Żegnaj, Flashu! Google Chrome planuje przejść na domyślne korzystanie z HTML5

bezpieczeństwo

Jak dowiedzieliśmy się w zeszłym tygodniu, zespół deweloperów odpowiedzialnych za przeglądarkę Google Chrome planuje przejść na „Domyślne korzystanie z HTML5” w czwartym kwartale 2016 roku.

Anthony LaForge, menedżer programu technicznego w Google, napisał:

Później w tym roku planujemy zmienić sposób, w jaki Chromium informuje witryny internetowe o obecności Flash Playera, poprzez zmianę domyślnych odpowiedzi Navigator.plugins i Navigator.mimeTypes. Jeśli witryna oferuje treść HTML5, nasza zmiana sprawi, że treść ta będzie traktowana jako podstawowa. Będziemy nadal dołączać Flash Playera do Chrome’a, a jeśli jakaś witryna rzeczywiście wymaga Flasha, podczas pierwszej wizyty na górze strony pojawi się monit z opcją włączenia obsługi Flasha dla tej witryny”.

Wcześniej w tym roku, w naszym Raporcie o zagrożeniach 2015, przewidziałem, że twórcy Google Chrome wkrótce zaczną wycofywać się z obsługi Adobe Flasha:

Przewiduję zatem, że na początku 2017 roku — kiedy obsługa reklam bazujących na Flashu stanie się niepotrzebna — przeglądarka Google Chrome zacznie zmuszać użytkowników do wyrażania jawnej zgody na wyświetlenie stron, które używają jakiejkolwiek postaci Flasha. Firefox i Microsoft Edge zrobią to samo i wiosną 2017 roku… Flash stanie się praktycznie bezużyteczny z perspektywy pakietów exploitów.

…oraz że Mozilla i Microsoft pójdą w ich ślady. Jedna przepowiednia się sprawdziła, zostały jeszcze dwie.

 

Oto cały artykuł przedrukowany z raportu:

Flash: ostatni łatwy cel

Złośliwe exploity są w powszechnym obiegu od ponad dekady. Do tego stopnia, że w 2006 roku dzień następujący po „wtorku poprawek” Microsoftu zaczął być żartobliwie nazywany „środą exploitów” przez analityków InfoSec. Szybkie działanie było kluczem do sukcesu. We wtorki Microsoft wydawał aktualizacje, które były analizowane metodami inżynierii wstecznej w celu odkrycia załatanej luki w zabezpieczeniach. Kiedy luka była już znana, tworzono exploit wymierzony w tych, którzy jeszcze nie zaktualizowali swojego systemu.

Pod koniec 2006 roku złośliwe oprogramowanie zaczęło zmieniać się w towar na sprzedaż za sprawą pakietów exploitów. Wczesne pakiety, takie jak MPack, padły ofiarą własnego sukcesu, ponieważ nie można było ich szybko skalować w celu zaspokojenia nieustannie rosnącego popytu. Te początkowe problemy szybko rozwiązano, a dziś na czarnym rynku dostępne są liczne pakiety exploitów.

Środa exploitów odeszła do historii. Oprogramowanie Microsoftu[1] jest znacznie bezpieczniejsze, niż 10 lat temu, a poprawki są wprowadzane znacznie szybciej. Twórcy exploitów wzięli więc na cel oprogramowanie Adobe. Przez pewien czas najczęściej atakowanym programem był Reader (a także Flash). Ale przeglądarki zaczęły oferować wbudowaną obsługę formatu PDF i Reader stał się niepotrzebny dla większości użytkowników. Firma Adobe wprowadziła szybkie cykle aktualizacji i jej oprogramowanie na jakiś czas zniknęło z radaru napastników. Następnie ulubionym celem stała się wtyczka Javy do przeglądarek – najsłabszy członek stada. Twórcy przeglądarek zamknęli ją więc w bardzo ograniczonym środowisku. Zatem obecnie… Adobe Flash pozostaje ostatnim „łatwym” celem exploitów. Ale na jak długo?

29 kwietnia 2010 roku Steve Jobs opublikował list otwarty zatytułowany „Thoughts on Flash”, w którym wyjaśniał, dlaczego Apple nie wpuści Flasha na urządzenia iOS. Wielu analityków obwieściło ten moment początkiem końca Flash Playera, przynajmniej na urządzeniach mobilnych. Okazało się, że mieli rację. 28 czerwca 2012 roku firma Adobe poinformowała, że nie wyda certyfikowanej implementacji Flash Playera dla Androida 4.1 i że będzie ograniczać instalacje przez Google Play od 15 sierpnia 2012 roku[2].

Flash utrzymuje się jeszcze na rynku komputerów stacjonarnych, ale gdzie nie spojrzeć, tam jest wycofywany z użytku. W sierpniu 2015 roku Amazon poinformował, że „od 1 września 2015 roku Amazon nie będzie akceptował reklam w formacie Flash”. Google poszło w ślady Amazona w lutym 2016 roku. Jego sieci reklamowe, AdWords i DoubleClick, nie będą przyjmować nowych reklam opartych na Flashu od 30 czerwca 2016 roku. Reklamy w formacie Flash zostaną wyłączone 2 stycznia 2017 roku.

Przewiduję zatem, że na początku 2017 roku — kiedy obsługa reklam bazujących na Flashu stanie się niepotrzebna — przeglądarka Google Chrome zacznie zmuszać użytkowników do wyrażania jawnej zgody na wyświetlenie stron, które używają jakiejkolwiek postaci Flasha. Firefox i Microsoft Edge zrobią to samo i wiosną 2017 roku… Flash stanie się praktycznie bezużyteczny z perspektywy pakietów exploitów.

Twórcy exploitów muszą więc zmienić model działania, ponieważ na horyzoncie nie widać żadnych nowych, łatwych celów. Malware przeznaczony na sprzedaż skręci jeszcze mocniej w kierunku szkodliwych załączników, takich jak dokumenty ze złośliwym makrami, które obecnie zyskują na znaczeniu.

Gdybyśmy tylko mogli powstrzymać ludzi przed klikaniem „OK” w celu zamknięcia okienka…

 

[1] Silverlight, wyjątek od reguły, jest obecnie celem pakietów exploitów. Jest jednak nadzieja, że niebawem odejdzie w niebyt, ponieważ Netflix rezygnuje z tej technologii.

[2] Jak na ironię, wiele złośliwych programów na Androida trafia do użytkowników za pośrednictwem zwodniczych reklam, które twierdzą, że wymagana jest aktualizacja Flasha. Nawet kiedy zabrakło Flasha, jego dziedzictwo nadal znajduje zastosowanie w socjotechnice. Inżynierowie Google’a zaczynają konfigurować przeglądarkę Chrome tak, aby ostrzegała użytkowników przed witrynami wyświetlającymi takie reklamy.

Sean Sullivan 03 low

Autorem tekstu jest Sean Sullivan, Doradca ds. Bezpieczeństwa w F-Secure.

Oceń artykuł

0 głosów

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: