Adobe Flash, шпион в вашем компьютере - часть 1

Adobe Flash, на мой взгляд, является самым распространенным шпионским программным обеспечением в мире, и ни один продукт не обнаруживает его как таковой. Причина, по которой он остается незамеченным, состоит в том, что он также имеет множество законных применений, однако, есть все больше свидетельств, указывающих на значительные злоупотребления. Это будет первый из серии блогов, в которых я

Adobe Flash, на мой взгляд, является самым распространенным шпионским программным обеспечением в мире, и ни один продукт не обнаруживает его как таковой. Причина, по которой он остается незамеченным, состоит в том, что он также имеет множество законных применений, однако, есть все больше свидетельств, указывающих на значительные злоупотребления. Это будет первый из серии блогов, в которых я постараюсь помочь вам понять угрозы и помочь вам разобраться с чудовищем Flash.

Если у вас есть Adobe Flash на вашем компьютере, и большинство из вас, возможно, за вами следят, и Adobe делает все возможное, чтобы не сообщить вам или сделать что-нибудь об этом. По сути, богатый видеоконтент - это всего лишь лекарство, которое Adobe хочет, чтобы вы зацепили, но не заблуждайтесь, одна из основных целей Flash, по-видимому, заключается в тайном компрометации вашей конфиденциальности. Флэш-куки позволяют сетевым рекламным сетям скрытно и однозначно отслеживать использование вами интернета. Это проблема не только ПК, но и Linux, Mac и мобильных устройств, поддерживающих Flash. Флэш-куки обеспечивают рекламным сетям намного лучшее отслеживание, чем обычные куки-файлы. Поскольку Flash-cookie может эффективно идентифицировать вас (или ваш компьютер) уникальным образом, для интернет-рекламных агентств становится очень легко профилировать вас.

Возможно, единственное, что Flash угрожает больше, чем ваша конфиденциальность, это ваша безопасность. Flash пронизан уязвимостями, которые можно использовать. Я хочу помочь вам лучше контролировать вашу безопасность и конфиденциальность, поэтому в этом первом блоге основное внимание будет уделено основам обновления и обучению некоторой конфигурации Flash. Для начала убедитесь, что у вас установлена ​​самая последняя версия Flash, перейдя по ссылке http://www.adobe.com/products/flash/about. На этой странице вам сообщат версию Flash, которую вы установили, и текущую версию для некоторых операционных систем, но не для телефонов Android. Помните, что если вы используете несколько браузеров, вам нужно проверить Flash в каждом браузере, чтобы убедиться, что он актуален. Обновление Flash в Firefox не обновляет Flash в Internet Explorer.

Следующим шагом является настройка Flash Player. В следующем блоге я приведу альтернативные способы настройки Flash, но давайте начнем с «обычного» способа настройки Flash. На вашем компьютере должен быть инструмент для настройки Flash, но Adobe не работает так умно. Вы должны пойти в http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager.html для того, чтобы настроить Flash Player. Это довольно не интуитивно понятный сайт, созданный, чтобы отговорить пользователей от настройки Flash, но я помогу объяснить, как он работает. Когда вы зайдете на веб-страницу и у вас будет установлен Flash, вы увидите следующий экран.

Когда вы зайдете на веб-страницу и у вас будет установлен Flash, вы увидите следующий экран

На самом деле это не просто текст, это инструмент, который вам нужно использовать для настройки Flash Player. Обратите внимание, что этого будет недостаточно для предотвращения слежки за вами на сайтах с поддержкой Flash, но это только начало. Каждая из ссылок слева под словами «Диспетчер настроек» является активной ссылкой, управляющей Flash. Я объясню немного о каждом из экранов, которые вы видите, когда используете инструмент диспетчера настроек Flash Player. Первый экран - «Панель глобальных настроек конфиденциальности», которую вы видите ниже.

Использование панели глобальных настроек конфиденциальности никак не мешает неряшливым интернет-рекламным агентствам и другим мошенникам использовать флеш для индивидуального отслеживания вас

Использование панели глобальных настроек конфиденциальности никак не мешает неряшливым интернет-рекламным агентствам и другим мошенникам использовать флеш для индивидуального отслеживания вас. На самом деле это вообще не глобальная настройка конфиденциальности, это просто элемент управления для вашей веб-камеры и микрофона. По умолчанию, если приложение Flash хочет использовать вашу камеру или микрофон, оно должно спросить, но вы можете всегда отклонять запрос. Правильная настройка для этой панели - то, что вы хотите. Речь идет не о конфиденциальности, просто вы хотите поделиться своей веб-камерой или хотите, чтобы она никогда не использовалась и вас не спрашивали. Называя это «Панель глобальных настроек конфиденциальности», вы видите пример обманчивой и обманчивой природы Adobe.

Панель «Глобальные настройки хранения» больше связана с конфиденциальностью, чем с веб-камерой. Это также пример того, как смущает Adobe, пытаясь заставить Flash понять. LSO - это локальный общий объект, и эта панель контролирует LSO, но вместо того, чтобы сообщать вам о том, что вы выделяете ОБЩЕЕ пространство, Adobe называет его STORAGE. LSO может содержать много данных. Если вы установите нулевое хранилище, вы можете сломать некоторые сайты, но вы ограничите объем данных, которые можно хранить на вашем компьютере. Я установил мой на ноль, потому что Flash просто слишком опасен и обманчив, чтобы доверять хранилищу в глобальном масштабе. Я решил не разрешать сторонний Flash-контент, потому что не хочу, чтобы за мной шпионили неизвестные третьи лица. Запрет на использование сторонней флэш-памяти нарушает работу сайта Disney, но затем к Disney предъявляют иск за якобы злоупотребление Flash LSO с целью незаконного шпионажа за людьми. Взлом сайта Диснея, наверное, очень хорошая вещь. Я могу жить с этим. Это на самом деле нарушает многие встроенные Flash-ролики, но если все больше людей жалуются на то, что сторонние flash-ролики не показываются, возможно, Adobe перепроектирует Flash для обеспечения конфиденциальности. Возможность хранения общих компонентов Flash для сокращения времени загрузки - это то, что я отключаю. Моя причина отключения локального хранилища заключается в том, что я ожидаю, что эта «функция» будет использована в какой-то момент времени. Я подозреваю, что существуют или будут атаки, которые будут использовать преимущества сохраненного контента.

