Атака на Clean Flash
Корпорация Adobe Systems добилась закрытия Clean Flash за нарушение авторских прав, пишет портал Torrentfreak. Проект занимался развитием установщика актуальной версии программы для воспроизведения Flash-роликов. Он использовал официальный китайский дистрибутив Flash Player, очищенный от сомнительных компонентов, встроенных в него местным партнером Adobe.
По информации источника, 4 октября 2021 г. Adobe направила жалобу в адрес хостинга ИТ-проектов Github, на котором размещался Clean Flash. Компания потребовала удалить репозиторий проекта на основании закона США об авторском праве в цифровую эпоху (DMCA). Разработчик Flash счел, что Clean Flash содержит программный код, исключительное право на который принадлежит компании. Github требованию подчинилась. Кроме того, как выяснил CNews, на том же основании 13 октября 2021 г. был заблокирован репозиторий проекта на площадке Gitlab.
Разработчик и владелец репозиториев под псевдонимом darktohka с претензиями со стороны Adobe не согласен. «Clean Flash устанавливает актуальную и бесплатно доступную версию Flash, но без программы, которая показывает рекламу», – заявил он в разговоре с Torrentfreak. Программист пояснил, что в репозитории не хранилась информация, которая могла бы быть отнесена к интеллектуальной собственности Adobe. По его словам, хранилище содержало код проекта на .NET, написанный «с нуля», без использования каких-либо материалов компании.
Представители Adobe не ответили на вопрос Torrentfreak о причинах принятия таких мер в отношении Clean Flash.
После того, как Adobe прекратила поддержку Flash-технологии в конце 2020 г. и в довольно агрессивной манере вынуждала пользователей отказаться от ее использования, Clean Flash оставался единственным инструментом, который позволял всем желающим продолжать получать «чистую», регулярно обновляемую официальную версию Flash Player, причем совершенно бесплатно.
Теперь пользователям, нуждающимся во Flash Player, придется либо присмотреться к его альтернативным реализациям, либо к официальном китайскому дистрибутиву. Уровень безопасности последнего вызывает беспокойство специалистов.
Откуда взялся китайский Flash
В июле 2017 г. Adobe публично заявила о намерении оставить морально устаревшую, к тому же кишащую опасными уязвимостями, Flash-технологию в прошлом.
Днем полного прекращения ее поддержки было назначено 31 декабря 2020 г. Таким образом, компания дала всем заинтересованным сторонам два с половиной года на то, чтобы перейти к использованию более безопасных и прогрессивных технологий вроде HTML5, Webassembly и WebGL.
В январе 2021 г., за несколько дней до полной блокировки Flash-контента, Adobe опубликовала предупреждение о необходимости незамедлительного удаления Flash Player с компьютеров. Поскольку компонент перестал получать обновления безопасности, его использование стало еще более рискованным. С выходом Windows 10 (21H1) Flash-проигрыватель исчез с ПК под управлением данной операционной системы.
Для корпоративных пользователей Flash Adobe оставила «лазейку» – они могли обратиться к партнеру компании – Harman, который был готов оказывать услуги по поддержке продукта и после завершения его жизненного цикла.
Кроме того, возможность продолжать использовать Flash-технологии получили китайские пользователи. На территории КНР действует так называемый Flash Center, принадлежащий компании Zhongcheng Network Technology – местному партнеру Adobe.
Flash Center позволяет бесплатно скачать и установить официальную версию Flash Player, которая поддерживает автоматическое обновление. Апдейты выходят раз в месяц, поддерживаются операционные системы Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10.
Опасность Flash Helper
Как отмечает Torrentfreak, при установке плеера из Flash Center в дополнение к нему на компьютере «оседает» программа Flash Helper, которая помогает загружать и устанавливать обновления.
Согласно выводам специалистов ИБ-компании Minerva Labs, исполняемый файл FlashHelperService.exe содержит код зашифрованной динамической библиотеки (dll), который загружает из интернета и выполняет другую библиотеку, код которой также зашифрован. Она, в свою очередь, с заданной периодичностью показывает в браузере всплывающие окна с рекламой благодаря применению функции ShellExecuteW из Windows API. Эта функция позволяет запустить любую программу на компьютере, в том числе и с правами администратора, следует из руководства разработчика приложений для Windows. Впрочем, с функцией обновления Flash-плеера Helper тоже справляется.
Проект Clean Flash разрабатывал установщик, который загружает и инсталлирует плеер из Flash Center без Flash Helper.
Альтернативы Clean Flash
Согласно данным w3techs, по состоянию на 18 октября 2021 г. не более 1,7% всех веб-сайтов в интернете используют технологию Adobe Flash для воспроизведения контента на стороне клиента. С января 2021 г. этот показатель уменьшился на 0,4 процентных пункта.
Несмотря на снижающуюся популярность, во Flash по-прежнему нуждаются как рядовые, так и бизнес-пользователи, не успевшие или не пожелавшие адаптироваться к миру без Flash. Об этом свидетельствует наличие сразу нескольких проектов, нацеленных на создание неофициальных Flash-плееров. Так, в Китае разработчик национального дистрибутива Linux, компания UOS, работает над альтернативой под названием Refla с улучшенной безопасностью и стабильностью.
Кроме того, как сообщил CNews в декабре 2020 г., в рамках проекта Ruffle ведется разработка кроссплатформенного эмулятора Flash Player. Он написан на языке Rust, может применяться как самостоятельное приложение на стороне клиента и встраиваться в веб-страницы при помощи технологии Webassembly. Код эмулятора опубликован на хостинге проектов Github на условиях лицензий Apache 2.0 и MIT. Финансовую поддержку проекту, в частности, оказывают издание The New York Times и развлекательная площадка Newgrounds. Разработка находится на ранней стадии.
Необходимость Flash или модернизации инфраструктуры подтверждает инцидент в городе-миллионере Даляне (провинция Ляонин, КНР), случившийся в январе 2021 г. Система формирования расписания и бронирования билетов местного железнодорожного перевозчика, завязанная на Flash, вышла из строя в момент начала блокировки Adobe контента на основе данной технологии.
Налоговой службе ЮАР тоже не хватило времени или ресурсов на переход к использованию более современных технологий. Ведомство разработало специальный браузер со встроенной поддержкой Flash, без которого, как выяснилось, не работают критически важные элементы сайта южноафриканских налоговиков, в том числе форма подачи деклараций.
Несколько фактов о Flash
Flash – это мультимедийная платформа компании Adobe Systems для создания веб-приложений или мультимедийных презентаций. Ранее широко применялась для создания рекламных баннеров, анимации, игр, а также воспроизведения на веб-страницах видео- и аудиозаписей.
На стороне клиента для воспроизведения Flash-контента применялся специальный плеер – Flash Player. Его можно было установить как в качестве самостоятельного приложения, так и в виде подключаемого модуля браузера.
Изначально Flash разрабатывался компанией Futurewave и был известен как Futuresplash Animator. Но в 1996 г. разработчик был выкуплен компанией Macromedia, которая переименовала продукт во Flash. В апреле 2005 г. стало известно, что Adobe покупает Macromedia за $3,4 млрд.