Blog

Hvad gør Flash så usikkert, og hvad er alternativerne?

Adobe Flash logoAdobe Flash har eksisteret siden begyndelsen af ​​det kommercielle internet. Den første version af World Wide Web blev bygget på en meget uimponerende version af Hyper Text Markup Language (HTML), som ikke var i stand til at gøre noget i vejen for animation eller scripting. Adobe udvikletShockwave Flash, som blev simpelthenBlitzsenere i livet, og det gav udviklere en måde at bringe rigt indhold til det statiske web. Flash blev brugt til at spille film, skabe online videospil og vise irriterende reklamer. I midten af ​​2000'erne blev Flash installeret på millioner af stationære computere verden over. Den massive implementering fangede opmærksomheden hos hackere, der kunne lide ideen om at kunne inficere så mange systemer med ét stykke malware. Flash har været målrettet af malware-forfattere i årevis, kulminerende med hundredvis af sårbarheder alene i de sidste to år.



Fortalere for sikkerhed og privatliv over hele verden anbefaler at deaktivere eller afinstallere Flash som et standardtrin i sikring af en computer. Sårbarhederne kommer for hurtigt til, at Adobe kan følge med, hvilket betyder, at det er næsten sikkert, at der er nul day (ukendte) sårbarheder i pluginnet på et givet tidspunkt. Heldigvis er HTML blevet mere dygtig i de sidste par år, og behovet for Flash er faldende, hvilket gør internettet til et mere sikkert sted.

Stort antal sårbarheder

I en gennemgang af de sårbarheder, der er rapporteret mod Flash i de sidste 12 år, har webstedet CVE detaljer afslører, at hele 1020 sårbarheder er blevet opdaget siden december 2005. Selvom det kan virke som lang tid, bliver problemet eksponentielt værre. I 2005 blev der rapporteret en enkelt sårbarhed. I 2014 var der 76, og forbløffende 595 sårbarheder er blevet rapporteret i de sidste to år alene.



Adobe Flash sårbarhedsgraf

Sværhedsgraden af ​​sårbarheder

Ikke alle sårbarheder er lige slemme. Der er mange sårbarheder rapporteret mod produkter, der ikke er en høj prioritet at rette. For eksempel er en udnyttelse, der kræver, at et stort antal forudgående begivenheder falder på plads, før den kan begås, mindre kritisk end en udnyttelse, der kan bruges i en bredere række af situationer. Et andet eksempel er, at en udnyttelse, der kræver, at en hacker fysisk er til stede foran computeren, er mindre kritisk end en udnyttelse, der kan bruges eksternt over internettet. I et forsøg på at bringe en vis standardisering til sårbarhedsvurdering Fælles sårbarhedsscoringssystem (CVSS) version 3 blev oprettet. Det scorer sårbarheder på en række kriterier for at vurdere deres sværhedsgrad. Scoreintervallerne er:



  • Lav: 0,1 – 3,9
  • Mellem: 4,0 – 6,9
  • Høj: 7,0 – 8,9
  • Kritisk: 9,0 – 10,0

Den højeste score, meningværst, exploit er en, hvor en angriber kan udføre kode efter eget valg (kaldetvilkårlig kodeudførelse) eksternt; normalt over internettet. Ud af de 1020 sårbarheder rapporteret af CVE Details har 808 en beskrivelse, som angiver, at sårbarheden kan bruges til at udføre vilkårlig kode eksternt. Det er ikke voldsomt overraskende, da Flash er et plugin, der bruges på internettet, men det fremhæver, hvor farligt det er at have Flash tilgængelig på dit system.

Med hensyn til CVSS-resultaterne scorede 92 procent af sårbarhederne rapporteret i Flash enten Høj eller Kritisk:

  • Kritisk (9,0+): 863
  • Høj (7,0 – 8,9): 77

Betydning af privatlivets fred

Problemerne med Flash er ikke alle relateret til sårbarheder. Flash vil også rapportere detaljerede oplysninger om din browser og dit operativsystem til snooping-websteder. Som brugen af VPN'er og privatlivsværktøjer som Tor opnå større adoption, bliver det sværere for modstandere at regne med at kunne identificere en person ved deres IP-adresse. En teknologi, der erstatter den type identifikation, er browser fingeraftryk.

Hver browser har et fingeraftryk af en eller anden art. En browser skal sendenogleoplysninger til en webserver for at se hjemmesiden, men browsere med Flash installeret kan levere et meget rigere datasæt. Jo flere data din browser leverer, jo mere unikt er dens fingeraftryk. Observatører kan derefter spore dine fremskridt overalt på internettet ved at se det samme browserfingeraftryk på flere websteder.

For eksempel Er jeg unik webstedet viser, at mit Flash-plugin afgiver følgende oplysninger om mit system, når det bliver spurgt:

  • Liste over installerede skrifttyper
  • Skærmopløsning
  • Systemsprog
  • Platform

Flash amiunikke resultater

Hvorfor er Flash målrettet så hårdt af skurke? Der er et par grunde.

Stort mål

Flash er cross-browser og er derfor til stede i millioner af webbrowsere over hele kloden. Den mest effektive type malware er en type, der kan skrives én gang og derefter implementeres over det størst mulige antal ofre. Disse typer odds øger hackernes chance for succes i høj grad, så store mål som Flash er attraktive. Vi kan se fra statistikken i begyndelsen af ​​denne artikel, at stigningen i Flash-infektioner over tid er slående.

