Blog

Proč je Flash tak nejistý a jaké jsou alternativy?

Logo Adobe FlashAdobe Flash existuje od úsvitu komerčního internetu. První verze World Wide Web byla postavena na velmi nevýrazné verzi Hyper Text Markup Language (HTML), která neuměla nic dělat animací nebo skriptováním. Společnost Adobe vyvinulaZáblesk rázové vlny, který se stal jednodušeBlikatpozději v životě, a to dalo vývojářům způsob, jak přinést bohatý obsah na statický web. Flash se používal k přehrávání filmů, vytváření online videoher a zobrazování otravných reklam. V polovině roku 2000 byl Flash nainstalován na milionech stolních počítačů po celém světě. Toto masivní nasazení upoutalo pozornost hackerů, kterým se líbila myšlenka, že by bylo možné infikovat tolik systémů jedním malwarem. Flash byl terčem autorů malwaru již léta, přičemž jen za poslední dva roky to vyvrcholilo stovkami zranitelností.



Zastánci bezpečnosti a ochrany osobních údajů na celém světě doporučují deaktivovat nebo odinstalovat Flash jako standardní krok v zabezpečení počítače. Zranitelnosti přicházejí příliš rychle na to, aby je Adobe udržela, což znamená, že je téměř jisté, že plugin má v kteroukoli danou chvíli (neznámé) zranitelnosti zero day. Naštěstí se HTML v posledních několika letech stalo schopnějším a potřeba Flashe klesá, díky čemuž je internet bezpečnějším místem.

Velké množství zranitelností

V revizi zranitelností hlášených proti Flash za posledních 12 let, web Podrobnosti CVE odhaluje, že od prosince 2005 bylo objeveno neuvěřitelných 1020 zranitelností. I když se to může zdát jako dlouhá doba, problém se exponenciálně zhoršuje. V roce 2005 byla hlášena jediná chyba zabezpečení. Do roku 2014 jich bylo 76 a jen za poslední dva roky bylo hlášeno ohromujících 595 zranitelností.



Graf zranitelnosti Adobe Flash

Závažnost zranitelností

Ne všechny zranitelnosti jsou stejně špatné. Existuje mnoho zranitelností hlášených u produktů, jejichž oprava nemá vysokou prioritu. Například exploit, který vyžaduje velké množství předcházejících událostí, aby zapadl, než může být spáchán, je méně kritický než exploit, který lze použít v širší škále situací. Dalším příkladem je, že exploit, který vyžaduje, aby byl útočník fyzicky přítomen před počítačem, je méně kritický než exploit, který lze použít vzdáleně přes internet. Ve snaze přinést určitou standardizaci hodnocení zranitelnosti, Společný systém hodnocení zranitelnosti (CVSS) verze 3 byla vytvořena. Hodnotí zranitelnosti podle řady kritérií, aby posoudil úroveň jejich závažnosti. Rozsahy skóre jsou:



  • Nízká: 0,1 – 3,9
  • Střední: 4,0 – 6,9
  • Vysoká: 7,0 – 8,9
  • Kritické: 9,0 – 10,0

Nejvyšší skóre, tznnejhorší, exploit je takový, kdy útočník může spustit kód podle svého výběru (tzvspuštění libovolného kódu) na dálku; obvykle přes internet. Z 1020 zranitelností hlášených CVE Details má 808 popis, který naznačuje, že zranitelnost lze použít ke vzdálenému spuštění libovolného kódu. To není příliš překvapivé, protože Flash je plugin používaný na internetu, ale zdůrazňuje, jak nebezpečné je mít Flash k dispozici ve vašem systému.

Pokud jde o skóre CVSS, 92 procent zranitelností hlášených ve Flashi bylo hodnoceno jako vysoké nebo kritické:

  • Kritické (9,0+): 863
  • Vysoká (7,0 – 8,9): 77

Důsledky ochrany osobních údajů

Všechny problémy s Flashem nesouvisejí se zranitelnostmi. Flash také nahlásí podrobné informace o vašem prohlížeči a vašem operačním systému snoopingovým webům. Jako použití VPN a nástroje na ochranu soukromí, jako je Tor získat větší přijetí, je pro protivníky stále těžší spoléhat na to, že budou schopni identifikovat osobu podle její IP adresy. Jednou z technologií, která tento typ identifikace nahrazuje, je otisky prstů v prohlížeči.

Každý prohlížeč má nějaký otisk prstu. Prohlížeč musí odeslatnějakýinformace na webový server za účelem zobrazení webové stránky, ale prohlížeče s nainstalovaným Flashem mohou poskytnout mnohem bohatší soubor dat. Čím více dat váš prohlížeč poskytuje, tím unikátnější je jeho otisk. Pozorovatelé pak mohou sledovat váš pokrok na celém internetu tím, že uvidí stejný otisk prohlížeče na více stránkách.

Například, Jsem jedinečný webová stránka ukazuje, že můj Flash plugin poskytuje následující informace o mém systému, když jsem byl požádán:

  • Seznam nainstalovaných písem
  • Rozlišení obrazovky
  • Jazyk systému
  • Plošina

Bleskově jedinečné výsledky

Proč je Flash tak silně zacíleno padouchy? Důvodů je několik.

Velký cíl

Flash používá různé prohlížeče, a proto je přítomen v milionech webových prohlížečů po celém světě. Nejúčinnějším typem malwaru je typ, který lze napsat jednou a poté nasadit na co největší počet obětí. Tyto typy šancí výrazně zvyšují šanci hackerů na úspěch, takže velké cíle, jako je Flash, jsou atraktivní. Ze statistik na začátku tohoto článku vidíme, že nárůst infekcí Flash v průběhu času je markantní.

