documentada en un demo disponible públicamente. El demo tiene la forma de un juego online corriente, pero mientras el usuario juega, la aplicación asume el control de la cámara y el micrófono. De esa forma un hacker maligno puede observar todas las actividades del usuario. Aunque en principio pudiera parecer que la vulnerabilidad sólo puede tener consecuencias bochornosas para el usuario, al ver publicadas imágenes suyas en sitios como YouTube, lo cierto es que las consecuencias reales pueden ser más graves. El demo en cuestión es un ejemplo del fenómeno conocido como "clickjacking", que aprovecha una vulnerabilidad combinada de todos los navegadores de Internet y de la tecnología Flash de Adobe. El clickjacking implica que los clic que realiza el usuario en Internet son controlados a distancia. Así, si el usuario hace un clic hacia una página de su interés, en realidad puede ser enviado a una página totalmente distinta. La tecnología puede ser empleada para actividades que van desde el espionaje industrial a involucrar a los usuarios en actividades delictivas sin que este se entere; como por ejemplo hacer clic que lleven hacia sitios de pornografía infantil, estafas, etc. El demo en cuestión muestra el clickjacking vía Flash, pero todos los navegadores tendrían agujeros que permiten el clickjacking mediante determinados ajustes. El clickjacking aprovecha vulnerabilidades en Flash, Explorer, Firefox, Java y Safari. Adobe ha publicado un parche que corrige temporalmente el error, y anuncia que ésta habrá desaparecido en la próxima versión de Flash a publicarse a fin de mes.
Fuente: Blog de Adobe y F-Secure
No hay comentarios:
Publicar un comentario