Wydawać mogłoby się, że Flasha w Internecie pochowaliśmy na dobre. Wszystkie najpopularniejsze przeglądarki blokują od jakiegoś czasu wyświetlanie apletów, część nie informuje już nawet, że jakakolwiek treść została ukryta. Jak się jednak okazuje, w kwestii pozwoleń na wykorzystanie Flasha są równi i równiejsi. Szczególnymi przywilejami miał się potajemnie cieszyć Facebook.
W blokowaniu Flasha są równi i równiejsi
Na ślad niejawnych praktyk Microsoftu i Facebooka trafili pracownicy Google zaangażowani w program Google Project Zero. Celem programu jest odnajdywanie luk bezpieczeństwa w oprogramowaniu zgodnie z harmonogramem wykorzystywanym przez białe kapelusze. Google trzyma się go ściśle, a niektórzy powiedzieliby, że bezlitośnie. W rezultacie niejednokrotnie zdarzało się, że Google publikowało exploity dnia zerowego dla Windowsa.
Podobnych praktyk było więcej i śmiało można mówić o potyczkach pomiędzy Microsoftem a Google Project Zero. W tym kontekście należałoby umieścić także opublikowane właśnie znalezisko ekspertów z Google. Poszukując podatności w przeglądarce Microsoft Edge, trafili oni na plik edgehtmlpluginpolicy.bin, który zawierał wartości funkcji skrótu dla… listy wyjątków od bezwzględnego blokowania Flasha w przeglądarce. Znalazły się na niej domeny Facebooka: www.facebook.com oraz app.facebook.com.
Wyjątkami m.in. Facebook i hiszpański salon piękności
Microsoft od 2017 r. deklaruje, że Edge skrupulatnie blokuje wszystkie aplety Flash. Użytkownik jest jednak informowany o blokadzie i może samodzielnie pozwolić na wyświetlanie. Lista, na którą trafili eksperci z GPZ, składa się jednak z wyjątków od tej reguły – aplety na odnalezionych domenach są wyświetlane i obsługiwane niezależnie od decyzji użytkownika. Znajdziemy na niej między innymi Deezera, Yahoo, ale także… witrynę hiszpańskiego salonu piękności zlokalizowanego nieopodal Walencji.
O liście wyjątków Google wiedziało od listopada. Zgodnie z przyjętymi zasadami informacje upubliczniono dopiero teraz, po publikacji najnowszych wtorkowych biuletynów bezpieczeństwa. Nie sposób twierdzić, jednak, że problem został całkowicie rozwiązany, gdyż lista wyjątków nie została nadal całkowicie usunięta. Zredukowano ją jedynie do dwóch domen Facebooka i wymuszono na nich wykorzystanie protokołu HTTPS.
Facebook może używać Flasha do śledzenia
W tej chwili Edge pozwala zatem Facebookowi na wyświetlanie apletów o rozmiarach większych niż 398×298 pikseli. Pracownicy Google Project Zero wydali krytyczne pod adresem Microsoftu oświadczenie, w którym przestrzegają przed użyciem list wyjątków od blokowania Flasha. Praktyka Microsoftu naraża użytkowników na ataki cross site scripting. Co więcej, w przypadku jednej z domen znane są już przypadki udanych ataków XSS.Warto jednak zwrócić uwagę, że Flash wcale nie musi być wykorzystywany przez Facebooka wyłącznie do gier, lecz także do śledzenia użytkowników. Flash używa bowiem Local Shared Object – specjalnych ciasteczek zapisywanych w innej lokalizacji, niż ciasteczka HTTP. W rezultacie nie są one usuwane przez przeglądarkę i trzeba to robić ręcznie. Ponadto LSO nie muszą mieć okresu ważności – raz pobrane ciasteczko może być wykorzystywane miesiącami bez obaw, że usunie je automatycznie przeglądarka.