Zmatek

Flash má dlouhou, zkroucenou historii, kterou je velmi těžké sledovat. V roce 2012 se používaly nejméně dvě různá čísla verzí. Jeden pro Windows a macOS a jeden pro uživatele Linuxu. Až do této doby používal Adobe rozhraní Netscape (NPAPI), ale Google právě vydal verzi Pepper Plugin (PPAPI), která byla o něco více oddělena od systému a byla také častěji aktualizována novými funkcemi. To opět změnilo systém číslování verzí. Pepper Plugin je nyní standardem ve spolupráci s Adobe. Se všemi těmito zmatky je pro uživatele těžké držet krok s aktuální verzí, která nepomáhá udržovat pluginy v divočině aktuální.

Zastaralý software je vynikající vektor útoku. Jakmile společnost vydá opravu pro konkrétní problém, svět může tuto opravu prozkoumat a v mnoha případech určit, co bylo opraveno. Pro padouchy to znamená, že se právě dozvěděli o exploitu, který mohou používat několik dní, týdnů nebo možná měsíců proti uživatelům, kteří ještě neaktualizovali svůj systém pomocí nového patche. Matoucí uživatele s různými čísly verzí ztěžuje lidem vědět, kdy by měli aktualizovat.

Alternativy

HTML5 je nejnovější a nejlepší verze jazyka HTML, který tvoří web. Historicky byly pluginy jako Flash potřebné k naplnění funkcí, které HTML nemohl poskytnout, jako je přehrávání videí nebo animované reklamy. HTML5 má tuto schopnost vestavěnou, a proto obecná závislost na Flash vymírá. Apple nikdy neměl Flash na svých iOS zařízeních a Google jej před několika lety vypustil z Androidu. Zbývají tak pouze uživatelé počítačů, kteří mohou občas narazit na web Flash.

Velké video servery jako Netflix a YouTube před lety vyhodily Flash ve prospěch HTML5. Facebook také přestal používat Flash. Google Chrome a Firefox se již nedodávají s nainstalovaným Flashem.

Ale co když narazíte na web Flash, který prostě musíte použít? Existují některé staré alternativy Flash, které obecně nefungují příliš dobře. Zjistil jsem, že Flash potřebuji tak zřídka, že už ho ani nemám nainstalovaný. Pokud mohu říci, nevýhodou mého surfování po internetu bylo to, že některé reklamy se nehrají, což se mě vlastně netýká. Pokud bych opravdu potřeboval Flash, jako jsem to udělal v tomto článku, nainstaloval bych ho a po dokončení bych jej odstranil. Jedná se o velmi rychlou instalaci, takže není třeba, aby číhala v mém systému. Plugin NoScript pro Firefox bude blokovat Flash i Javascript, takže i když nedoporučuji mít Flash nainstalovaný vůbec, pokud prostě musíte, použijte tento plugin k jeho deaktivaci ve výchozím nastavení a povolte jej pouze na dobu, kdy to potřebujete. . V prohlížeči Google Chrome bude plugin Flash Control blokovat Flash.

Našel jsem několik alternativ Flash, které jsou stále dostupné, i když většina z nich je nyní abandonware. Není snadné říci, zda by tyto pluginy byly bezpečnější než Adobe Flash a mám pocit, že nebudou. V některých případech je kód velmi starý, takže to nevypadá, že by je někdo udržoval nebo opravoval.

Linux

Skřípat

GNU Flash Movie Player je projekt GNU. Projekt GNU se snaží vytvořit verze populárního softwaru s otevřeným zdrojovým kódem, aby napomohl přijetí Linuxu. Kód pro Gnash nebyl aktualizován od roku 2011, ale stále je zapnutý GNU.org.

Světelná jiskra

To také vypadá jako abandonware. Poslední odevzdání kódu bylo v roce 2013. Nicméně wiki webu byl aktualizován v roce 2015, takže o něj může přetrvávat zájem.

Swfdec

Swfdec je přehrávač Flash pro plochu Gnome. Naposledy byl aktualizován v roce 2008 a pravděpodobně nebude fungovat na moderních prohlížečích.

Čestná uznání

Ty se ve skutečnosti nepočítají jako alternativy Flash, protože, no...nejsou Flash. To znamená, že se uživatelé nemohou rozhodnout použít je k zobrazení Flash místo pluginu Adobe Flash. Jsou to spíše konkurenční technologie, které si zaslouží být zmíněny, protože udělaly značku na animovaném webu.

Webový přehrávač Unity

Webový přehrávač Unity je spíše herní engine, ale lze jej použít k zobrazení bohatého obsahu na webu. Neumí přímo přehrávat Flash, ale zvládá mnoho formátů a není příliš obtížné převést Flash do mnoha dalších formátů.

Stříbrné světlo

Stříbrné světlo byla náhrada Flash od Microsoftu. Již se nevyvíjí a skončí v roce 2021, ale pluginy prohlížeče jsou v dohledné době stále dostupné.

Budoucnost Flashe je jistá; je odsouzen k záhubě, ale ne kvůli svým bezpečnostním problémům. HTML 5 je čistší, protože nevyžaduje, aby uživatelé instalovali nebo udržovali nějaké pluginy. Je také udržitelnější, protože jde o nativní HTML, a proto má stabilní a jistou budoucnost, na kterou se společnosti a vývojáři mohou spolehnout. HTML 5 by Flash stejně zabilo, ale jsme obzvlášť rádi, že to jde kvůli všem problémům se zabezpečením a soukromím, které přináší.

^