Um problema que havia sido corrigido pela Adobe em Outubro do ano de 2011 parece ter reaparecido no navegador proprietário do Google - o Google Chrome - que permite aos atacantes tomarem controla de webcams e microfones via conteúdo Flash. Esse é um velho e conhecido problema chamado click-jacking. O truque consiste em colocar um painel transparente de animação em Flash sobre uma imagem e então fazer com que o diálogo das permissões de acesso para a webcam e o microfone apareça. A seguir, somente é preciso convencer o usuário a clicar na parte correta da imagem. O PoC (Proof-of-Concept) do consultor de segurança Egor Homakov mostr que isso é feito ao utilizar uma imagem que sugere a disponibilidade de um vídeo para visualização, colocando o botão de play onde o botão de "OK" nos dialogos de permissão de acesso está posicionado.
Se o truque funciona depende de como o navegador manipula os elementos do Flash Player que estão marcados para ser transparentes. A descoberta original notou que tanto o Firefox 21 quanto o Opera ignoram Flash transparente, desenhando o mesmo de forma opaca para qe o painel seja visível e o truque não funcione. Mas no Chrome 27 e, alegadamente, no Internet Explorer 10, a área transparente é invisível (100 por cento de transparência) e o usuário pode ser enganado, sendo induzido a clicar na área transparente e onde quer que estejam os controles.
A Adobe contou ao The Register que esse problema é algo que o Google precisa corrigir, e que a companhia espera que a empresa libere um patch de correção o mais rápido possível. O truque requer a interação do usuário e não previne que os LEDs da webcam em funcionamento fiquem ativos.
Saiba Mais:
- Heise Online: Spycam vulnerability reappears in Google Chrome's Flash (em Inglês)