Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Fallo de Flash convierte a las laptop y webcam en mirillas espías
Es problema de Google, únicamente en Chrome, insiste Adobe.
Un fallo de seguridad, que se creía corregido por Adobe desde octubre de 2011, salió de nuevo a la luz gracias a una vulnerabilidad que afecta a navegadores que utilizan Flash Player.
Sin permiso del usuario, la vulnerabilidad (aún sin parche) crea un camino para tomar el control de la cámara web y obtener acceso al audio y video de la computadora. El fallo, similar a un secuestro de clic (clickjacking en inglés), fue descubierto por el consultor de seguridad Egor Homakov, quien desarolló una prueba de concepto inofensiva con un exploit para resaltar los problemas del fallo e impulsar una pronta solución.
"Funciona precisamente como un secuestro de clic. El usuario da clic en un objeto tipo Flash transparente, el cual permite acceso al canal de audio y video, e instantáneamente el atacante puede ver y escuchar al usuario", explica Homakov en su blog.
La vocera del equipo de seguridad de Adobe, Heather Edell, confirmó la existencia del problema, pero dijo que solo aplica en la versión de Flash Player para Google Chrome.
"Esta vulnerabilidad afecta a los usuarios de Google Chrome con Flash Player instalado", comentó Edell a las oficinas del blog The Register en un correo electrónico. "Google está trabajando para resolver el fallo, por lo que planean proveer una solución esta semana", añadió la vocera. La vulnerabilidad sería potencialmente muy útil para acosadores y espionaje similar al de la NSA.
Robert Hansen, director de administración de productos de la compañía WhiteHat Security, dijo que el modelo de seguridad adoptado por Adobe Flash contribuye al problema.
"El problema principal con Flash es que no tiene diálogos o avisos más allá del navegador que puedan alertar al usuario de lo que puede ocurrir", explicó Hansen. "Debido a que los diálogos están en la misma página que el código malicioso, los objetos se pueden traslapar, esconder y, de ese modo, logran ocultar la advertencia."
Recientemente, Google impuso una fecha límite de 7 días a los fabricantes para responder reportes de fallos de seguridad. El descubrimiento de Homakov representa la primer oportunidad de ver si Google realmente se apega a estos tiempos límite.
