ADOBE :: Un error de seguridad permitía encender la webcam y el micro.

 

Una vulnerabilidad de Adobe (ya solucionada) permitía que cualquier web activase el micrófono y la cámara web de los usuarios sin que éstos fueran conscientes. Para hacerlo, utilizaba una variante de la técnica común de clickjacking, en la que el usuario no sabe que está pulsando determinados menús.

El fallo fue descubierto por Feross Aboukhadijeh, un estudiante de la Universidad de Standford, que se dio cuenta de que era posible utilizar un iframe invisible para autorizar el uso de la cámara web y del micrófono por parte de cualquier página.

Así, mediante la técnica conocida como clickjacking, era posible acceder a la sección de ajustes de la página de Adobe en la que se conceden estos permisos.

En el ejemplo mostrado por el estudiante en su blog, el ataque se realizaba mediante un falso juego, pero las posibilidades eran mayores. Además, Aboukhadijeh hizo que durante el clickjacking se eliminasen los permisos de otras páginas, de modo que la web atacante sería la única en obtener las imágenes.

Anteriormente, ya se había utilizado esta página de ajustes para realizar estos ataques, pero Adobe solucionó el problema al no permitir que se ‘ocultara’ bajo un iframe. Sin embargo, Aboukhadijeh descubrió la forma de saltarse este bloqueo: ocultar únicamente el archivo necesario para conceder los permisos, en lugar de toda la página.

No obstante, poco después de que el estudiante publicase la entrada, la compañía solucionó el fallo, según anunció en su web.