“Adobe mandi in pensione Flash“. È questa, in sostanza, l’esortazione di Alex Stamos, responsabile della sicurezza presso Facebook.
Utilizzando il suo account Twitter come cassa di risonanza, Stamos ha esplicitamente invitato Adobe a mettere una pietra sopra la tecnologia Flash ed il suo Flash Player. Il responsabile del social network in blu punta il dito contro le tante vulnerabilità di sicurezza che vengono periodicamente scoperte nel riproduttore di contenuti Flash.
Proprio in forza della grande diffusione del Flash Player, alcune di tale lacune sono sfruttate proprio per eseguire codice dannoso sul sistema degli utenti. Certe vulnerabilità costituiscono una leva efficace per sferrare attacchi e provocare il caricamento di codice arbitrario.
Per Stamos Adobe dovrebbe comunicare la data del definitivo ritiro di Flash e chiedere agli sviluppatori di browser web di negare il caricamento di Flash Player a partire dallo stesso giorno.
Non tutte le vulnerabilità di sicurezza rivelate in Flash vengono segnalate ad Adobe. Sul “mercato nero” circolano spesso i dettagli tecnici di falle di sicurezza precedentemente sconosciute. Gruppi di criminali informatici possono utilizzare tali informazioni per eseguire codice nocivo sui sistemi degli utenti o delle società presi di mira. Quanto ci può essere di più efficace di un attacco che fa leva su una lacuna di sicurezza della quale i più – e neppure la societù sviluppatrice (in questo caso Adobe) – non sanno ancora nulla?
Ne è una prova evidente anche l’aggressione recentemente sferrata all’italiana Hacking Team. Nel pesante archivio (circa 400 GB) sottratto dai server dell’azienda sono state rivenute informazioni su un paio di bug di sicurezza in Flash Player che erano in precedenza totalmente sconosciuti.
It is time for Adobe to announce the end-of-life date for Flash and to ask the browsers to set killbits on the same day.
— Alex Stamos (@alexstamos) 12 Luglio 2015
Il ritiro di Flash non dev’essere immediato, secondo Stamos. L’importante è che Adobe fissi una data per il pensionamento di Flash, in modo tale da dare il tempo agli sviluppatori di siti e soluzioni per il web di adeguarsi per tempo.
Lo stesso Steve Jobs, nel 2010, si era scagliato (utilizzando peraltro parole infuocate) contro la tecnologia Flash (Parole di fuoco Apple-Adobe sulla tecnologia Flash). Famosissima la sua “lettera aperta“, in cui il numero uno di Apple criticò la tecnologia di Adobe definendola insicura, pesante ed impattante in maniera troppo negativa sui consumi energetici.