De Amerikaanse beveiligingsonderzoeker Billy Rios heeft een manier gedemonstreerd om toegang tot lokale bestanden te krijgen via Flash. Hij wist hierbij de sandbox waarmee het bestandssysteem van Flash is beveiligd te omzeilen. Daardoor kunnen kwaadwillenden privégegevens doorsturen naar zichzelf.

Sandbox is niet waterdicht

Normaal gesproken moet de sandbox van Flash voorkomen dat bestanden die op de lokale harde schijf staan, doorgestuurd worden naar een ander systeem. Die sandbox beschikt volgens Rios over een aantal maatregelen om communicatie met de buitenwereld tegen te gaan.

Toch dekken die niet alle mogelijkheden af. Door de aanvraag van een bestand, zoals in een browser, met file:// te beginnen kan er al een bestand geladen worden. Het is dan wel nog steeds alleen mogelijk om bestanden door te sturen naar computer op hetzelfde lokale netwerk.

'Blacklist is geen goed idee'

Toch valt ook dat simpel te omzeilen volgens Rios. Adobe gebruikt namelijk een blacklist om verkeer naar buiten te voorkomen. Die blacklist blokkeert echter alleen bepaalde protcollen. Volgens Rios is dat erg riskant: “Als wij een protocol voor netwerkcommunicatie vinden dat nog niet door Adobe is geblokkerd, dan winnen we”.

Uit het proof-of-concept van Rios blijkt dat er inderdaad protocollen zijn die niet op de blacklist van Adobe staan. Hij stelt dat er daardoor twee lessen zijn te leren “Ten eerste is het draaien van code die je niet vertrouwt, of dat nu een uitvoerbaar bestand, JavaScript of Flash is, gevaarlijk blijft. Ten tweede zijn blacklists op basis van een protocol een slecht idee”.