Expertos advierten sobre la seguridad en Adobe - AIR


AIR (Adobe Integrated Runtime), es una tecnología gratuita que permite la creación de aplicaciones interactivas de escritorio basadas en HTML, Ajax, Flash y otras herramientas del tipo Web 2.0.





Especialistas en seguridad informática, han advertido que el mal uso de esta tecnología, puede llevar a que intrusos puedan acceder a archivos locales por medio de las aplicaciones basadas en la misma.

Adobe AIR saca provecho de una serie de tecnologías de código abierto, incluyendo algunas que también están implementadas en Firefox, Flash, Konqueror y Safari (por ejemplo Tamarin, SQLite y WebKit). Para proteger el equipo del usuario, AIR implementa un ambiente del tipo "caja de arena" (sandbox).

Esto es común en muchos lenguajes y entornos, tales como Java, donde para prevenir daños en el sistema del cliente, las aplicaciones descargadas de Internet se ejecutan en un ambiente cerrado (la llamada "caja de arena"), desde no pueden tener acceso a llamadas del sistema operativo o a otros recursos del sistema.

En el caso de las aplicaciones basadas en AIR, la propia documentación de Adobe sugiere que estas "sandboxes" son menos seguras que una sandbox implementada por un navegador Web. Esto no es nada tranquilizador, después que Firefox presentara recientemente una vulnerabilidad que puede permitir a un intruso acceder al sistema de archivos de forma remota.

Según la documentación de Adobe, las aplicaciones desplegadas con Adobe AIR "tienen capacidades de escritorio de gran alcance y acceso a datos locales."

Las aplicaciones AIR necesitan ser firmadas digitalmente para ejecutarse. Pero estos certificados pueden ser firmados por cualquiera. Además, muchos usuarios ignoran las alertas sobre la falta de firmas certificadas, ejecutando de todos modos aplicaciones que no son confiables.

Aún cuando Adobe proporciona artículos sobre la seguridad en AIR, es una práctica común para muchos desarrolladores sin experiencia ignorar dichas precauciones, tanto por desconocimiento de su existencia como por "comodidad".

De ese modo, muchas de las aplicaciones creadas con AIR, pueden llegar a convertirse en potenciales amenazas para los usuarios que las utilizan.

Las posibilidades y tipos de ataques son numerosos, por ejemplo ejecución de código por inyección de scripts, o hasta la ejecución de algún troyano que luego podría obtener y enviar a Internet información del usuario.

Todavía peor es que muchos desarrolladores confíen en la protección que brindan las sandboxes, cuando por lo contrario, este tipo de protección es una de las más débiles como se ha demostrado últimamente. La confianza siempre es peor que la simple ignorancia del peligro.

AIR está siendo utilizado por muchos sitios populares que brindan sus aplicaciones para ser instaladas en el escritorio del usuario (por ejemplo AOL Top 100 Videos player, eBay Desktop, NASDAQ Market Replay y Nickelodeon Online).


* Relacionados:

Adobe AIR is out. Let's talk about security
http://isc.sans.org/diary.html?storyid=4019

Security experts warn of potential malicious AIR code
http://www.zdnetasia.com/news/security/0,39044215,62038215,00.htm

Introducing the Adobe AIR security model
http://www.adobe.com/devnet/air/articles/introduction_to_air_security.html

Creación e implantación de aplicaciones dinámicas de Internet en el escritorio
http://www.adobe.com/products/air/


Fuente:
Por Angela Ruiz
http://www.vsantivirus.com



Otras noticias de interés:

NOS UNIMOS AL DOLOR DE NUESTROS AMIGOS ESPAÑOLES
Hoy ha ocurrido un lamentable hecho en la ciudad de Madrid España, donde murieron más de 100 personas además de miles de heridos. El Xombra Team les da sus sinceras palabras de condolencias a todos los Españoles. Nosotros estam...
OpenSSL 1.0.0e soluciona dos vulnerabilidades
Se ha publicado la versión 1.0.0e de OpenSSL que soluciona dos vulnerabilidades. ...
La crisis sigue recortando los presupuestos en TI
Como consecuencia de la crisis, tres de cada cuatro organizaciones (73%) se han visto obligadas a recortar costes en el área de TI, mientras que otro 10% tiene la intención de llevar a cabo a corto plazo iniciativas de este tipo....
El Gobierno Ecuatoriano le apostó al Software Libre
El uso del software libre en Ecuador es ya una decisión gubernamental. El gobierno del presidente Rafael Correa impulsará la adopción de esta herramienta en las instituciones que dependen directamente del Ejecutivo: ministerios e instituciones ads...
Virus se distribuye escondido bajo el juego Angry birds
El virus Android Rufraud, afecta a teléfonos móviles, y se esconde bajo la apariencia de conocidos videojuegos con Angry Birds....
BlackHole RAT, un troyano para Mac
BlackHole RAT es el nombre con el que se conoce un troyano para Mac que, según la empresa de seguridad Sophos, es muy sencillo de utilizar, aunque aún no se tiene constancia de ningún ataque....
Privacidad de los datos
En un mundo cada vez más interconectado, de información instantánea y servicios en la nube; la sobrecarga de la información y la pérdida de privacidad son amenazas que ya no pueden pasar desapercibidas. En este contexto, el concepto de privacida...
Actualizar el software: ¿es necesario?
Si necesitas nuevos recursos para tus programas, la idea de la actualización es la mejor opción, pero si están funcionando correctamente, lo mejor es dejarlos de la manera en la que están.- ...
Publicado detalles de vulnerabilidad de los DNS
Un grave problema en el sistema de nombres de dominio (DNS), fue solucionado hace unas semanas en forma secreta, pero no se dieron detalles del fallo, a los efectos de dar tiempo a que los responsables apliquen los correspondientes parches. ...
Intentan hackear un millón de veces la web del antiguo KGB
Los responsables del FSB afirman que su web es totalmente segura y no dan importancia a los ataques, la mayoría provocados por jóvenes rusos....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • adobe
  • advierten
  • air
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • expertos
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra