I sistemi per l’upload attraverso Flash di contenuti da parte degli utenti sui siti web possono mettere a rischio la sicurezza degli spazi online e degli stessi utenti della Rete. Sembra non avere molti dubbi in proposito l’esperto di sicurezza informatica Mike Bailey, Foreground Security, che ha recentemente identificato una falla nel sistema di amministrazione degli upload da parte del celebre plugin di Adobe.
«Adobe dovrebbe modificare il modo in cui Flash Player gestisce le politiche di sicurezza così da evitare l’esecuzione di codice arbitrario per accedere all’applicazione senza i dovuti permessi. Come valore predefinito, Flash Player si fida di tutti i contenuti, mentre invece dovrebbe fare affidamento solo sui contenuti consentiti» ha dichiarato Bailey, autore di un dettagliato post da poco pubblicato nel blog di Foreground Security per spiegare il malfunzionamento di Flash ritenuto particolarmente pericoloso. Sfruttando le impostazioni predefinite del plugin, un utente malintenzionato potrebbe eseguire l’upload di un file appositamente modificato per eseguire codice malevolo all’interno dei browser quando visualizzato dagli altri utenti.
Secondo gli esperti di sicurezza di Foreground Security, tale condizione potrebbe rendere vulnerabili numerosi siti web creando non pochi problemi ai loro visitatori. Il problema potrebbe interessare anche soluzioni web molto celebri e utilizzate quotidianamente da decine di milioni di persone, come il sistema per la posta elettronica Gmail. Bailey non esclude, infatti, che il sistema per gli upload della posta di Google possa essere utilizzato per portare a termine un attacco, anche se tale eventualità rimane remota a causa dei numerosi e macchinosi passaggi richiesti.
Il problema legato alla gestione degli upload in Flash è noto da tempo da Adobe, che ha però affermato di non poter risolvere la questione attraverso il rilascio di una patch. Modificare la policy di sicurezza richiederebbe una revisione sostanziale dell’applicativo e renderebbe di colpo inutilizzabili buona parte dei siti web che utilizzano Flash per consentire agli utenti di effettuare gli upload. Secondo Adobe, il problema non sarebbe solamente tecnico, ma anche culturale. L’adozione di alcune semplici misure in fase di progettazione e sviluppo di un sito web con elementi Flash consente di mettere in sicurezza il sistema, scongiurando la possibilità di subire attacchi da parte di utenti malintenzionati.
«Parlando in termini generici, per loro natura, i contenuti di Flash (SWF) sono potenti e dovrebbero essere gestiti con la medesima cautela utilizzata per altri contenuti, come JavaScript, per fare in modo che il design del sito non possa dar luogo a vulnerabilità. Adobe ha sempre ricordato che la pratica di consentire l’upload di contenuti arbitrari o realizzati in Flash non dovrebbe essere seguita a causa dei potenziali pericoli, come quelli segnalati da Mike Bailey. Adobe ha pubblicato diversi avvisi e alcuni post sul proprio blog contenenti le migliori pratiche da seguire da parte degli sviluppatori e dei proprietari dei siti web per ospitare nella maniera più sicura i contenuti in Flash» hanno dichiarato i responsabili di Adobe attraverso un comunicato da poco diffuso online.
Secondo Bailey, le linee guida proposte da Adobe sarebbero disattese da buona parte dei siti web che utilizzano Flash. Tale condizione potrebbe esporre gli utenti a non pochi problemi legati alla sicurezza dei loro sistemi. I rimedi disponibili dal lato utente sono pochi e legati all’utilizzo di soluzioni come NoScript per Firefox e ToggleFlash per Internet Explorer. Il consiglio di Bailey è invece più drastico e forse poco realizzabile alla luce della diffusione dei siti web che sfruttano il plugin di Adobe: «Dal lato utente c’è ben poco da fare, salvo non disattivare completamente Flash».