Flash no es tan fuerte como debería. Cada día le descubrimos nuevas vulnerabilidades

El investigador finlandés Jouko Pynnönen ha descubierto un bug de Adobe Flash Player que permite espiar a usuarios a través de su webcam y micrófono de manera totalmente transparente.

El panel de configuración de Adobe Flash Player permite al usuario crear una lista de sitios con permiso para acceder a los periféricos integrados en el ordenador en cuestión, incluyendo el micrófono y la webcam. Y lo habitual, si así se ha configurado, es que cualquier web que quiera acceder a estos dispositivos tenga que pedir permiso al usuario de antemano.

Pues bien, el analista de la empresa Klikki Oy, ha informado de la existencia de una vulnerabilidad en este reproductor, bautizado como CVE-2015-3044, mediante el cual se puede capturar emisiones de audio y vídeo desde el dispositivo del usuario y enviarlos a un dispositivo remoto, sin tener que pedir ese permiso, y por lo tanto, sin que el usuario se percate de que está siendo grabado.

Si tu webcam no incorpora un LED, estás perdido

Para ello, el usuario primero tiene que acceder a un sitio web donde su ordenador es infectado con el spyware. Desde ese momento su micrófono y webcam son accedidos remotamente sin que el usuario se dé cuenta.

La única pista que podría recibir el usuario es si la cámara integrada de su ordenador cuenta con un LED que notifica sobre la actividad de la webcam. El problema es que el espía puede elegir acceder sólo al audio, y en tal caso, sería imposible que el usuario supiera que su privacidad está siendo invadida.

En el siguiente vídeo se puede observar todo el proceso de cómo un hacker podría aprovecharse de este vulnerabilidad, accediendo a las imágenes grabadas desde la webcam de un usuario.

Adobe ya ha lanzado un parche para solucionar el problema, que tanto Chrome como Internet Explorer ejecutan de manera automática. Aun así, la noticia pone en evidencia la vulnerabilidad de Flash Player ante posibles ataques de software espía.

De todas maneras, Klikki Oy ya ha anunciado que está investigando una posible variante de la vulnerabilidad que podría ser igual de peligrosa para la privacidad del usuario.

JD Hancock editada con licencia CC 2.0

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?