Expertos advierten sobre la seguridad en Adobe - AIR


AIR (Adobe Integrated Runtime), es una tecnología gratuita que permite la creación de aplicaciones interactivas de escritorio basadas en HTML, Ajax, Flash y otras herramientas del tipo Web 2.0.





Especialistas en seguridad informática, han advertido que el mal uso de esta tecnología, puede llevar a que intrusos puedan acceder a archivos locales por medio de las aplicaciones basadas en la misma.

Adobe AIR saca provecho de una serie de tecnologías de código abierto, incluyendo algunas que también están implementadas en Firefox, Flash, Konqueror y Safari (por ejemplo Tamarin, SQLite y WebKit). Para proteger el equipo del usuario, AIR implementa un ambiente del tipo "caja de arena" (sandbox).

Esto es común en muchos lenguajes y entornos, tales como Java, donde para prevenir daños en el sistema del cliente, las aplicaciones descargadas de Internet se ejecutan en un ambiente cerrado (la llamada "caja de arena"), desde no pueden tener acceso a llamadas del sistema operativo o a otros recursos del sistema.

En el caso de las aplicaciones basadas en AIR, la propia documentación de Adobe sugiere que estas "sandboxes" son menos seguras que una sandbox implementada por un navegador Web. Esto no es nada tranquilizador, después que Firefox presentara recientemente una vulnerabilidad que puede permitir a un intruso acceder al sistema de archivos de forma remota.

Según la documentación de Adobe, las aplicaciones desplegadas con Adobe AIR "tienen capacidades de escritorio de gran alcance y acceso a datos locales."

Las aplicaciones AIR necesitan ser firmadas digitalmente para ejecutarse. Pero estos certificados pueden ser firmados por cualquiera. Además, muchos usuarios ignoran las alertas sobre la falta de firmas certificadas, ejecutando de todos modos aplicaciones que no son confiables.

Aún cuando Adobe proporciona artículos sobre la seguridad en AIR, es una práctica común para muchos desarrolladores sin experiencia ignorar dichas precauciones, tanto por desconocimiento de su existencia como por "comodidad".

De ese modo, muchas de las aplicaciones creadas con AIR, pueden llegar a convertirse en potenciales amenazas para los usuarios que las utilizan.

Las posibilidades y tipos de ataques son numerosos, por ejemplo ejecución de código por inyección de scripts, o hasta la ejecución de algún troyano que luego podría obtener y enviar a Internet información del usuario.

Todavía peor es que muchos desarrolladores confíen en la protección que brindan las sandboxes, cuando por lo contrario, este tipo de protección es una de las más débiles como se ha demostrado últimamente. La confianza siempre es peor que la simple ignorancia del peligro.

AIR está siendo utilizado por muchos sitios populares que brindan sus aplicaciones para ser instaladas en el escritorio del usuario (por ejemplo AOL Top 100 Videos player, eBay Desktop, NASDAQ Market Replay y Nickelodeon Online).


* Relacionados:

Adobe AIR is out. Let's talk about security
http://isc.sans.org/diary.html?storyid=4019

Security experts warn of potential malicious AIR code
http://www.zdnetasia.com/news/security/0,39044215,62038215,00.htm

Introducing the Adobe AIR security model
http://www.adobe.com/devnet/air/articles/introduction_to_air_security.html

Creación e implantación de aplicaciones dinámicas de Internet en el escritorio
http://www.adobe.com/products/air/


Fuente:
Por Angela Ruiz
http://www.vsantivirus.com



Otras noticias de interés:

Redes sociales: No al anonimato
En solo 24 días, Google+, la red social del gigante de Internet, alcanzó 20 millones de usuarios, pero la decisión de la compañía de eliminar las cuentas que no tuvieran nombres reales ha causado ira....
Android vulnerable al photo snooping
Al igual que ocurre con Apple iOS, los usuarios de Android también pueden ser objeto de ‘photo snooping’, que no es más espiarlas fotos de los usuarios a través de sus propios dispositivos. ...
Nuevo fraude en Facebook roba datos de acceso
Un nuevo fraude está comenzando a extenderse por Facebook. Utiliza como cebo una falsa petición de los responsables de la red social de Palo Alto para que los usuarios verifiquen que sus datos de cuenta son correctos....
Quemado...
Ayer un amigo de la lista de Vaslibre.org.ve envío este interesante y jocoso artículo de un blog de Linux, por ello quisiera compartirlo. ...
Actualización de Joomla, 1.5.18, corrige vulnerabilidad XSS
El equipo de seguridad de Joomla ha anunciado la inmediata disponibilidad de la versión de seguridad 1.5.18 que corrige una seria vulnerabilidad XSS afectando a la versión 1.5.7 y todas las anteriores de la rama 1.5x....
Google Chrome hace más rápido a Internet Explorer
Google ha creado Chrome Frame, un plugin para el navegador Internet Explorer de Microsoft que permite utilizar Chrome de forma transparente al usuario....
Internet no es solo web!
El 75% de los usuarios que se conectan a Internet no lo hacen a través de navegadores, ocupando la primacía de Internet otro tipo de aplicaciones. Según un estudio que acaba de ser llevado a cabo por la consultora independiente Nielsen/NetR...
Backstealth. Una auténtica herramienta para hackers.
La herramienta para hackers Backstealth es capaz de evitar la mayoría de los programas cortafuegos existentes en el mercado....
Gusano ensombrece aniversario de iniciativa de seguridad de Microsoft
Un potente gusano, que aprovechó uno de los puntos débiles del software de bases de datos de Microsoft para ralentizar el acceso de los usuarios a Internet, resultó ser un protagonista inoportuno en el aniversario de la iniciativa de la empresa in...
SIN ÉTICA NO HAY RIQUEZA
Se puede ser crítico de las actitudes humanas, de sus objetivos difusos y de sus métodos pocos éticos de cada individuo, al mismo tiempo expresar insatisfacción de la forma en que grupos de personas, que al parecer constituyen una gran masa de ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • adobe
  • advierten
  • air
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • expertos
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra