Se você já teve vontade de tapar a webcam fixa do notebook (ou desconectar a do PC enquanto não usa), muitos devem ter achado pura paranoia; mas provavelmente você tinha uma certa razão: uma falha do Flash permitia a qualquer site ver as imagens geradas pela sua webcam, sem confirmação.
Sorria, você está sendo filmado – na sua própria casa 😛
O Flash Player não é muito bem visto ao considerar o desempenho, mas esse não é o único problema: ele tem um histórico nada bonito de falhas de segurança.
Uma falha no sistema de configuração permitia que uma página obtivesse acesso à webcam sem o conhecimento do usuário. Uma página devidamente preparada forjava cliques, que eram entregues ao swf de configuração, como se o usuário estivesse autorizando o domínio a usar a webcam. O usuário precisava clicar em botões aparentemente aleatórios, como se fosse um joguinho; isso reduz um pouco o possível impacto do problema, mas não descarta sua gravidade. Resumidamente a falha foi descrita e exibida neste vídeo:
Esse problema já apareceu em 2008 (ao menos de forma bem parecida). O Flash mantém um programa de configuração que é hospedado no site da Macromedia (atual Adobe) e roda por meio do próprio plugin. Esse conteúdo pode ser embutido num iframe usando diretamente o swf, o que realmente é muito chato. A página com o configurador é esta aqui. Muitos nem sabem que ela existe e/ou que é possível configurar uma série de opções do Flash Player por ela.
De acordo com um comunicado da Adobe o problema foi resolvido ainda na semana passada. Dessa vez a falha não era nos arquivos do cliente do Flash Player, mas no swf do programinha de configuração embutido no site dela.
A falha não era totalmente exclusiva do Flash, dependia também de um problema estranho na implementação de transparências e sobreposições de camadas do CSS; aparentemente a alteração feita pela Adobe corrigiu o bug; como foi no swf no site de configuração, os usuários não precisam se preocupar com a atualização do plugin.
O processo foi detalhado por Feross Aboukhadijeh e a repercussão foi grande durante o final de semana.