Какво прави Flash толкова несигурен и какви са алтернативите?
Adobe Flash съществува от зората на комерсиалния интернет. Първата версия на световната мрежа беше изградена върху много невпечатляваща версия на Hyper Text Markup Language (HTML), която не можеше да направи нищо по пътя на анимацията или скриптовете. Разработено от AdobeСветкавица с ударна вълна, което стана простоСветкавицапо-късно в живота и това даде на разработчиците начин да внесат богато съдържание в статичната мрежа. Flash се използва за възпроизвеждане на филми, създаване на онлайн видео игри и показване на досадни реклами. До средата на 2000 г. Flash беше инсталиран на милиони настолни компютри по целия свят. Това масово внедряване привлече вниманието на хакерите, които харесаха идеята да могат да заразят толкова много системи с едно парче зловреден софтуер. Flash е обект на прицел от автори на злонамерен софтуер от години, кулминирайки със стотици уязвимости само през последните две години.
Защитниците на сигурността и поверителността по целия свят препоръчват деактивирането или деинсталирането на Flash като стандартна стъпка за защита на компютъра. Уязвимостите идват твърде бързо, за да може Adobe да се справи, което означава, че е почти сигурно, че във всеки един момент има уязвимости от нулев ден (неизвестни) в приставката. За щастие, HTML стана по-мощен през последните няколко години и нуждата от Flash намалява, което прави интернет по-безопасно място.
Голям брой уязвимости
В преглед на докладваните уязвимости срещу Flash през последните 12 години сайтът Подробности за CVE разкрива колосални 1020 уязвимости, открити от декември 2005 г. насам. Въпреки че това може да изглежда като дълго време, проблемът става експоненциално по-лош. През 2005 г. беше докладвана само една уязвимост. До 2014 г. имаше 76, а само през последните две години бяха докладвани удивителните 595 уязвимости.
Сериозност на уязвимостите
Не всички уязвимости са еднакво лоши. Има много докладвани уязвимости срещу продукти, които не са с висок приоритет за коригиране. Например, експлойт, който изисква голям брой предшестващи събития, за да попадне на място, преди да може да бъде извършен, е по-малко критичен от експлойт, който може да се използва в по-голямо разнообразие от ситуации. Друг пример е, че експлойт, който изисква нападател да присъства физически пред компютъра, е по-малко критичен от експлойт, който може да се използва дистанционно през интернет. В опит да внесе известна стандартизация в оценката на уязвимостта, the Обща система за оценка на уязвимостта (CVSS) версия 3 беше създадена. Той оценява уязвимостите по редица критерии, за да оцени тяхното ниво на сериозност. Резултатите са:
- Ниска: 0,1 – 3,9
- Среден: 4.0 – 6.9
- Висока: 7.0 – 8.9
- Критичен: 9.0 – 10.0
Най-висок резултат, т.енай-лошото, експлойтът е такъв, при който нападателят може да изпълни код по свой избор (нареченизпълнение на произволен код) дистанционно; обикновено през интернет. От 1020 уязвимости, докладвани от CVE Details, 808 имат описание, което показва, че уязвимостта може да се използва за дистанционно изпълнение на произволен код. Това не е много изненадващо, тъй като Flash е плъгин, използван в интернет, но подчертава колко опасно е да имате Flash наличен във вашата система.
По отношение на резултатите от CVSS, 92 процента от уязвимостите, съобщени във Flash, имат висока или критична оценка:
- Критичен (9.0+): 863
- Висока (7,0 – 8,9): 77
Последици за поверителност
Проблемите с Flash не са свързани само с уязвимости. Flash също ще докладва подробна информация за вашия браузър и вашата операционна система на подслушващите сайтове. Като използването на VPN мрежи и инструменти за поверителност като Tor получат по-голямо възприемане, за противниците става все по-трудно да разчитат, че могат да идентифицират човек по неговия IP адрес. Една технология, която заменя този тип идентификация, е пръстов отпечатък на браузъра.
Всеки браузър има някакъв пръстов отпечатък. Браузърът трябва да изпратинякоиинформация към уеб сървър, за да видите уебсайта, но браузърите с инсталиран Flash могат да предоставят много по-богат набор от данни. Колкото повече данни предоставя вашият браузър, толкова по-уникален е неговият отпечатък. След това наблюдателите могат да проследят напредъка ви в интернет, като видят един и същ отпечатък на браузъра на множество сайтове.
Като пример, Уникален ли съм уебсайтът показва, че моята Flash добавка дава следната информация за моята система при запитване:
- Списък на инсталираните шрифтове
- Резолюция на екрана
- Системен език
- Платформа
Защо Flash е насочен толкова силно от лошите? Има няколко причини.
Голяма цел
Flash е междубраузърен и следователно присъства в милиони уеб браузъри по целия свят. Най-ефективният тип злонамерен софтуер е типът, който може да бъде написан веднъж и след това разгърнат върху възможно най-голям брой жертви. Тези видове шансове значително увеличават шансовете на хакерите за успех, така че големите цели като Flash са привлекателни. Можем да видим от статистиката в началото на тази статия, че нарастването на Flash инфекциите с течение на времето е поразително.
