Grave falha de segurança no Flash: qualquer site pode ter acesso não-autorizado a sua webcam
“Se você usa qualquer tipo de software em que há a possibilidade de compartilhar coisas com outras pessoas, então você tem que se preocupar com as configurações de privacidade. Sempre existe uma brecha para que pessoas entrem e tentem confundi-lo e enganá-lo.”
Alex Aiken
Ph.D. em ciência da computação
Um estudante de ciência da computação da Universidade de Stanford, chamado Feross Aboukhadijeh, descobriu uma grande falha de segurança no Flash, da Adobe. Por meio dela, um estranho conseguiria acesso irrestrito à webcam e ao microfone de seu Mac, podendo gravar um vídeo e usá-lo para fins nada corretos.
Como funciona a falha
O painel de configuração da Adobe tem uma aba em que você determina quais sites terão acesso a sua webcam e ao microfone. Por meio de um ataque chamado clickjacking, o atacante poderia inserir uma janela invisível num site e “esconder” nela uma página maliciosamente preparada, por exemplo, um aparente jogo de ação. Quando o usuário clicasse nessa janela invisível, abriria o jogo (na forma de um iframe, por exemplo), levando-o a fazer uma série de cliques e, sem saber, mudaria as configurações do painel, permitindo que a página maliciosa do atacante acesse sua webcam e microfone.
Como a falha pode ser usada contra você
De repente, aquela pessoa mal-intencionada está fazendo, sem o seu consentimento, um streaming de vídeo e áudio de sua máquina. O ataque poderia ser usado para espionagem direcionada de pessoas, esquemas de chantagem, entre outros riscos.
Solução
A falha, que parecia ocorrer apenas em Macs e nos navegadores Safari e Firefox (verifique se sua máquina está vulnerável), segundo afirmações do fabricante, já foi sanada e não exige uma atualização do Flash Player. Apesar disso, não encontramos nenhum relatório oficial sobre a correção desta vulnerabilidade no site de suporte de segurança da Adobe: http://www.adobe.com/support/security/
fontes:
Gizmodo Brasil
The Stanford Daily
Veja a notícia, publicada em 18 de outubro, por Feross Aboukhadijeh: Feross.org