Revelan vulnerabilidad clickjacking

por

Pero también revelan la solución

Hace pocos días les contamos sobre dos investigadores que descubrieron una vulnerabilidad que afecta a todos los browsers y hasta a los documentos de Adobe Acrobat. Les contamos también que los descubridores prefirieron no revelarlo pero hoy nos toca contarles que ya se publicó una prueba de concepto que explica cómo ocurre este clickjacking, el engaño de hacerte pinchar en algo que no es lo que tú creías (¿Eso se aplica al Rick Rolling también?).

El asunto es que no cuesta nada usar javascript, flash, dhtml y prácticamente cualquier lenguaje dinámico para hacer salir el menú de Flash que propone al usuario habilitar su webcam y micrófono de transmitir hacia la internet. Y además, no cuesta nada usar los z-index para ocultar ese diálogo y hacernos pensar que estamos pinchando en otra cosa. La prueba, en el siguiente video:

Afortunadamente, Adobe también publicó una solución:

Para prevenir este incidente potencial, los usuarios pueden cambiar la configuración de Flash de la siguiente manera:

[LIST=1]

  • Acceder a las Global Privacy Settings del Adobe Flash Player Settings Manager en la siguiente URL: Adobe – Flash Player : Settings Manager – Global Privacy Settings Panel
  • Seleccionar la opción “Always deny”.
  • Confirmar.
  • Con esto flash no volverá a preguntar si quieres habilitar la webcam y el micrófono sino que denegará su uso a menos que estés visitando un sitio de tu lista blanca, la cual modificas en la siguiente URL: Adobe – Flash Player : Settings Manager – Website Privacy Settings panel.
  • Fuente: Adobe