Microsoft segretamente autorizza Flash Player su Facebook

Microsoft Edge è stato rilasciato nel 2015 come successore di Microsoft Internet Explorer. E’ il browser web predefinito per il sistema operativo Windows 10. Nonostante una calda accoglienza da parte dei critici al momento del rilascio, l’assorbimento è stato basso, attestando la sua quota di mercato al 4.61% dopo di Google Chrome, Mozilla Firefox, Internet Explorer.
Ivan Fratric, ricercatore di Google Project Zero, riferisce che Microsoft Edge è dotato di una funzione nascosta indesiderata: un file della whitelist permette a Facebook di bypassare la funzione di sicurezza Click to Play (Click2Play) per eseguire automaticamente i contenuti Flash.
Abilitando Click to Play, i contenuti web che richiedono plug-in come Java, Flash, Silverlight, Adobe Reader, QuickTime e altri saranno disabilitati per impostazione predefinita. Gli utenti devono fare clic manualmente per riprodurre il contenuto del plug-in su qualsiasi pagina Web in modo che il contenuto venga caricato. Ciò fornisce un utile controllo di sicurezza, in modo che il contenuto dannoso non venga automaticamente eseguito dal browser.
Il Flash player di Adobe (in passato era un formato comune per l’animazione e i giochi online) è stato oggetto di crescente attenzione per le sue vulnerabilità di sicurezza, l’elevato consumo di batteria sui dispositivi mobili e per i suoi cookie difficili da rimuovere, intenzionalmente occultati monitorano la navigazione degli utenti.
Flash in particolare è stato vietato nei dispositivi che utilizzano il sistema operativo mobile iOS di Apple. Gli ingegneri di Microsoft nel 2017 hanno aggiornato Edge in modo tale che i contenuti Flash su tutti i domini richiede anche l’autorizzazione Click2Play.
Ivan Fratric ha scoperto la whitelist di Flash player all’interno della directory System32 di Windows 10, conteneva una lista di 58 domini, tra questi www.facebook.com, apps.facebook.com, www.msn.com, e music.microsoft.com avevano la possibilità di eseguire contenuti flash all’insaputa degli utenti, nonostante fosse attivo il blocco Click2Play. Tra le scelte più insolite riportate anche in un tweet anche il sito di un parrucchiere con sede a Valencia, Spagna, specializzato nella tecnica di colorazione nota come balayage.
Ivan Fratric nella sua segnalazione di bug iniziale presentata a novembre (ha rivelato pubblicamente il bug, poiché il periodo di divulgazione di 90 giorni dalla presentazione della sua relazione è trascorso), ha spiegato le implicazioni per la sicurezza di bypassare Click2Play, compresa la possibilità di un attacco man-in-the-middle (in italiano “uomo nel mezzo” è una terminologia impiegata nella crittografia e nella sicurezza informatica per indicare un attacco informatico in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro).
Microsoft nella risposta ha detto di essere intervenuta limitando la whitelist ai due soli domini di Facebook (i privilegi segreti significano che Facebook può eseguire Flash in Edge senza il consenso espresso dall’utente); di aver aggiunto il supporto HTTPS per limitare la probabilità di un attacco man-in-the-middle e richiedendo che il contenuto Flash sia più grande di 398×298 (il che significa che non può essere nascosto in una pagina web).
John Hazen, Microsoft Edge Product Development, a The Daily Swig ha detto:
«Siamo quasi al punto in cui Flash non fa più parte dell’esperienza di default di Microsoft Edge su qualsiasi sito, i recenti aggiornamenti di febbraio sono stati il passo successivo del piano di transizione».

,
Pino Silvestri

About Pino Silvestri

Pino Silvestri, blogger per diletto, fondatore, autore di Virtualblognews, presente su Facebook e Twitter.
View all posts by Pino Silvestri →