Adobe conferma il problema "clickjacking" in Flash

Nei giorni scorsi (ved. questa notizia) è tornato sotto i riflettori il problema del “clickjacking“, secondo Robert Hansen e Jeremiah Grossman, autori di un nuovo studio in materia, già ben conosciuto ma ampiamente sottovalutato.

Stando alle anticipazioni rese note dai due ricercatori, una serie di falle di sicurezza potrebbe consentire ad un aggressore di generare un “clic”, come se fosse effettuato da parte dell’utente, su un qualunque link. Questo genere di vulnerabilità potrebbe fungere da trampolino di lancio, ad esempio, per attacchi phishing.

Adobe ha appena messo in allerta gli utenti spiegando che gli aggressori potrebbero iniziare a sfruttare il “clickjacking“, ad esempio, per attivare silentemente il microfono collegato al personal computer oppure la webcam.
Vulnerabili a questo tipo di attacchi sarebbero tutte le versioni di Flash, su qualsiasi piattaforma (non solo Windows, quindi). Inducendo il malcapitato utente a visitare un sito web “maligno”, l’aggressore potrebbe riuscire a sfruttare clic appartemente “innocenti” per guadagnare l’accesso alla webcam od al microfono collegati al sistema.

Stando alle anticipazioni rese da David Lenoe di Adobe, una patch risolutiva dovrebbe essere rilasciata entro la fine di Ottobre. Nel frattempo, per evitare di esporsi inutilmente a rischi, Adobe suggerisce di accedere alla “Gestione impostazioni di Flash Player“, cliccare sul pulsante Nega sempre e confermare la scelta operata.

Secondo Robert Hansen il problema “clickjacking” dovrebbe essere posto alle spalle, per quanto riguarda Flash, con il rilascio della versione 10 del Player di Adobe che sarà immune anche alla modifica del contenuto dell’area degli Appunti di Windows (ved. questa notizia). Hansen ha voluto rimarcare come i sistemi Mac siano particolarmente vulnerabili agli attacchi “clickjacking” su Flash dal momento che tutti i più recenti notebook targati Apple integrano “di serie” webcam e microfoni.

La pubblicazione del bollettino informativo da parte di Adobe ha dato di fatto il via alla pubblicazione, da parte di Hansen, dei primi dettagli relativi a tutti i potenziali scenari di attacco: il ricercatore ha da poco pubblicato una lunga lista sul suo blog ha.ckers.org.

Per spiegare il pericolo “clickjacking“, Jeremiah Grossman aveva osservato: “pensate ad un qualunque pulsante inserito in una pagina web (…). Pensate quindi ad un attacco attraverso il quale sia possibile controllare il comportamento di questi pulsanti applicandovi sopra un altro oggetto. Così, mentre l’utente pensa di avere cliccato su quello che vede, egli in realtà ha fatto clic su un altro elemento congeniato da parte dell’aggressore”.