Złośliwe reklamy
- Computerworld,
- 07.01.2008, godz. 18:18
Animowane reklamy Flash, oprócz zasłaniania treści, spowalniania pracy komputera, wydawania irytujących dźwięków i utrudniania czytania, mogą mieć jeszcze jedną nieprzyjemną funkcję - instalować złośliwe oprogramowanie.
Reklama Flash
DoubleClick jest potentatem reklam internetowych, zatem obszar emisji złośliwego kodu był znaczący. Sean Harvey, który odpowiada w DoubleClick za system DART, twierdzi, że tego typu zdarzenia to bardzo poważne wyzwanie dla przemysłu reklam internetowych, bowiem zakup reklam w celu emisji złośliwego kodu rzuca cień na bezpieczeństwo całego biznesu reklamy w Internecie. Według niego winni są oczywiście reklamodawcy. W tym przypadku uważa się, że za emisją stoi firma AdTraff.
Drugie dno
Użycie dodatku NoScript do blokowania obiektów Flash
Znacznie ważniejszy od dokuczliwej reklamy jest mechanizm, który umożliwia pobranie i uruchomienie złośliwego kodu nawet w środowisku reklamowanym jako bezpieczne - Windows Vista ze zaktualizowanym Internet Explorerem. Jak zwykle za lukę w bezpieczeństwie odpowiedzialne jest najsłabsze ogniwo. Tym razem nie jest nim człowiek, który przegląda Internet, lecz niedostateczne zabezpieczenie uprawnień wtyczki Adobe Flash Player.
Dzisiejsze strony WWW coraz częściej wykorzystują animacje Flash, sama wtyczka jest bardzo popularna, zatem incydent ten może być sygnałem ostrzegawczym. Co bardziej podejrzliwi użytkownicy od dawna zwracali uwagę na to, że obiekty Flash mają zbyt duże uprawnienia - można wykorzystać je do naruszenia prywatności i śledzenia aktywności jeszcze lepiej niż za pomocą cookies. Jednocześnie daleko idące ograniczenie uprawnień wtyczki wewnątrz przeglądarki Internet Explorer jest skrajnie trudne. W przypadku przeglądarki Firefox w systemie Linux jest to możliwe, ale wymaga modyfikacji uprawnień kilku katalogów oraz śledzenie zapisów, jakie dokonuje Flash Player. Można zaryzykować stwierdzenie, że przeciętny użytkownik Internetu jest całkowicie bezradny wobec luk w bezpieczeństwie i prywatności związanych z wtyczką Adobe Flash Player uruchomioną wewnątrz Internet Explorera. Nie każdy potrafi choćby wyrejestrować obsługę Flash z przeglądarki.