La webcam ed il microfono del pc o del laptop di qualunque utente potrebbero finire nelle mani di un utente remoto. L’allarme è stato lanciato da Adobe, e giunge in conseguenza di un exploit (tanto efficace quanto spettacolare nella propria dimostrazione) che rende evidente quanto con un po’ di creatività sia possibile creare trappole ad hoc per sfruttare il cosiddetto clickjacking di cui si è ampiamente discusso in rete nei giorni scorsi.
La spiegazione teorica è quella degli scopritori originari del problema, Robert Hansen e Jeremiah Grossman: «pensate ai pulsanti di un sito Web, i bonifici delle banche, i pulsanti di Digg, i banner pubblicitari, le queue di Netflix, eccetera. La lista è virtualmente illimitata e si tratta di esempi relativamente innocui. Poi considerate un attacco in grado di porsi in maniera invisibile tra questi pulsanti e il mouse degli utenti, facendo in modo che quando si preme un pulsante visibile, in realtà si stia premendo qualcos’altro che un utente malintenzionato desidera». La dimostrazione visiva è quella del video seguente, portato online per rendere evidente il problema agli occhi di tutti (l’esperimento di “proof of concept” può comunque essere provato direttamente qui):
L’autore dell’exploit, Guy Aharonovsky, ha ideato la trappola sfruttando Flash. Di qui il necessario avviso Adobe sul blog Adobe Product Security Incident Response Team (PSIRT): il gruppo segnala la possibilità per un malintenzionato di passare per Flash con lo scopo di abilitare microfono e webcam del pc. A disposizione, però, v’è ad oggi un workaround utile ad evitare ogni problema intervenendo manualmente tra le impostazioni del player Flash. Nessuna patch è stata invece al momento sviluppata.
I dettagli del problema sono stati sviscerati da Robert Hansen in un apposito post sul proprio blog. Nessuna piattaforma esclusa, nessun browser immune: l’occhio della webcam e l’orecchio del microfono sono potenzialmente nelle mani dei malintenzionati. Il procedimento però è macchinoso e con un briciolo di attenzione, per il momento, il rischio è aggirabile. In attesa di un intervento congiunto da parte delle software house.