Kritik
Adobe AIR schön bunt - und gefährlich?
Adobe hat mit AIR eine integrierte Plattform entwickelt, die Web-artige Anwendungen für den Desktop ermöglichen soll. Sicherheitsfachleute sehen darin eine mögliche neue Basis für Malware aller Art.
Adobe AIR (Adobe Integrated Runtime) 1.0 steht zum Download bereit. Es soll die Entwicklung von Desktop-Anwendungen unter Verwendungen von Web-Technologien wie HTML, Javascript, AJAX und Flash ermöglichen. Sie laufen nicht im Browser, sondern davon unabhängig in der Laufzeitumgebung AIR (ähnlich wie bei Java oder .NET). Sicherheitsfachleute sehen den Funktionsumfang von AIR allerdings kritisch und befürchten eine neue Generation von Malware könnte auf dieser Plattform aufbauen.
Anwendungen für AIR können sowohl Kontakt mit dem Internet aufnehmen als auch Dateien im lokalen Dateisystem anlegen und ändern. Somit könnte AIR-basierte Malware weiteren schädlichen Code aus dem Internet laden und auf dem Rechner ablegen oder sich an DoS-Angriffen auf Web-Server beteiligen.
Dem stellt Adobe ein Sandbox-Konzept mit zwei verschiedenen Sicherheitszonen entgegen. In der Zone für vertrauenswürdige Anwendungen hat ein AIR-Programm vollen Zugriff auf die Programmierschnittstellen (APIs) von AIR, in der unsicheren Zone hingegen nicht. Zweifellos werden Hacker und Malware-Programmierer Wege finden diese Restriktionen zu umgehen.
Zu Adobes Sicherheitsmodell gehört auch das Signieren von Anwendungen. Programme, die nur vom Entwickler selbst signiert sind, lösen eine Warnmeldung vor der Installation aus. Hon Lau von Symantec befürchtet allerdings, dass die meisten Anwender solche Warnungen nicht richtig interpretieren können und sie in den Wind schlagen werden. Die Trickkiste des Social Engineering hält genügend Köder bereit, um Anwender Warnmeldungen unreflektiert weg klicken zu lassen.
Lenny Zeltser vom Internet Storm Center sieht das ähnlich und verweist dazu auf bisherige Erfahrungen auf artverwandten Feldern. Wie Hon Lau sieht er ferner eine Gefahr durch die Manipulationsmöglichkeiten, die Schwachstellen in Web-Technologien bieten. Dazu gehört das so genannte Cross-Site Scripting (XSS) ebenso wie SQL-Injection (AIR unterstützt SQLite - Adobe unterstützt die Weiterentwicklung dieser kostenlosen und quelloffenen Datenbank mittlerweile aktiv).
Zudem befürchtet Zeltser, dass viele Entwickler von AIR-Anwendungen sich nicht ausreichend mit dem Sicherheitsmodell von AIR befassen werden oder sehenden Auges den kürzesten Weg zum Ziel einschlagen werden ("quick and dirty") statt eines sicheren. Auch Microsoft hat bereits Sicherheitsbedenken geäußert.
Ob die üblichen Sicherheitsprogramme wie Antivirus und Personal Firewall die potenziellen Risiken mächtiger AIR-Anwendungen abfedern können, muss wohl die Zukunft erweisen.