Панель «Глобальные параметры безопасности» показывает, насколько мало у Flash безопасности. Глобальная безопасность для Flash контролирует одну вещь - могут ли несанкционированный доступ к вашим данным получить более старые или даже плохо разработанные компоненты Flash. Я задаю свой вопрос, чтобы всегда спрашивать, потому что я хочу знать, когда я сталкиваюсь с таким сайтом, но тогда я также знаю, что правильный ответ - запретить доступ. Для большинства людей я рекомендую выбрать «Всегда отрицать».


Панель «Глобальные уведомления» используется для того, чтобы показать, насколько плохо Adobe эффективна в общении. Когда сайт хочет получить доступ к вашей веб-камере, и у вас есть настроенный элемент управления для запроса, вы получаете уведомление. Когда стороннему сайту требуется небезопасный доступ к вашим данным, и у вас настроен Flash для запроса, вы получаете уведомление о запросе, но это не то, о чем говорит эта панель. Вот как вы устанавливаете интервал для того, как часто Flash проверяет наличие обновлений! Это действительно следует называть панелью «Настройки обновления», но, возможно, Adobe думает, что однажды она может быть использована и для других целей. Значение по умолчанию, вероятно, хорошо. Если вы хотите проверить чаще, я расскажу вам, как в будущем блоге.

Панель «Параметры конфиденциальности веб-сайта» аналогична «Глобальным параметрам конфиденциальности», за исключением того, что она позволяет контролировать поведение веб-сайтов после их посещения

Панель «Параметры конфиденциальности веб-сайта» аналогична «Глобальным параметрам конфиденциальности», за исключением того, что она позволяет контролировать поведение веб-сайтов после их посещения. Если вы посетили веб-сайт, который использует Flash, он будет указан здесь. На этой панели вы можете всегда разрешать сайту доступ к вашей веб-камере, всегда запрещать доступ к ней или оставлять разрешение по умолчанию каждый раз. Панель была бы гораздо полезнее, если бы вы могли добавлять веб-сайты, не посещая их, но эта функциональность не помогает Flash шпионить за вами, поэтому не стоит искать их в ближайшее время.

Панель была бы гораздо полезнее, если бы вы могли добавлять веб-сайты, не посещая их, но эта функциональность не помогает Flash шпионить за вами, поэтому не стоит искать их в ближайшее время

Панель «Параметры хранилища веб-сайта» аналогична панели «Глобальные параметры хранилища», за исключением того, что она используется ПОСЛЕ того, как Adobe позволит веб-сайту шпионить за вами. При посещении веб-сайта с поддержкой Flash они будут отображаться в поле в нижней части панели, а затем вы сможете выбрать каждый веб-сайт и настроить, сколько локального хранилища (общих объектов) вы хотите, чтобы веб-сайт имел на жестком диске. Еще раз из-за дизайна, который предпочитает компромисс с конфиденциальностью по сравнению с выбором пользователя, вы не можете сначала добавлять сайты и назначать настройки, вам нужно сначала перейти на сайт и использовать настройки по умолчанию. После посещения сайта вы должны вернуться в менеджер настроек Flash

После посещения сайта вы должны вернуться в менеджер настроек Flash

Панель Peer-Assisted Networking позволяет запретить Flash использовать ваше интернет-соединение. Может быть, никакой угрозы безопасности или конфиденциальности вообще нет, но я действительно не могу авторитетно сказать, что риска нет. Вероятно, нет никакой пользы, которая стоит того, чтобы рисковать. Установите флажок «Отключить P2P uplink для всех» и не оглядывайтесь назад.

Установите флажок «Отключить P2P uplink для всех» и не оглядывайтесь назад

Панель настроек воспроизведения защищенного контента, как правило, не имеет никакого значения. Большинство компаний понимают, что DRM (Digital Rights Management) была почти такой же успешной, как война с наркотиками. У некоторых людей могут быть защищенные файлы, и, когда возникает какая-то неясная проблема, после нескольких часов разговоров по телефону со службой технической поддержки вас могут попросить сбросить файлы лицензий, в противном случае вы можете довольно безопасно проигнорировать эту панель.

Один из других способов настроить flash - это щелкнуть правой кнопкой мыши flash-анимацию на веб-странице. Проблема в том, что вы должны знать, что это Flash-файл, а не анимированный GIF-файл или другое графическое изображение, и после некоторого шпионажа вы можете сказать «Стоп».

Один из других способов настроить flash - это щелкнуть правой кнопкой мыши flash-анимацию на веб-странице

Если вы выберете «Настройки», вы сможете отключить или включить аппаратное ускорение. Если вы выберете Глобальные настройки, то перейдете на панель диспетчера настроек Flash, которую мы только что просмотрели.

В следующем блоге я покажу вам другой способ настройки Flash. Способ, которым вы можете заблокировать практически все LSO, по-настоящему контролировать Flash и, возможно, вообще не увидеть много Flash-анимаций.

Рэнди Абрамс
Директор по техническому образованию
ESET LLC