Vulnerabilidade via Webcam Reaparece no Flash para Google Chrome

Um problema que havia sido corrigido pela Adobe em Outubro do ano de 2011 parece ter reaparecido no navegador proprietário do Google - o Google Chrome - que permite aos atacantes tomarem controla de webcams e microfones via conteúdo Flash. Esse é um velho e conhecido problema chamado click-jacking. O truque consiste em colocar um painel transparente de animação em Flash sobre uma imagem e então fazer com que o diálogo das permissões de acesso para a webcam e o microfone apareça. A seguir, somente é preciso convencer o usuário a clicar na parte correta da imagem. O PoC (Proof-of-Concept) do consultor de segurança Egor Homakov mostr que isso é feito ao utilizar uma imagem que sugere a disponibilidade de um vídeo para visualização, colocando o botão de play onde o botão de "OK" nos dialogos de permissão de acesso está posicionado.


Se o truque funciona depende de como o navegador manipula os elementos do Flash Player que estão marcados para ser transparentes. A descoberta original notou que tanto o Firefox 21 quanto o Opera ignoram Flash transparente, desenhando o mesmo de forma opaca para qe o painel seja visível e o truque não funcione. Mas no Chrome 27 e, alegadamente, no Internet Explorer 10, a área transparente é invisível (100 por cento de transparência) e o usuário pode ser enganado, sendo induzido a clicar na área transparente e onde quer que estejam os controles.

A Adobe contou ao The Register que esse problema é algo que o Google precisa corrigir, e que a companhia espera que a empresa libere um patch de correção o mais rápido possível. O truque requer a interação do usuário e não previne que os LEDs da webcam em funcionamento fiquem ativos.

Saiba Mais:

- Heise Online: Spycam vulnerability reappears in Google Chrome's Flash (em Inglês)