Trovato un modo per superare la tecnologia sandbox di Adobe Flash. Billy Rios, ricercatore di sicurezza di Google, ha scovato un metodo - a suo dire banale per chi ha le giuste capacità - per farsi beffe della sandbox. "Il modo più semplice per superare la sandbox è usare semplicemente una richiesta file:// verso un server remoto".
La sandbox dovrebbe impedire ai file Flash caricati localmente di passare dati a sistemi in remoto. I file SWF sono così "chiusi" in un recinto che non dovrebbe consentire la comunicazione con l'esterno. Questa soluzione nasce soprattutto per impedire che eventuali infezioni si propaghino nel sistema inviando dati utente a sistemi controllati da malintenzionati.
Anup Ghosh, fondatore dell'azienda di sicurezza Invincea, ha spiegato che l'exploit non sfrutta alcun problema nel codice o scova falle nell'implementazione, ma piuttosto "espone una falla nel design della sandbox".
"I designer della sandbox sono nell'insostenibile posizione di dover pensare a ogni modo in cui un malintenzionato può tentare di sfruttare i privilegi e poi devono elaborare metodi per bloccare queste strade", ha aggiunto Gosh.
Fortunatamente secondo quanto dichiarato da Billy Rios, sembra che sulla rete locale passino solo gli IP e gli hostname del sistema. "Se un malintenzionato vuole inviare dati a un server remoto su Internet dovrebbe ricorrere a un altro paio di trucchi".
Pronta la risposta di Adobe, che ha già catalogato il bug come moderato.
"Prima di essere in grado di indurre l'utente ad avviare un'applicazione che può far funzionare nativamente file SWF un malintenzionato dovrebbe ottenere l'accesso al suo sistema per collocare un file SWF maligno in una directory locale. Nella maggior parte degli scenari d'uso, l'avvio dei file SWF maligni potrebbe non avvenire con un semplice doppio click; l'utente dovrebbe aprire manualmente il file dall'interno della stessa applicazione".
La sandbox è un passo nella giusta direzione, ma questo caso sottolinea che non può essere la soluzione definitiva. Fortunatamente Adobe è stata pronta a prendersi carico del problema, assicurandone la risoluzione in tempi rapidi.