Adobe: clickjacking risolto

Risolta la vulnerabilità che minacciava gli utenti di Flash Player, a rischio clickjacking. Il bug rilevato da uno studente universitario americano, che ha messo a segno un attacco sfruttando un codice molto simile a quello che già creò problemi nel 2008.

Adobe ha risolto una vulnerabilità che avrebbe potuto avere spiacevoli conseguenze per gli utenti di Flash Player.
La lacuna avrebbe, infatti, consentito a un aggressore di attivare la webcam o l'altrui microfono senza che la "vittima" dell'aggressione ne fosse stata consapevole. La lacuna di sicurezza poteva essere sfruttata attraverso la tecnica del clickjacking (l'utente posiziona il puntatore del mouse su di un oggetto e vi fa clic; in realtà, tale clic viene automaticamente reindirizzato su un altro elemento).

La vulnerabilità era stata messa a nudo da Feross Aboukhadijeh, uno studente della Stanford University che aveva basato il suo studio su un bug similare individuato nel 2008 da un ricercatore anonimo.
L'aggressione basava il suo funzionamento sul caricamento del pannello "Gestione impostazioni" di Flash Player (in inglese Flash Player Settings Manager), una pagina ospitata sui server di Adobe che permette di variare alcune preferenze legate al funzionamento di Flash Player (gestione dei cookie, impostazioni di webcam e microfono, privacy e così via). Facendo leva sulla tecnica del clickjacking l'utente, cliccando su un link all'apparenza benigno, abilitava il microfono collegato al suo personal computer.

Il Flash Player Settings Manager veniva inserito in una tag IFRAME invisibile ed, agendo sul link malevolo, l'utente in realtà interagiva - senza saperlo - con tale pannello.
Per arginare questa tipologia d'attacco, Adobe fece in modo che il pannello delle impostazioni di Flash Player non potesse essere più inserito in un IFRAME.

Il gestore delle impostazioni di Flash Player, però, è - esso stesso - un semplice contenuto in formato Flash (.SWF).

Aboukhadijeh ha spiegato che utilizzando codice molto simile a quello del 2008 ed inserendo il file Flash remoto in un IFRAME, è stato in grado di porre in essere un attacco perfettamente funzionante. "Sono rimasto sorpreso nell'apprendere che la stessa tipologia d'attacco continua a funzionare, ancor oggi", ha dichiarato.

Adobe era da tempo al lavoro su un aggiornamento risolutivo, tale da non richiedere l'installazione di alcun update per Flash Player. Il problema, infatti, risiede esclusivamente nel gestore delle impostazioni fruibile collegandosi al sito dell'azienda Il problema, infatti, risiede esclusivamente nel gestore delle impostazioni fruibile collegandosi al sito dell'azienda (ved. questa pagina).
Per maggiori informazioni, vi suggeriamo la lettura di questi articoli di approfondimento.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here