Se ha encontrado una nueva vulnerabilidad en Flash que puede ir en contra de tu privacidad ya que en algunas versiones de Adobe Flash Player que permitiría a los hackers poder espiarte a través del micrófono y de la webcam.

¿En qué consiste esta vulnerabilidad?

El bug del que les hablamos lleva el nombre de CVE-2015-3044 y está presente en versiones anteriores a la 17.0.0.169 de Flash. Esta vulnerabilidad puede ser explotada por cibercriminales. Lo que harían estas personas es que, por medio de este acceso, anularían la lista de sitios web que tienen permiso de usar la cámara y el micrófono, y mediante código malicioso manipularían la lista para darle acceso a los sitios que ellos deseen.

Este bug fue detectado por el investigador finlandés de Klikki Oy llamado Jouko Pynnönen. Él grabó un video que se muestra a continuación en donde nos explica cómo funcionaría este ataque

Análisis del video

En el video se puede ver como haría un hacker para acceder a nuestra webcam y micrófono. Primero cambió y bloqueó el uso de la cámara en todos los sitios en la configuración de Flash para probar que el video es auténtico. Después al momento de entrar a un sitio malicioso, se activará automáticamente la cámara que es ejecutada por un spyware que infecta a tu equipo sin avisar gracias al código que trae la página y que evita que se muestre la leyenda que te pida permiso de usar la cámara.

El video nos explica que la cámara te podrá advertir si está encendida por el led que se ilumina cuando está en uso pero el micrófono no tiene ninguna forma de avisar por lo que si te atacan por ahí, es probable que uno ni se de cuenta de lo sucedido.

Sin embargo, hay que tomar a consideración que no todas las cámaras que traen los equipos cuentan con led que notifica cuando está en ejecución por lo que habría que estar prevenidos o actualizados en versiones de Flash. El video y el audio podrían ser capturados desde otra localización y el usuario no se daría cuenta.

Cabe resaltar que todas las máquinas pueden estar vulnerables. El bug se puede encontrar en las versiones de Flash de cualquier sistema operativo, ya sea en Windows, Mac OS u otro sistema que cuente con las versiones anteriores a la 17.0.0.16.

Respuesta de Adobe

Gracias a la actualización de Abril de Adobe Flash Player, las nuevas versiones ya no cuentan con esta vulnerabilidad por un parche que anula el bug. Por lo que se recomienda actualizar el Flash Player a la última versión para no correr el riesgo de algún ataque cibernético.

Con lo sucedido con esta vulnerabilidad, Adobe debería de hacer algo al respecto porque no es la primera vez que le pasa. Anteriormente la había pasado algo parecido con otro bug en el navegador de Chrome y también era relacionado con las webcams. Por lo que si no quiere perder la confianza de sus clientes, debería de ser más cuidadoso al momento de programar su software.

Comentarios

comentarios