Google Chrome es sin duda uno de los navegadores más utilizados a nivel global. Su inmenso número de plugins y su excelente rendimiento le han llevado a ser uno de los más usados en poco tiempo. Una de las principales características de Chrome es que no necesita ser instalado Flash en el equipo en que se va a ejecutar ya que por defecto el navegador incluye su propio plugin optimizado para el navegador.
Un conocido investigador de seguridad ruso ha detectado un nuevo fallo de seguridad en el plugin de flash de Google Chrome que permite controlar la webcam y el micrófono de una víctima. Esta vulnerabilidad es similar a una ya resulta en el año 2011.
El método de ataque se realiza a través de una técnica que está ganando mucho uso en los últimos meses denominada ClickJacking. Esta técnica trata de engañar al usuario víctima mediante una falsa ventana sobre la que debe hacer click pero que al realizarlo realmente está actuando sobre una ventana modificada en el código que permite al script o malware realizar su ataque.
En el nuevo fallo detectado por Google Chrome aparecerá una animación y el atacante va a intentar que el usuario víctima haga click sobre dicha animación, pero por encima de la animación existe un mensaje transparente que solicita el control de la webcam y el micrófono por parte de flash.
http://www.redeszone.net/wp-content/uploads/2013/06/chromeflash_foto_1.png
En otros navegadores el patrón de transparencia no funciona correctamente y se muestra la anterior ventana, pero en Google Chrome existe un fallo de seguridad que permite ocultar completamente la ventana haciéndola totalmente transparente.
Desde adobe han confirmado que el fallo depende del navegador y es totalmente ajeno a ellos por lo que su solución depende del desarrollador, en este caso, de Google que se cree que en los próximos días se solucione dicho fallo.
Una recomendación de seguridad para evitar en los máximo posible ser víctimas de estos ataques es instalar un bloqueador de scripts de manera de que en caso de ser atacados se bloquee el script antes de habilitarse. También debemos tener en cuenta que no solo Google Chrome puede espiar nuestra webcam y nuestro micrófono por lo que deberíamos mantener la webcam desenchufada o tapado el objetivo mientras no necesitemos hacer uso de ella.
http://www.redeszone.net/2013/06/22/grave-fallo-de-seguridad-en-el-flash-de-google-chrome/