Η Adobe Systems  προειδοποιεί ότι οι hackers μπορούν να χρησιμοποιήσουν επιθέσεις clickjacking και να ενεργοποιήσουν το μικρόφωνο και την web κάμερα του ενός υπολογιστή χωρίς, φυσικά, τη συγκατάθεση του νόμιμου χρήστη.

Όπως δήλωσε η Adobe σε συμβουλευτική ανακοίνωση, η flash αποτελεί τρωτό σημείο -σε όλες τις πλατφόρμες- ενάντια σε αυτού του είδους τις επιθέσεις. Παραπλανώντας τους χρήστες να επισκεφτούν ένα επιβλαβές website, οι hackers έχουν τη δυνατότητα να ανακατευθύνουν τον προορισμό των κλικ και να αποκτήσουν τελικώς πρόσβαση στη διαχείριση της web κάμερας και του μικροφώνου οποιουδήποτε PC.

«Αυτό το συγκεκριμένο θέμα επηρεάζει κυρίως τον διάλογο πρόσβασης της κάμερας και μικροφώνου του Adobe Flash Player», παραδέχτηκε ο David Lenoe, επικεφαλής ασφάλειας προγραμματισμού, σε post που δημοσίευσε πρόσφατα.
Παρόλο που το ανάλογο patch δεν είναι έτοιμο ακόμα – ο Lenoe δήλωσε ότι η διάθεση του οποίου θα γίνει στο τέλος Οκτωβρίου- το συμβουλευτικό της εταιρείας, Adobe advisory, παρέχει λίστα με βήματα που μπορούν να κάνουν οι χρήστες ώστε να αποτρέψουν την κατάληψη της webcam και του μικροφώνου. Η Adobe προτείνει στους χρήστες να μπουν στη Διαχείριση Ρυθμίσεων του Flash μέσω οποιουδήποτε browser και να επιλέξουν «Always deny». Η εταιρεία χαρακτήρισε την κατάσταση ως «κρίσιμη», ιδιαίτερα επικίνδυνη αλλά και δραστική.

Σύμφωνα με τον Robert Hansen, τον έναν από τους δύο ερευνητές που έθιξαν το θέμα για πρώτη φορά λίγες ημέρες πριν, η Adobe θα «μπαλώσει» το bug στην Flash 10, στην οποία έχουν εντοπιστεί και άλλα προβλήματα, συμπεριλαμβανομένου ενός ψεγαδιού που χρησιμοποιούσαν οι hackers, για περισσότερο από ένα μήνα και «πείραζαν» τα URL ώστε να ανακατευθύνονται σε επικίνδυνα sites.

Όπως προειδοποίησε ο Hansen, οι Mac είναι ιδιαίτερα ευάλωτοι στις επιθέσεις clickjacking, αφού όλα τα Apple notebooks που κυκλοφόρησαν πρόσφατα, έχουν ενσωματωμένη κάμερα και μικρόφωνο. Την  ίδια στιγμή που η Adobe δημοσίευε το συμβουλευτικό post της, έδωσε και την άδεια στους δύο ερευνητές να αποκαλύψουν λεπτομέρειες σχετικά με την απειλή, κάτι που η εταιρεία είχε ζητήσει να παραμείνei απόρρητo.

Ο Hansen δημοσίευσε την αναφορά στο blog του όπου απαριθμεί τα ποικίλα σενάρια που θα μπορούσαν να συμβούν βάσει αυτής της επίθεσης. Δύο εβδομάδες νωρίτερα, όταν έδωσαν μια γενική ιδέα του τι μπορεί να συμβεί, ο ερευνητής υπογράμμισε ότι δεν πρόκειται για μια και μόνο απειλή αλλά μια νέα τάξη εκμεταλλεύσιμων ψεγαδιών.
Όπως είχε τονίσει «υπάρχουν ποικίλες μεταβλητές στο clickjacking. Κάποιες από αυτές απαιτούν πρόσβαση σε περισσότερα από ένα websites ταυτόχρονα ενώ άλλα όχι. Κάποιες επικαλύπτουν ολόκληρες σελίδες πάνω σε μία ιστοσελίδα, άλλες χρησιμοποιούν iframes ώστε να παρασύρουν τους χρήστες να κάνουν κλικ πάνω σε ένα συγκεκριμένο σημείο. Ποικίλες είναι και εκείνες που απαιτούν JavaScript, ενώ άλλες όχι. Κάποιες μεταβλητές μεταχειρίζονται cross-site request forgery (αίτηση εξαπάτησης σε πολλαπλά sites) ώστε να ανεβάσουν δεδομένα εκ των προτέρων σε μορφή αίτησης -άλλες πάλι όχι.

Ψάξαμε και βρήκαμε τη σχετική αναφορά των Hansen και Jeremiah Grossman η οποία περιγράφει αρκετά αναλυτικά τα σενάρια που μπορεί να συμβούν. Θα ήταν συνετό να επισκεφτείτε τη συγκεκριμένη σελίδα και να διαβάσετε προσεχτικά τις πληροφορίες που παρέχουν οι δύο ερευνητές.

Το PCW.gr θα παρακολουθεί στενά το θέμα ενημερώνοντάς σας συνεχώς για τυχόν εξελίξεις.