|
VSantivirus No. 1011, Año 7, Lunes 14 de abril de 2003
Mal uso de Flash puede violar nuestra privacidad
http://www.vsantivirus.com/ar-flash-clicktag.htm
Por Angela Ruiz
angela@videosoft.net.uy
Según la información recabada de los autores de esta alerta, más de 497 millones de usuarios de Internet están utilizando en este momento Macromedia Flash Player para visualizar el contenido creado con Flash.
Flash es el programa desarrollado por Macromedia para elaborar gráficos en movimiento para la web. Su uso en el ámbito del diseño gráfico para Internet se está expandiendo en la actualidad a pasos agigantados. Esta meteórica popularización responde a la versatilidad del programa a la hora, no sólo de crear animaciones, sino de diseñar elementos altamente interactivos, abriendo un extenso campo de posibilidades capaz de potenciar la capacidad creativa del diseñador.
Una vulnerabilidad descubierta en el parámetro "clickTAG" de Macromedia Flash, usado por ejemplo, para seguir las pistas de las preferencias del usuario cuando pincha en las animaciones publicitarias hechas con Flash, puede facilitar el tipo de ataque conocido como "Cross-Site-Scripting".
Básicamente, un ataque de este tipo se refiere a la posibilidad que un atacante pueda introducir en un campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, llegue a provocar la ejecución de un código no deseado.
El parámetro "clickTAG", según lo describe Macromedia, permite a un servidor de Internet preparado para ello, elaborar ciertas estadísticas a partir de las pistas dejadas por el usuario, registrando desde que sitio y en que momento pinchó con el mouse sobre determinado aviso.
Esta información es reportada luego al anunciante, para que éste pueda recoger información sobre si su campaña es efectiva o no.
Una mala implementación de este parámetro, habilita a un usuario remoto la posibilidad de ejecutar código malicioso en javascript (por ejemplo), obteniendo información de la sesión activa y posiblemente otros datos sensibles.
Por ejemplo, una línea como la siguiente podría contener el código malicioso al que hacemos referencia:
<EMBED src="anuncio.swf?clickTAG=javascript:XXXX">
Las "XXXX" representan el script. Este puede desde robar las cookies del usuario y obtener otros datos de la sesión mantenida con dicho sitio (secuestro de identidad), u obtener otro tipo de información privada relacionada con ello. Pero también podría realizar algún otro tipo de acción dañina, aunque no hay ninguna demostración de esto último.
Según Macromedia, la solución sobre este tema, no requiere la actualización del software. Simplemente, los servidores de anuncios que acepten clickTAGs deberían validar que las URLs después del parámetro "clickTAG" comiencen con "http:". Por ejemplo:
<EMBED src="anuncio.swf?clickTAG=http://ejemplo.com">
Donde "http://ejemplo.com" es el servidor encargado de recabar la información sobre las estadísticas de visualización del banner "anuncio.swf".
Existe una nota oficial sobre esta solución en esta página:
Privacy and Macromedia Flash Ad Tracking
http://www.macromedia.com/support/flash/ts/documents/clicktag_security.htm
Macromedia, además de notificar a los servidores involucrados y potencialmente afectados, también ha modificado la guía para desarrolladores para incluir el tema:
http://www.macromedia.com/resources/richmedia/tracking/designers_guide/
De cualquier modo, es interesante que los usuarios procedan a filtrar todo contenido después del parámetro "clickTAG", que no comience con "http:", con utilidades como Proxomitron, o directamente desactivando las opciones de JavaScript y ActiveX como se indica en el siguiente artículo de Jose Luis Lopez:
Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|