Sicurezza

Il pdf che dice a tutti dove vai

McAfee ha scovato una nuova falla in Adobe Reader (tanto per cambiare) che sembra poco più di una curiosità, ma che può diventare pericolosa in certi ambienti. La falla, secondo la prima analisi, consente a un potenziale hacker di sapere dove si trova (geograficamente) chi apre il pdf infetto. Anche se il difetto non è considerato grave – visto che non consente l'esecuzione di un codice remoto – può essere usato come parte importante di una campagna di attacco mirato. "Noi non vogliamo sopravvalutare il problema e non consideriamo questo bug una vulnerabilità di sicurezza," ha scritto Li, però resta il fatto che se un governo decidesse di rintracciare un personaggio scomodo, potrebbe scoprire dove si trova se riuscisse a fargli arrivare uno di questi file.

Ancora una volta nel mirino capita una vulnerabilità di Adobe Reader. Sebbene non grave per la maggior parte degli utenti, questo bug diventa uno strumento potentissimo nelle cacce all'uomo.

 

Secondo McAfee, Adobe non ha ancora confermato la vulnerabilità, ma in rete stanno già circolando dei file che sfruttano il bug. "Mittenti malintenzionati potrebbe sfruttare questa vulnerabilità per raccogliere dati sensibili come l'indirizzo IP, il provider di servizi Internet o anche routine di calcolo della vittima," ha scritto Li. "Inoltre, la nostra analisi, suggerisce che ulteriori informazioni possono essere raccolte tramite PDF contenenti API di JavaScript." Modifiche supplementari potrebbero consentire a un utente malintenzionato di ottenere la posizione del file sul sistema. Per risolvere il problema, in attesa che Adobe renda disponibile un aggiornamento, gli utenti di Reader possono disattivare JavaScript in Adobe Reader.
Li ha confermato che questa la vulnerabilità è un esempio di come le tradizionali tecnologie di sicurezza che controllano la corruzione della memoria e l'esecuzione di un codice non riescono a individuare le potenziali minacce celate nei file PDF e il problema è stato rilevato solo dagli algoritmi di analisi euristica presente nei loro prodotti. Gli ultimi exploit di che sfruttavano una vulnerabilità di Adobe zero-day emerse in marzo sono state rilevate in attacchi mirati contro gli attivisti in Uyghur in Asia Centrale e gli attivisti in Tibet. Tale atto piratesco, secondo le Kaspersky Lab e FireEye si crede possa essere stato  eseguito dalla Cina, visto che il malware colpevole dell’attacco, chiamato ItaDuke, era molto somigliante a Duqu, un trojan utilizzato per rubare dati in una campagna di attacchi contro aziende estere, per lo più americane, e che si ipotizza di provenienza cinese.