Hewlett-Packard ha pubblicato un interesssante nuova utilità che si occupa di controllare la presenza di eventuali vulnerabilità all’interno di file Flash (SWF). Il programma, completamente gratuito, si rivolge in particolare agli sviluppatori: indicando il file da sottoporre a verifica, SWFScan provvederà ad individuare eventuali problematiche di sicurezza. Il software, infatti, provvede a decompilare il codice ActionScript riportandolo al codice sorgente originario: in questo modo sarà poi possibile sottoporlo ad un’analisi, alla ricerca di oltre 60 vulnerabilità.
Le lacune di sicurezza nello sviluppo dell’applicazione Flash individuabili mediante l’uso di SWFScan sono molteplici ed includono la possibilità che vengano esposti dati personali, vulnerabilità correlate all’acquisizione di privilegi più elevati, falle “cross site scripting” (XSS).
Secondo quanto riportato da Billy Hoffman, manager del “Web Security Research Group” di HP, il team di sviluppo dell’utility SWFScan avrebbe scaricato qualcosa come 4.000 applicazioni in formato Flash per sottoporle all’esame del programma e verificarne il corretto funzionamento. Secondo Hoffman, il 35% di tutti i file SWF posti “sotto la lente” di SWFScan violerebbe le linee guida per lo sviluppo di applicazioni sicure, stilate da parte di Adobe. Come spiega Hoffman, dati importanti quali chiavi crittografiche, nomi utente e password sono salvati lato client dall’applicazione Flash.
SWFScan è disponibile solo per Windows ed è scaricabile facendo riferimento a questa pagina.