объркване
Flash има дълга, изкривена история, която е много трудна за проследяване. През 2012 г. бяха използвани поне два различни номера на версиите. Един за Windows и macOS и един за потребители на Linux. До горе-долу по това време Adobe използваше интерфейса на Netscape (NPAPI), но Google току-що беше пуснал версия на Pepper Plugin (PPAPI), която имаше малко повече отделяне от системата и също така беше актуализирана по-често с нови функции. Това отново промени системата за номериране на версиите. Pepper Plugin вече е стандарт в партньорство с Adobe. С цялото това объркване за потребителите е трудно да бъдат в крак с текущата версия, което не помага да се поддържат плъгините в дивата природа актуални.
Остарелият софтуер е отличен вектор за атака. След като една компания издаде корекция за определен проблем, светът може да провери тази корекция и в много случаи да определи какво е коригирано. За лошите това означава, че току-що са научили за експлойт, който могат да използват за няколко дни или седмици или може би месеци срещу потребители, които все още не са актуализирали системата си с новата корекция. Объркването на потребителите с различни номера на версии прави по-трудно хората да разберат кога трябва да актуализират.
Алтернативи
HTML5 е най-новата и най-добра версия на HTML езика, който изгражда мрежата. Исторически плъгини като Flash са били необходими за попълване на функционалност, която HTML не може да осигури, като например възпроизвеждане на видеоклипове или анимирани реклами. HTML5 има вградена тази възможност и следователно общата зависимост от Flash изчезва. Apple никога не е имала Flash на своите устройства с iOS, а Google го изхвърли от Android преди няколко години. Това оставя само потребители на настолни компютри, които могат да се натъкнат на Flash сайт от време на време.
Големите видео сайтове като Netflix и YouTube зарязаха Flash преди години в полза на HTML5. Facebook също спря да използва Flash. Google Chrome и Firefox вече не се доставят с инсталиран Flash.
Но какво ще стане, ако попаднете на Flash сайт, който просто трябва да използвате? Има някои стари алтернативи на Flash, които обикновено не работят много добре. Открих, че имам нужда от Flash толкова рядко, че вече дори не го инсталирам. Доколкото мога да кажа, нетният недостатък на моето сърфиране в интернет е, че някои реклами не се възпроизвеждат, което всъщност не ме притеснява. Ако наистина имах нужда от Flash, както направих за тази статия, щях да го инсталирам и да го премахна, когато свърша. Това е много бърза инсталация, така че няма нужда да го дебна в системата ми. Приставката NoScript за Firefox ще блокира Flash, както и Javascript, така че макар да не препоръчвам изобщо да инсталирате Flash, ако просто трябва, използвайте тази приставка, за да я деактивирате по подразбиране и да я активирате само за времето, когато ви е необходима . За Google Chrome приставката за управление на Flash ще блокира Flash.
Намерих някои алтернативи на Flash все още налични, въпреки че повечето от тях вече са изоставени. Не е лесно да се каже дали тези добавки биха били по-сигурни от Adobe Flash и моето чувство е, че няма да бъдат. В някои случаи кодът е много стар, така че не изглежда, че някой ги поддържа или коригира.
Linux
Скърцане
GNU Flash Movie Player е проект на GNU. Проектът GNU се стреми да създаде версии с отворен код на популярен софтуер, за да подпомогне приемането на Linux. Кодът за Gnash не е актуализиран от 2011 г., но все още е включен GNU.org.
Светлинна искра
Това също изглежда като abandonware. Последният ангажимент на код беше през 2013 г. Въпреки това, wiki на сайта беше актуализиран през 2015 г., така че може да има някакъв продължителен интерес към него.
Swfdec
Swfdec е Flash плейър за работния плот на Gnome. Последно е актуализиран през 2008 г. и вероятно няма да работи на съвременните браузъри.
Почетни споменавания
Те всъщност не се броят като алтернативи на Flash, защото, добре... те не са Flash. Това означава, че потребителите не могат да решат да ги използват, за да гледат Flash вместо приставката Adobe Flash. По-скоро те са конкурентни технологии, които заслужават да бъдат споменати, тъй като оставиха отпечатък в анимираната мрежа.
Unity Web Player
Unity уеб плейър е по-скоро игрален двигател, но може да се използва за показване на богато съдържание в мрежата. Не може да възпроизвежда Flash директно, но може да обработва много формати и не е твърде трудно да конвертирате Flash в много други формати.
Silverlight
Silverlight беше замяната на Flash на Microsoft. Той вече не се разработва и ще изтече през 2021 г., но приставките за браузъра все още са налични в обозримо бъдеще.
Бъдещето на Flash е сигурно; той е обречен, но не поради проблеми със сигурността. HTML 5 е по-чист, защото не изисква потребителите да инсталират или поддържат каквито и да било плъгини. Освен това е по-устойчив, защото е естествен HTML и следователно има стабилно и сигурно бъдеще, на което компаниите и разработчиците могат да разчитат. HTML 5 така или иначе щеше да унищожи Flash, но сме особено щастливи да го видим заради всички проблеми със сигурността и поверителността, които носи на масата.
