lunes, 24 de junio de 2013

Chrome permite a atacante tomar control de tu webcam y micrófono






Google Chrome es una de los navegadores mas utilizados en el mundo debido a su gran cantidad de extensiones lo que lo ha hecho muy popular. 

Esta vez una vulnerabilidad afecta a este navegador con un método llamado ClickJacking que se utiliza para engañar a usuarios mediante sus navegadores y secuestrar sus clicks.

Esta vez la vulnerabilidad afecta a Adobe Flash, aprovechando el Clickjacking, utilizan este método para engañarte y llevarte a hacer un click que jamás te diste cuenta que provocaría. 
El atacante crea una animación transparente, sobre una imagen y luego establece la típica ventana de dialogo que habilita los permisos para habilitar la webcam y micrófono.

Mediante esta técnica el atacante busca convencer indirectamente a la victima para que haga click sobre esta animación , pero al realizar el click lo que realmente esta haciendo es autorizando el inicio de webcam y micrófono  El atacante logra esto entonces mediante un falso botón para iniciar la animación y en ese mismo sitio establecer el botón para permitir iniciar el vídeo y audio de la posible victima.

Debido a esto es que el ataque funcionara o no, dependiendo como maneje las transparencias el navegador . En algunos de ellos las transparencias no funcionan bien y es posible visualizar la ventana de dialogo como se muestra en esta imagen:




Sin embargo en otros navegadores la transparencia si funciona y la víctima no puede visualizar la ventana emergente solicitando la autorización . Visualizando el código de la prueba de concepto del investigador ruso ,Egor Homakov’s  , se pueden ver la forma en que ocultan la ventana de dialogo.


Es importante que el usuario tome conciencia que al visitar sitios web no confiables podría resultar en que un tercero pueda espiar a la potencial víctima e incluso grabarla. Es por esto, que desde ESET Latinoamérica, recomiendan visitar el post sobre prevención en navegadores ante ataques de ClickJacking


 Tomar conciencia sobre la existencia de estos ataques es el comienzo para experimentar una forma más segura de utilizar Internet. Informarse y educar es la única forma.


Ahora no es tan ilógico cuando un amigo riéndose te dijo: "La mejor forma de darle seguridad a tu webcam es taparla"





No hay comentarios:

Publicar un comentario