Forvirring

Flash har en lang, snoet historie, som er meget svær at følge. I 2012 var mindst to forskellige versionsnumre i brug. En til Windows og macOS og en til Linux-brugere. Indtil omkring dette tidspunkt havde Adobe brugt Netscape (NPAPI) grænsefladen, men Google havde netop udgivet en Pepper Plugin (PPAPI) version, som havde lidt mere adskillelse fra systemet og også blev opdateret hyppigere med nye funktioner. Det ændrede versionsnummereringssystemet igen. Pepper Plugin er nu standarden i samarbejde med Adobe. Med al denne forvirring er det svært for brugerne at følge med i den nuværende version, hvilket ikke hjælper med at holde plugins i naturen opdateret.

Forældet software er en fremragende angrebsvektor. Når en virksomhed udsteder en patch til et bestemt problem, kan verden undersøge denne patch og i mange tilfælde bestemme, hvad der blev rettet. For onde fyre betyder det, at de lige har lært om en udnyttelse, som de kan bruge i et par dage eller uger eller måske måneder mod brugere, der endnu ikke har opdateret deres system med den nye patch. Forvirring af brugere med forskellige versionsnumre gør det sværere for folk at vide, hvornår de skal opdatere.

Alternativer

HTML5 er den nyeste og bedste version af HTML-sproget, der udgør internettet. Historisk set var plugins som Flash nødvendige for at udfylde funktionalitet, som HTML ikke kunne levere, såsom afspilning af videoer eller animerede annoncer. HTML5 har den evne indbygget, og derfor er den generelle afhængighed af Flash ved at dø ud. Apple har aldrig haft Flash på sine iOS-enheder, og Google droppede det ud af Android for flere år siden. Det efterlader kun desktopbrugere, der kan snuble over et Flash-websted nu og igen.

De store videosider som Netflix og YouTube dumpede Flash for år siden til fordel for HTML5. Facebook er også holdt op med at bruge Flash. Google Chrome og Firefox leveres ikke længere med Flash installeret.

Men hvad nu hvis du støder på et Flash-websted, som du bare skal bruge? Der er nogle gamle Flash-alternativer, som generelt ikke fungerer særlig godt. Jeg har opdaget, at jeg kræver Flash så sjældent, at jeg ikke engang har det installeret mere. Så vidt jeg kan se, har nettoulempen ved min internetsurfing været, at nogle annoncer ikke afspilles, hvilket egentlig ikke bekymrer mig. Hvis jeg virkelig havde brug for Flash, som jeg gjorde for denne artikel, ville jeg installere det og fjerne det, når jeg er færdig. Det er en meget hurtig installation, så der er ingen grund til at lade den lure rundt på mit system. NoScript-pluginnet til Firefox vil blokere Flash såvel som Javascript, så selvom jeg overhovedet ikke anbefaler at have Flash installeret, hvis du simpelthen skal, så brug det plugin til at deaktivere det som standard og kun aktivere det de gange, du har brug for det . For Google Chrome blokerer Flash Control-pluginnet Flash.

Jeg fandt nogle Flash-alternativer stadig tilgængelige, selvom de fleste af dem er abandonware nu. Det er ikke let at sige, om disse plugins ville være mere sikre end Adobe Flash, og min fornemmelse er, at de ikke vil være det. I nogle tilfælde er koden meget gammel, så det ser ikke ud til, at nogen vedligeholder eller retter dem.

Linux

Gnash

GNU Flash Movie Player er et GNU-projekt. GNU-projektet søger at skabe open source-versioner af populær software for at hjælpe med Linux-adoption. Koden til Gnash er ikke blevet opdateret siden 2011, men den er stadig tændt GNU.org.

Lightspark

Dette ligner også abandonware. Den sidste code commit var i 2013. Men den site wiki blev opdateret i 2015, så der kan være en vis vedvarende interesse for det.

Swfdec

Swfdec er en Flash-afspiller til Gnome-skrivebordet. Det blev sidst opdateret i 2008 og vil sandsynligvis ikke fungere på moderne browsere.

Hæderlige omtaler

Disse tæller ikke rigtig som Flash-alternativer, fordi de er ikke Flash. Det betyder, at brugere ikke kan beslutte at bruge disse til at se Flash i stedet for Adobe Flash-plugin'et. De er snarere konkurrerende teknologier, der fortjener at blive nævnt, da de har markeret sig på det animerede web.

Unity web-afspiller

Unity web-afspiller er mere en spilmotor, men den kan bruges til at vise rigt indhold på nettet. Det kan ikke afspille Flash direkte, men det kan håndtere mange formater, og det er ikke for svært at konvertere Flash til mange andre formater.

Silverlight

Silverlight var Microsofts Flash-erstatning. Det er ikke længere udviklet og vil løbe ud i livet i 2021, men browser-plugins er stadig tilgængelige i en overskuelig fremtid.

Fremtiden for Flash er sikker; det er dømt, men ikke på grund af dets sikkerhedsproblemer. HTML 5 er renere, fordi det ikke kræver, at brugere installerer eller vedligeholder nogen plugins. Det er også mere bæredygtigt, fordi det er native HTML og derfor har en stabil og sikker fremtid, som virksomheder og udviklere kan regne med. HTML 5 ville have dræbt Flash under alle omstændigheder, men vi er især glade for at se det gå på grund af alle de sikkerheds- og privatlivsproblemer, det bringer til bordet.

^