Proponha uma correção, faça uma sugestão
Microsoft Edge tem lista secreta de domínios que permite ao Facebook correr Flash
Muito do que temos hoje nos nossos browsers passam-se de forma transparente ao utilizador e sem que este controle. Esta forma garante que a segurança é aplicada sem que os utilizadores possam intervir.
Uma descoberta recente veio mostrar que o Microsoft Edge tem uma particularidade que ultrapassa o lógico. Foi descoberta uma lista de domínios que tem autorização para correr Flash diretamente. O Facebook parece ser quem mais tem vantagens no meio desta situação.
Foi o investigador de segurança Ivan Fratric, pertencente ao projeto Google Zero, que descobriu esta situação anormal. Numa altura em que cada vez mais os browsers pedem aos utilizadores autorização para correr Flash, o Microsoft Edge tem uma lista que pode contornar este requisito.
O Edge tem uma lista secreta de domínios
A primeira referencia a esta situação surgiu em novembro do ano passado. Na altura foi detetada uma lista anormal de 58 domínios e sub-domínios que estavam autorizados a correr flash sem a autorização dos utilizadores.
Esta situação foi de imediato reportada à Microsoft, que tratou de eliminar esta lista, garantindo que o processo não se repetiria. A somar a esta preocupação estava também as falhas recorrentes do Flash.
No entanto, e numa análise recente, foi descoberta uma situação ainda mais preocupante. A lista foi efetivamente removida, mas não na sua totalidade. Apenas uma entidade ficou autorizada.
Microsoft autoriza o Facebook a correr Flash
Esta é o Facebook, que tem autorizados os seus domínios www.facebook.com e apps.facebook.com. Estes têm permissão para correr conteúdos sem requerer a autorização do utilizador.
Para piorar ainda mais a situação, o investigador de segurança descobriu algumas falhas de segurança nesta lista. Estas passam por vulnerabilidades XSS e problemas com ataques MitM
The default Flash whitelist in Edge (https://t.co/JxStUIxByE) really surprised me. So many sites for which I'm completely baffled as to why they're there. Like a site of a hairdresser in Spain(https://t.co/50xdJvzksA)?! I wonder how the list was formed. And if MSRC knew about it.
— Ivan Fratric (@ifsecure) February 19, 2019
Não se conhecem ao certo as razões da Microsoft para ter criado estas situações. Para além da existência da lista inicial, que era já por si anormal, não fica clara a razão para ter sido mantido o Facebook com esta autorização.
O Edge está a violar as regras da Microsoft
Ao mesmo tempo, a Microsoft está a violar as suas próprias regras. No Edge existe a obrigação de exigir a autorização aos utilizadores, através do "click2play", tal como acontece outros browsers.
Numa altura em que cada vez mais o Flash está a desaparecer, é o momento certo para que os browsers o abandonem. Assim, acima de tudo, conseguem garantir a segurança dos utilizadores.
Este artigo tem mais de um ano
Loading ...
O problema nem é a lista… o problema é porque raio é que a MSFT suporta flash, quando se sabe que tinha tantos buracos de seguranca (que podem agora estar a ser explorados pelo FB), e todos os outros simplesmente apagaram o flash dos seus browsers.
Exacto. A minha questão agora é também se outros browsers têm listas secretas deste tipo.
Acho fácil demais saber o tal motivo de enganar o utilizador do Edge (que ainda acredita na segurança deste produto), burlar a segurança. Podendo correr flash sem autorização, ela terá acesso a todas as atividades do usuários e com isso uma grande base de dados. Vender informação (e já sabemos para quem) dá muito dinheiro.’