Няма начин да сте пропуснали критиката към Adobe Flash в последните една-две години. Специалисти и недотам специалисти затрупаха Интернет с призиви Adobe да убие Flash. Компании, като Google, Mozilla и Apple решиха да вземат нещата в свои ръце и да предприемат мерки, за да защитят своите потребители, които не обновяват не само Flash Player на компютрите си. Рекламната индустрия също се зае да обръща гръб на технологията и да ползват все повече HTML5 за изграждане на онлайн посланията си. Някои бихме спекулирали, че това има нещо общо с блокаторите на реклама, но нека повярваме на рекламната индустрия и приемем, че те дават мило и драго за сигурността ни. Все пак, ако вирус, дошъл през рекламен банер, базиран на Flash ви източи банковата сметка как ще си закупите рекламирания продукт?!
Според изследване на доставчика на решения за сигурност за рекламната онлайн индустрия GeoEdge HTML5-базираната реклама съвсем не е толкова по-безопасна от Flash-базираната. Компанията разглежда последните малвъртайзинг (доставянето на зловредна реклама) атаки и дупките в сигурността на Flash и HTML5, позволяващи вмъкването на зловреден код в онлайн съобщенията.
„През последните няколко години Adobe Flash се превърна във враг на онлайн общността с повече от 300 уязвимости, открити във Flash Player само за 2015г., което му отреди първото място за най-уязвим PC софтуер за миналата година. Тези проблеми бяха и продължават да бъдат използвани от киберпрестъпници в някои от най-опасните малвъртайзинг атаки днес. В резултат на това, общността се обърна към HTML5, който се възприема за най-безопасната алтернатива. Само, че доклада на нашата компания доказва, че използването на HTML5 в най-добрия случай не предпазва от малвъртайзинг атаки”, се заявява в доклада (pdf).
GeoEdge пишат, че много техники за доставяне на зловредна реклама не изискват включването в процеса по изграждане и доставка на онлайн съобщенията на Flash. И нещо повече, според тях при HTML5-базираната видеореклама, зловредният код може да бъде вмъкнат директно в самата реклама . Проблемът се състои в това, че атаките обикновено се възползват от вмъкнат JavaScript код. И тъй като JS е базовия език за HTML5, то зловредният код може да бъде пакетиран в HTML без особени трудности. Според тях, киберпрестъпниците са улеснени освен това тук се позволява вмъкването на код от външна страна. „Нищо не спира атакуващата страна да инжектира зловреден URL адрес, използвайки код от външен източник във VAST или XML или директно инжектиране на зловредна рекламна единица във видео плейъра”, съобщават авторите на доклада, допълвайки, че има и набор от други ефективни техники за доставка на зовреден код във видеореклама.