|
Expertos advierten sobre la seguridad en AIR
|
|
VSantivirus No 2654 Año 11, sábado 1 de marzo de 2008
Expertos advierten sobre la seguridad en AIR
http://www.vsantivirus.com/01-03-08.htm
Por Angela Ruiz
angela@videosoft.net.uy
AIR (Adobe Integrated Runtime), es una tecnología gratuita que permite la creación de aplicaciones interactivas de escritorio basadas en HTML, Ajax, Flash y otras herramientas del tipo Web 2.0. Especialistas en seguridad informática, han advertido que el mal uso de esta tecnología, puede llevar a que intrusos puedan acceder a archivos locales por medio de las aplicaciones basadas en la misma.
Adobe AIR saca provecho de una serie de tecnologías de código abierto, incluyendo algunas que también están implementadas en Firefox, Flash, Konqueror y Safari (por ejemplo Tamarin, SQLite y WebKit). Para proteger el equipo del usuario, AIR implementa un ambiente del tipo "caja de arena" (sandbox).
Esto es común en muchos lenguajes y entornos, tales como Java, donde para prevenir daños en el sistema del cliente, las aplicaciones descargadas de Internet se ejecutan en un ambiente cerrado (la llamada "caja de arena"), desde no pueden tener acceso a llamadas del sistema operativo o a otros recursos del sistema.
En el caso de las aplicaciones basadas en AIR, la propia documentación de Adobe sugiere que estas "sandboxes" son menos seguras que una sandbox implementada por un navegador Web. Esto no es nada tranquilizador, después que Firefox presentara recientemente una vulnerabilidad que puede permitir a un intruso acceder al sistema de archivos de forma remota.
Según la documentación de Adobe, las aplicaciones desplegadas con Adobe AIR "tienen capacidades de escritorio de gran alcance y acceso a datos locales."
Las aplicaciones AIR necesitan ser firmadas digitalmente para ejecutarse. Pero estos certificados pueden ser firmados por cualquiera. Además, muchos usuarios ignoran las alertas sobre la falta de firmas certificadas, ejecutando de todos modos aplicaciones que no son confiables.
Aún cuando Adobe proporciona artículos sobre la seguridad en AIR, es una práctica común para muchos desarrolladores sin experiencia ignorar dichas precauciones, tanto por desconocimiento de su existencia como por "comodidad".
De ese modo, muchas de las aplicaciones creadas con AIR, pueden llegar a convertirse en potenciales amenazas para los usuarios que las utilizan.
Las posibilidades y tipos de ataques son numerosos, por ejemplo ejecución de código por inyección de scripts, o hasta la ejecución de algún troyano que luego podría obtener y enviar a Internet información del usuario.
Todavía peor es que muchos desarrolladores confíen en la protección que brindan las sandboxes, cuando por lo contrario, este tipo de protección es una de las más débiles como se ha demostrado últimamente. La confianza siempre es peor que la simple ignorancia del peligro.
AIR está siendo utilizado por muchos sitios populares que brindan sus aplicaciones para ser instaladas en el escritorio del usuario (por ejemplo AOL Top 100 Videos player, eBay Desktop, NASDAQ Market Replay y Nickelodeon
Online).
Relacionados:
Adobe AIR is out. Let's talk about security
http://isc.sans.org/diary.html?storyid=4019
Security experts warn of potential malicious AIR code
http://www.zdnetasia.com/news/security/0,39044215,62038215,00.htm
Introducing the Adobe AIR security model
http://www.adobe.com/devnet/air/articles/introduction_to_air_security.html
Creación e implantación de aplicaciones dinámicas de Internet en el escritorio
http://www.adobe.com/products/air/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|