Muito do que temos hoje nos nossos browsers passam-se de forma transparente ao utilizador e sem que este controle. Esta forma garante que a segurança é aplicada sem que os utilizadores possam intervir.
Uma descoberta recente veio mostrar que o Microsoft Edge tem uma particularidade que ultrapassa o lógico. Foi descoberta uma lista de domínios que tem autorização para correr Flash diretamente. O Facebook parece ser quem mais tem vantagens no meio desta situação.
Foi o investigador de segurança Ivan Fratric, pertencente ao projeto Google Zero, que descobriu esta situação anormal. Numa altura em que cada vez mais os browsers pedem aos utilizadores autorização para correr Flash, o Microsoft Edge tem uma lista que pode contornar este requisito.
O Edge tem uma lista secreta de domínios
A primeira referencia a esta situação surgiu em novembro do ano passado. Na altura foi detetada uma lista anormal de 58 domínios e sub-domínios que estavam autorizados a correr flash sem a autorização dos utilizadores.
Esta situação foi de imediato reportada à Microsoft, que tratou de eliminar esta lista, garantindo que o processo não se repetiria. A somar a esta preocupação estava também as falhas recorrentes do Flash.
No entanto, e numa análise recente, foi descoberta uma situação ainda mais preocupante. A lista foi efetivamente removida, mas não na sua totalidade. Apenas uma entidade ficou autorizada.
Microsoft autoriza o Facebook a correr Flash
Esta é o Facebook, que tem autorizados os seus domínios www.facebook.com e apps.facebook.com. Estes têm permissão para correr conteúdos sem requerer a autorização do utilizador.
Para piorar ainda mais a situação, o investigador de segurança descobriu algumas falhas de segurança nesta lista. Estas passam por vulnerabilidades XSS e problemas com ataques MitM
The default Flash whitelist in Edge (https://t.co/JxStUIxByE) really surprised me. So many sites for which I'm completely baffled as to why they're there. Like a site of a hairdresser in Spain(https://t.co/50xdJvzksA)?! I wonder how the list was formed. And if MSRC knew about it.
— Ivan Fratric (@ifsecure) February 19, 2019
Não se conhecem ao certo as razões da Microsoft para ter criado estas situações. Para além da existência da lista inicial, que era já por si anormal, não fica clara a razão para ter sido mantido o Facebook com esta autorização.
O Edge está a violar as regras da Microsoft
Ao mesmo tempo, a Microsoft está a violar as suas próprias regras. No Edge existe a obrigação de exigir a autorização aos utilizadores, através do “click2play”, tal como acontece outros browsers.
Numa altura em que cada vez mais o Flash está a desaparecer, é o momento certo para que os browsers o abandonem. Assim, acima de tudo, conseguem garantir a segurança dos utilizadores.